Habilitar auditorias de segurança e DNS para o Microsoft Entra Domain Services

As auditorias de segurança e de DNS do Microsoft Entra Domain Services permitem que o Azure transmita eventos para os recursos de destino. Esses recursos incluem o Armazenamento do Azure, os workspaces do Azure Log Analytics ou o Hub de Eventos do Azure. Depois que você habilitar os eventos de auditoria de segurança, o Domain Services envia todos os eventos auditados da categoria selecionada ao recurso de destino.

Você pode arquivar eventos no armazenamento do Azure e transmitir eventos para o software SIEM (gerenciamento de eventos e informações de segurança) ou equivalente, usando os Hubs de Eventos do Azure ou fazer sua própria análise e usar os workspaces do Log Analytics a partir do Centro de administração do Microsoft Entra.

Destinos de auditoria de segurança

Você pode usar o Armazenamento do Azure, os Hubs de Eventos do Azure ou os workspaces do Azure Log Analytics como um recurso de destino para as auditorias de segurança do Domain Services. Esses destinos podem ser combinados. Por exemplo, você pode usar o Armazenamento do Azure para arquivar eventos de auditoria de segurança, mas um workspace do Azure Log Analytics para analisar e relatar as informações a curto prazo.

A tabela a seguir descreve cenários para cada tipo de recurso de destino.

Importante

Você precisa criar o recurso de destino antes de habilitar as auditorias de segurança do Domain Services. Você pode criar esses recursos usando o Centro de administração do Microsoft Entra, o Azure PowerShell ou a CLI do Azure.

Recurso de destino	Cenário
Armazenamento do Azure	Esse destino deve ser usado quando sua principal necessidade for armazenar eventos de auditoria de segurança para fins de arquivamento. Outros destinos podem ser usados para fins de arquivamento, no entanto, esses destinos fornecem funcionalidades além da necessidade principal de arquivamento. Antes de habilitar os eventos de auditoria de segurança do Domain Services, primeiro crie uma conta do Armazenamento do Azure.
Hubs de Eventos do Azure	Esse destino deve ser usado quando a principal necessidade for compartilhar eventos de auditoria de segurança com software adicional, como software de análise de dados ou software de SIEM (Gerenciamento de Eventos e Informações de Segurança). Antes de habilitar os eventos de auditoria de segurança do Domain Services, crie um hub de eventos usando o centro de administração do Microsoft Entra
Workspace do Azure Log Analytics	Esse destino deve ser usado quando a principal necessidade for analisar e revisar auditorias de segurança diretamente do Centro de administração do Microsoft Entra. Antes de habilitar os eventos de auditoria de segurança do Domain Services, crie um workspace do Log Analytics no centro de administração do Microsoft Entra.

Habilitar eventos de auditoria de segurança usando o Centro de administração do Microsoft Entra

Para habilitar os eventos de auditoria de segurança do Domain Services usando o centro de administração do Microsoft Entra, conclua as etapas a seguir.

Importante

As auditorias de segurança do Domain Services não são retroativas. Você não pode recuperar ou repetir eventos do passado. O Domain Services só pode enviar eventos que ocorrem após a habilitação das auditorias de segurança.

1. Entre no Centro de administração do Microsoft Entra como um Administrador global.

2. Pesquise e selecione Microsoft Entra Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.

3. Na janela do Domain Services, selecione Configurações de diagnóstico no lado esquerdo.

4. Nenhum diagnóstico é configurado por padrão. Para começar, selecione Adicionar configuração de diagnóstico.

   

5. Insira um nome para a configuração de diagnóstico, como aadds-auditing.

   Marque a caixa para o destino de auditoria de segurança ou DNS desejado. Você pode escolher entre um Workspace do Log Analytics, uma conta do Armazenamento do Microsoft Azure, um hub de eventos do Azure ou uma solução de parceiro. Esses recursos de destino já devem existir em sua assinatura do Azure. Você não pode criar os recursos de destino neste assistente.

