Como acessar logs de atividade no Microsoft Entra ID

Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspetos do seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID fornece várias opções para acessar seus dados de registro de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que possa selecionar o método de acesso certo para seu cenário.

Você pode acessar logs de atividade e relatórios do Microsoft Entra usando os seguintes métodos:

• Transmita logs de atividades para um hub de eventos para integração com outras ferramentas
• Acessar logs de atividades por meio da API do Microsoft Graph
• Integrar logs de atividade com logs do Azure Monitor
• Monitore a atividade em tempo real com o Microsoft Sentinel
• Exibir logs de atividades e relatórios no portal do Azure
• Exportar logs de atividades para armazenamento e consultas

Cada um desses métodos fornece recursos que podem ser alinhados com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Pré-requisitos

As funções e licenças necessárias podem variar com base no relatório. Os Administradores Globais podem acessar todos os relatórios, mas recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.

Registo / Relatório	Funções	Licenças
Auditar	Leitor de relatórios Leitor de Segurança Administrador de Segurança Leitor Global	Todas as edições do Microsoft Entra ID
Inícios de sessão	Leitor de relatórios Leitor de Segurança Administrador de Segurança Leitor Global	Todas as edições do Microsoft Entra ID
Aprovisionamento	O mesmo que auditoria e logins, além de Operador de Segurança Administrador da Aplicação Administrador de aplicativos na nuvem Uma função personalizada com provisioningLogs permissão	Premium P1 ou P2
Utilização e informações	Leitor de Segurança Leitor de relatórios Administrador de Segurança	Premium P1 ou P2
Proteção de identidade*	Administrador de Segurança Operador de Segurança Leitor de Segurança Leitor Global	Aplicativos Microsoft Entra ID Free/Microsoft 365 Microsoft Entra ID P1 ou P2

*O nível de acesso e os recursos do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de identidade.

Os logs de auditoria estão disponíveis para recursos que você licenciou. Para acessar os logs de entrada usando a API do Microsoft Graph, seu locatário deve ter uma licença do Microsoft Entra ID P1 ou P2 associada a ele.

Transmita logs para um hub de eventos para integração com ferramentas SIEM

O streaming de seus registros de atividades para um hub de eventos é necessário para integrar seus registros de atividades com ferramentas de Gerenciamento de Informações e Eventos de Segurança (SIEM), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace de Hubs de Eventos e um hub de eventos em sua assinatura do Azure.

Utilizações recomendadas

As ferramentas SIEM que você pode integrar com seu hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:

• Se você precisa de uma plataforma de streaming de big data e serviço de ingestão de eventos para receber e processar milhões de eventos por segundo.
• Se você deseja transformar e armazenar dados usando um provedor de análise em tempo real ou adaptadores de lote/armazenamento.

Passos rápidos

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
2. Crie um namespace e um hub de eventos de Hubs de Eventos.
3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
4. Escolha os logs que deseja transmitir, selecione a opção Transmitir para um hub de eventos e preencha os campos.
   • Configurar um namespace de Hubs de Eventos e um hub de eventos
   • Saiba mais sobre como transmitir logs de atividades para um hub de eventos

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos Hubs de Eventos do Azure em sua ferramenta.

Acessar logs com a API do Microsoft Graph

A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Ele não requer que um administrador ou desenvolvedor configure uma infraestrutura extra para dar suporte ao seu script ou aplicativo.

Utilizações recomendadas

Usando o Microsoft Graph Explorer, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:

• Exiba as atividades do locatário, como quem fez uma alteração em um grupo e quando.
• Marque um evento de entrada do Microsoft Entra como seguro ou confirmado comprometido.
• Recupere uma lista de entradas de aplicativos dos últimos 30 dias.

Passos rápidos

1. Configure os pré-requisitos.
2. Inicie sessão no Graph Explorer.
3. Defina o método HTTP e a versão da API.
4. Adicione uma consulta e selecione o botão Executar consulta .
   • Familiarize-se com as propriedades do Microsoft Graph para auditorias de diretório
   • Conclua o guia de início rápido do MS Graph

Integrar logs com logs do Azure Monitor

Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos aprimorados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividade do Microsoft Entra aos logs do Azure Monitor, você precisa de um espaço de trabalho do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.

Utilizações recomendadas

A integração de logs do Microsoft Entra com logs do Azure Monitor fornece um local centralizado para consultar logs. Recomendamos a integração de logs com logs do Azure Monitor para os seguintes tipos de cenários:

• Compare os logs de entrada do Microsoft Entra com os logs publicados por outros serviços do Azure.
• Correlacione os logs de entrada com os insights do Aplicativo do Azure.
• Logs de consulta usando parâmetros de pesquisa específicos.

Passos rápidos

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
2. Crie um espaço de trabalho do Log Analytics.
3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
4. Escolha os logs que deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e preencha os campos.
5. Navegue até Análise de Log de integridade do Monitoramento de & Identidade>>e comece a consultar os dados.
   • Integrar logs do Microsoft Entra com logs do Azure Monitor
   • Saiba como consultar usando o Log Analytics

Monitorar eventos com o Microsoft Sentinel

O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao seu centro de operações de segurança deteção de segurança quase em tempo real e caça a ameaças. O termo caça a ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Ao contrário da proteção clássica, a caça a ameaças tenta identificar proativamente ameaças potenciais que podem prejudicar o seu sistema. Os dados do seu registo de atividades podem fazer parte da sua solução de caça a ameaças.