   • Workspaces do Log Analytic do Azure
     • Selecione Enviar para o Log Analytics e escolha a Assinatura e o Workspace do Log Analytics que você deseja usar para armazenar os eventos de auditoria.
   • Armazenamento do Azure
     • Selecione Arquivar em uma conta de armazenamentoe, em seguida, escolha Configurar.
     • Selecione a Assinatura e a Conta de armazenamento que você deseja usar para arquivar os eventos de auditoria.
     • Quando estiver pronto, escolha OK.
   • Hubs de eventos do Azure
     • Selecione Transmitir para um hub de eventose, em seguida, escolha Configurar.
     • Selecione a Assinatura e o Namespace do hub de eventos. Se necessário, escolha também um Nome do hub de eventos e, em seguida, Nome da política do hub de eventos.
     • Quando estiver pronto, escolha OK.
   • Solução de parceiro
     • Selecione Enviar para a solução de parceiro e escolha a Assinatura e o Destino que você deseja usar para armazenar os eventos de auditoria.

6. Selecione as categorias de log que você deseja incluir para o recurso de destino específico. Se você enviar os eventos de auditoria para uma conta de Armazenamento do Azure, você também poderá configurar uma política de retenção que define o número de dias para reter os dados. Uma configuração padrão de 0 retém todos os dados e não gira eventos após um período de tempo.

   Você pode selecionar categorias de log diferentes para cada recurso de destino em uma única configuração. Essa capacidade permite que você escolha quais categorias de logs deseja manter para o Log Analytics e quais categorias de logs você deseja arquivar, por exemplo.

7. Ao concluir, selecione Salvar para confirmar as alterações. Os recursos de destino começam a receber os eventos de auditoria do Domain Services logo após a configuração ser salva.

Habilitar os eventos de auditoria de segurança e DNS usando o Azure PowerShell

Para habilitar os eventos de auditoria de DNS e de segurança do Domain Services usando o Azure PowerShell, conclua as etapas a seguir. Se necessário, primeiramente instale o módulo do Azure PowerShell e conectar-se à sua assinatura do Azure.

Importante

As auditorias do Domain Services não são retroativas. Você não pode recuperar ou repetir eventos do passado. O Domain Services só pode enviar eventos que ocorrem após a habilitação das auditorias.

1. Autentique a sua assinatura do Azure usando o cmdlet Connect-AzAccount. Quando solicitado, insira as credenciais da sua conta.

   Connect-AzAccount
   

2. Criar o recurso de destino para os eventos de auditoria.

   • Workspace do Log Analytics do Azure - Crie um workspace do Log Analytics com o Azure PowerShell.

   • Armazenamento do Azure - Criar uma conta de armazenamento usando o Azure PowerShell

   • Hubs de eventos do Azure - Criar um hub de eventos usando o PowerShell. Talvez você também precise usar o cmdlet New-AzEventHubAuthorizationRule para criar uma regra de autorização que conceda permissões ao Domain Services no namespace do hub de eventos. A regra de autorização deve incluir os direitos de Gerenciar, Escutare Enviar.

     Importante

     Verifique se você definiu a regra de autorização no namespace do hub de eventos e não no próprio hub de eventos.

3. Obtenha a ID do recurso para seu domínio gerenciado do Domain Services usando o cmdlet Get-AzResource. Crie uma variável chamada $aadds.ResourceId para manter o valor:

   $aadds = Get-AzResource -name aaddsDomainName
   

4. Defina as configurações do Diagnóstico do Azure usando o cmdlet Set-AzDiagnosticSetting para utilizar o recurso de destino para eventos de auditoria dos Microsoft Entra Domain Services. Nos exemplos a seguir, a variável $aadds.ResourceId é usada na etapa anterior.

   • Armazenamento do Azure - substitua storageAccountId pelo nome da sua conta de armazenamento:

     Set-AzDiagnosticSetting `
         -ResourceId $aadds.ResourceId `
         -StorageAccountId storageAccountId `
         -Enabled $true
     

   • Hubs de eventos do Azure - substitua eventHubName pelo nome do hub de eventos e eventHubRuleId pela ID da regra de autorização:

     Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
         -EventHubName eventHubName `
         -EventHubAuthorizationRuleId eventHubRuleId `
         -Enabled $true
     

   • Workspace do Log Analytics do Azure - substitua workspaceid pela ID do workspace do Log Analytics:

     Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
         -WorkspaceID workspaceId `
         -Enabled $true
     

Consultar e exibir eventos de auditoria de segurança e DNS usando o Azure Monitor

Os espaços de trabalho do Log Analytic permitem exibir e analisar os eventos de auditoria de segurança e DNS usando o Azure Monitor e a linguagem de consulta Kusto. Esse idioma de consulta é projetado para uso somente leitura que apresenta recursos de análise de energia com uma sintaxe de fácil leitura. Para obter mais informações sobre como começar a usar os idiomas de consulta do Kusto, consulte os seguintes artigos:

• Documentação do Azure Monitor
• Introdução ao Log Analytics no Azure Monitor
• Introdução às consultas de log no Azure Monitor
• Criar e compartilhar painéis de dados do Log Analytics

Os exemplos de consultas a seguir podem ser usados para começar a analisar os eventos de auditoria do Domain Services.

Consulta de exemplo 1

Exibir todos os eventos de bloqueio de conta dos últimos sete dias:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Consulta de exemplo 2

Exiba todos os eventos de bloqueio de conta (4740) entre 3 de junho de 2020 às 9h e 10 de junho de 2020 a meia-noite, com classificação crescente de acordo com data e hora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Consulta de exemplo 3

Exibir eventos de entrada da conta de sete dias atrás (a partir de agora) para o usuário nomeado da conta:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Consulta de exemplo 4

Veja eventos de entrada da conta de sete dias atrás a partir de agora para o usuário nomeado da conta que tentou entrar usando uma senha incorreta (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Consulta de exemplo 5

Veja eventos de entrada da conta de sete dias atrás a partir de agora para o usuário nomeado da conta que tentou entrar enquanto a conta estava bloqueada (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Consulta de exemplo 6

Veja o número de eventos de entrada da conta sete dias atrás a partir de agora para todas as tentativas de login que ocorreram para todos os usuários bloqueados:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Segurança de auditoria e categorias de eventos DNS

As auditorias de segurança e de DNS do Domain Services estão alinhadas com a auditoria tradicional para os controladores de domínio tradicionais do AD DS. Em ambientes híbridos, você pode reutilizar padrões de auditoria existentes para que a mesma lógica possa ser usada ao analisar os eventos. Dependendo do cenário que você precisa solucionar ou analisar, as diferentes categorias de evento de auditoria precisam ser direcionadas.

As seguintes categorias de evento de auditoria estão disponíveis:

Nome da Categoria de Auditoria	Descrição
Logon da conta	As auditorias tentam autenticar os dados de conta em um controlador de domínio ou em um SAM (Gerenciador de Contas de Segurança) local. As configurações e eventos da política de Logon e Logoff rastreiam as tentativas de acesso a um computador específico. As configurações e os eventos nesta categoria se concentram no banco de dados da conta usado. Essa categoria inclui as seguintes subcategorias: -Auditoria da Validação de Credenciais -Auditoria do Serviço de Autenticação do Kerberos -Auditoria das Operações de Tíquetes de Serviço do Kerberos -Auditar outros eventos de Logon/Logoff
Gerenciamento de Contas	Audita as alterações em contas e grupos de usuários e computadores. Essa categoria inclui as seguintes subcategorias: -Auditoria do Gerenciamento do Grupo de Aplicativos -Auditoria do Gerenciamento de Contas de Computadores -Auditoria do Gerenciamento do Grupo de Distribuição -Auditoria de Gerenciamento de Outras Contas -Auditoria do Gerenciamento do Grupo de Segurança -Auditoria do Gerenciamento de Contas de Usuário
Servidor DNS	Auditoria da mudanças nos ambientes de DNS. Essa categoria inclui as seguintes subcategorias: - DNSServerAuditsDynamicUpdates (versão prévia) - DNSServerAuditsGeneral (versão prévia)
Acompanhamento de Detalhes	Audita atividades de aplicativos individuais e usuários nesse computador e para entender como um computador está sendo usado. Essa categoria inclui as seguintes subcategorias: -Auditoria da Atividade de DPAPI -Auditoria da Atividade do PNP -Auditoria da Criação do Processo -Auditoria do Término do Processo -Auditoria de Eventos de RPC
Acesso dos Serviços de Diretório	As auditorias tentam acessar e modificar objetos no AD DS (Active Directory Domain Services). Esses eventos de auditoria são registrados somente em controladores de domínio. Essa categoria inclui as seguintes subcategorias: -Auditoria da Replicação Detalhada do Serviço de Diretório -Auditoria do Acesso ao Serviço de Diretório -Auditoria de Alterações no Serviço de Diretório -Auditoria de Replicação do Serviço de Diretório
Logon-Logoff	As auditorias tentarão fazer logoff em um computador interativamente ou em uma rede. Esses eventos são úteis para acompanhar a atividade do usuário e identificar possíveis ataques em recursos de rede. Essa categoria inclui as seguintes subcategorias: -Auditoria de Bloqueio da Conta -Auditoria de Reivindicações do Usuário/Dispositivo -Auditoria do Modo Estendido do IPsec -Auditoria da Associação de Grupo -Auditoria do Modo Principal do IPsec -Auditoria do Modo Rápido do IPsec -Auditoria de Logoff -Auditoria de Logon -Auditoria do Servidor de Políticas de Rede -Auditar outros eventos de Logon/Logoff -Auditoria do Logon Especial
Acesso a objetos	As tentativas da auditoria de acessar objetos específicos ou tipos de objetos em uma rede ou computador. Essa categoria inclui as seguintes subcategorias: -Auditoria do Aplicativo Gerado -Auditoria dos Serviços de Certificação -Auditoria do Compartilhamento de Arquivos Detalhado -Auditoria do Compartilhamento de Arquivos -Auditoria do Sistema de Arquivos -Auditoria da Conexão da Plataforma de Filtragem -Auditoria da Queda do Pacote da Plataforma de Filtragem -Auditoria da Manipulação do Identificador -Auditoria do Objeto do Kernel -Auditoria de Outros Eventos de Acesso a Objetos -Auditoria do Registro -Auditoria do Armazenamento Removível -Auditoria do SAM -Auditoria do Estadiamento da Política de Acesso Central
Alteração da Política	Audita alterações em políticas de segurança importantes em um sistema ou rede local. As políticas normalmente são estabelecidas por administradores para ajudar a proteger os recursos de rede. O monitoramento de alterações ou tentativas de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança para uma rede. Essa categoria inclui as seguintes subcategorias: -Auditoria da Alteração da Política de Auditoria -Auditoria da Alteração da Política de Autenticação -Auditoria da Alteração da Política de Autorização -Auditoria do Alteração da Política da Plataforma de Filtragem -Auditoria da Alteração da Política de Nível de Regra MPSSVC -Auditoria de Outras Alterações de Política
Uso de Privilégios	Audita o uso de determinadas permissões em um ou mais sistemas. Essa categoria inclui as seguintes subcategorias: -Auditoria do Uso de Privilégios Não Confidenciais -Auditoria do Uso de Privilégios Confidenciais -Auditoria de Outros Eventos de Uso de Privilégios
Sistema	Audita alterações no nível do sistema em um computador não incluído em outras categorias e que têm possíveis implicações de segurança. Essa categoria inclui as seguintes subcategorias: -Auditoria do Driver IPsec -Auditoria de Outros Eventos do Sistema -Auditoria da Alteração do Estado de Segurança -Auditoria da Extensão do Sistema de Segurança -Auditoria de Integridade do Sistema

IDs de eventos por categoria

As auditorias de segurança e de DNS do Domain Services registram as seguintes IDs de eventos quando a ação específica dispara um evento auditável:

Nome da Categoria do Evento	IDs de eventos
Segurança de Logon da Conta	4767, 4774, 4775, 4776, 4777
Segurança do Gerenciamento de Conta	4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Segurança de Acompanhamento de Detalhes	Nenhum
Servidor DNS	513-523, 525-531, 533-537, 540-582
Segurança de Acesso DS	5136, 5137, 5138, 5139, 5141
Segurança de Logon-Logoff	4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Segurança de Acesso a Objetos	Nenhum
Segurança de Alteração de Política	4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Segurança de Uso de Privilégio	4985
Segurança do sistema	4612, 4621

Próximas etapas

Para obter informações específicas sobre o Kusto, confira os seguintes artigos:

• Visão geral da linguagem de consulta do Kusto.
• Tutorial do Kusto para familiarizá-lo com as noções básicas de consulta.
• Exemplos de consultas que ajudam você a aprender novas maneiras de ver seus dados.
• Práticas recomendadas do Kusto para otimizar suas consultas para êxito.