Utilizações recomendadas

Recomendamos o uso dos recursos de deteção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análises de segurança e inteligência contra ameaças. Use o Microsoft Sentinel se precisar:

• Colete dados de segurança em toda a sua empresa.
• Detete ameaças com vasta inteligência sobre ameaças.
• Investigue incidentes críticos guiados por IA.
• Responda rapidamente e automatize a proteção.

Passos rápidos

1. Saiba mais sobre os pré-requisitos, funções e permissões.
2. Estimar custos potenciais.
3. Integrado ao Microsoft Sentinel.
4. Colete dados do Microsoft Entra.
5. Comece a caçar ameaças.

Ver registos através do centro de administração do Microsoft Entra

Para investigações pontuais com um escopo limitado, o centro de administração do Microsoft Entra geralmente é a maneira mais fácil de encontrar os dados de que você precisa. A interface do usuário para cada um desses relatórios fornece opções de filtro que permitem que você encontre as entradas necessárias para resolver seu cenário.

Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode revisar os logs de entrada, auditoria e provisionamento para cenários únicos ou usar relatórios para examinar padrões e tendências. Os dados dos logs de atividade ajudam a preencher os relatórios de Proteção de Identidade, que fornecem deteções de risco relacionadas à segurança da informação que o Microsoft Entra ID pode detetar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de uso e insights, que fornecem detalhes de uso para os aplicativos do seu locatário.

Utilizações recomendadas

Os relatórios disponíveis no portal do Azure fornecem uma ampla gama de recursos para monitorar atividades e uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.

• Pesquise a atividade de início de sessão de um utilizador ou acompanhe a utilização de uma aplicação.
• Analise os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
• Use os relatórios de Proteção de Identidade para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
• Para garantir que os usuários possam acessar os aplicativos em uso em seu locatário, você pode revisar a taxa de sucesso de entrada no relatório de atividade do aplicativo Microsoft Entra (visualização) em Uso e insights.
• Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório Métodos de autenticação de Uso e insights.

Passos rápidos

Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.

Logs de atividades do Microsoft Entra

1. Navegue até Integridade do Monitoramento de Identidade>, Logs de auditoria, Logs/de entrada, Logs/ de &>provisionamento.
2. Ajuste o filtro de acordo com as suas necessidades.
   • Saiba como filtrar registos de atividade
   • Explore as categorias e atividades do log de auditoria do Microsoft Entra
   • Saiba mais sobre as informações básicas nos logs de entrada do Microsoft Entra

Relatórios de Proteção de ID do Microsoft Entra

1. Navegue até Proteção>de identidade.
2. Explore os relatórios disponíveis.
   • Saiba mais sobre a Proteção de Identidade
   • Saiba como investigar o risco

Relatórios de uso e insights

1. Navegue até Integridade do monitoramento de &>identidade>: Uso e insights.
2. Explore os relatórios disponíveis.
   • Saiba mais sobre o relatório Uso e informações

Exportar logs para armazenamento e consultas

A solução certa para o seu armazenamento a longo prazo depende do seu orçamento e do que planeia fazer com os dados. Você tem três opções:

• Arquivar logs no Armazenamento do Azure
• Baixar logs para armazenamento manual
• Integrar logs com logs do Azure Monitor

O Armazenamento do Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs de diretório em uma conta de armazenamento.

Se você planeja consultar os logs com frequência para executar relatórios ou executar análises nos logs armazenados, deve integrar seus dados aos logs do Azure Monitor.

Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividades, você pode baixar manualmente seus registros. A interface de usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o Armazenamento do Azure ou o Azure Monitor.

Utilizações recomendadas

Recomendamos configurar uma conta de armazenamento para arquivar seus registros de atividades para os cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.

Se pretender armazenar a longo prazo e executar consultas nos dados, consulte a secção sobre a integração dos seus registos de atividade com os Registos do Azure Monitor.

Recomendamos baixar e armazenar manualmente seus registros de atividades se você tiver restrições orçamentárias.

Passos rápidos

Use as etapas básicas a seguir para arquivar ou baixar seus registros de atividades.

Arquivar registos de atividades numa conta de armazenamento

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
2. Criar uma conta de armazenamento.
3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
4. Escolha os logs que deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.
   • Rever as políticas de retenção de dados

Baixar manualmente os registros de atividades

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
2. Navegue até Integridade do Monitoramento de Identidade>, Logs de auditoria, Logs/de entrada, Logs/ de>& provisionamento, no menu Monitoramento.
3. Selecione Transferir.
   • Saiba mais sobre como transferir registos.

Próximos passos

• Transmitir logs para um hub de eventos
• Arquivar logs em uma conta de armazenamento
• Integrar logs com logs do Azure Monitor