Integrações de log de atividades do Microsoft Entra

Usando as configurações de diagnóstico no Microsoft Entra ID, você pode rotear logs de atividade para vários pontos de extremidade para retenção de dados e insights de longo prazo. Você pode arquivar logs para armazenamento, rotear para ferramentas de Gerenciamento de Informações de Segurança e Eventos (SIEM) e integrar logs com logs do Azure Monitor.

Com essas integrações, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. Este artigo descreve os usos recomendados para cada tipo de integração ou método de acesso. Considerações de custo para enviar logs de atividades do Microsoft Entra para vários pontos de extremidade também são abordadas.

Relatórios suportados

Os logs a seguir podem ser integrados a um dos muitos pontos de extremidade:

Opções de integração

Para ajudar a escolher o método certo para integrar os logs de atividades do Microsoft Entra para armazenamento ou análise, pense na tarefa geral que você está tentando realizar. Agrupamos as opções em três categorias principais:

  • Resolução de problemas
  • Armazenamento a longo prazo
  • Análise e monitorização

Resolução de problemas

Se você estiver executando tarefas de solução de problemas, mas não precisar reter os logs por mais de 30 dias, recomendamos usar o portal do Azure ou o Microsoft Graph para acessar os logs de atividades. Você pode filtrar os logs do seu cenário e exportá-los ou baixá-los conforme necessário.

Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, dê uma olhada nas opções de armazenamento de longo prazo.

Armazenamento a longo prazo

Se você estiver executando tarefas de solução de problemas e precisar reter os logs por mais de 30 dias, poderá exportar seus logs para uma conta de armazenamento do Azure. Essa opção é ideal para você não planejar consultar esses dados com frequência.

Se você precisar consultar os dados que está retendo por mais de 30 dias, dê uma olhada nas opções de análise e monitoramento.

Análise e monitorização

Se o seu cenário exigir que você retenha dados por mais de 30 dias e você planeja consultar esses dados regularmente, você tem algumas opções para integrar seus dados com ferramentas SIEM para análise e monitoramento.

Se você tiver uma ferramenta SIEM de terceiros, recomendamos configurar um namespace de Hubs de Eventos e um hub de eventos pelo qual você possa transmitir seus dados. Com um hub de eventos, você pode transmitir logs para uma das ferramentas SIEM suportadas.

Se você não planeja usar uma ferramenta SIEM de terceiros, recomendamos enviar seus logs de atividade do Microsoft Entra para os logs do Azure Monitor. Com essa integração, você pode consultar seus registros de atividades com o Log Analytics. Além dos logs do Azure Monitor, o Microsoft Sentinel fornece deteção de segurança quase em tempo real e caça a ameaças. Se você decidir integrar com ferramentas SIEM mais tarde, poderá transmitir seus logs de atividade do Microsoft Entra junto com seus outros dados do Azure por meio de um hub de eventos.

Considerações de custos

Há um custo para enviar dados para um espaço de trabalho do Log Analytics, arquivar dados em uma conta de armazenamento ou transmitir logs para um hub de eventos. A quantidade de dados e o custo incorrido podem variar significativamente dependendo do tamanho do locatário, do número de políticas em uso e até mesmo da hora do dia.

Como o tamanho e o custo do envio de logs para um ponto de extremidade é difícil de prever, a maneira mais precisa de determinar os custos esperados é rotear os logs para um ponto de extremidade por um ou dois dias. Com esse instantâneo, você pode obter uma previsão precisa para os custos esperados. Você também pode obter uma estimativa de seus custos baixando uma amostra de seus logs e multiplicando de acordo para obter uma estimativa para um dia.

Outras considerações para enviar logs do Microsoft Entra para logs do Azure Monitor são abordadas nos seguintes artigos de detalhes de custo do Azure Monitor:

O Azure Monitor fornece a opção de excluir eventos inteiros, campos ou partes de campos ao ingerir logs da ID do Microsoft Entra. Saiba mais sobre esse recurso de economia de custos na transformação de coleta de dados no Azure Monitor.

Estimativa dos seus custos

Para estimar os custos para sua organização, você pode estimar o tamanho diário do log ou o custo diário para integrar seus logs com um ponto de extremidade.

Os seguintes fatores podem afetar os custos para a sua organização:

  • Os eventos de log de auditoria usam cerca de 2 KB de armazenamento de dados
  • Os eventos de log de entrada usam, em média, 11,5 KB de armazenamento de dados
  • Um inquilino de cerca de 100.000 usuários poderia incorrer em cerca de 1,5 milhão de eventos por dia
  • Os eventos são agrupados em intervalos de cerca de 5 minutos e enviados como uma única mensagem que contém todos os eventos dentro desse período de tempo

Tamanho diário do log

Para estimar o tamanho do log diário, reúna uma amostra de seus logs, ajuste o exemplo para refletir o tamanho e as configurações do locatário e aplique esse exemplo à calculadora de preços do Azure.

Se você não tiver baixado logs do centro de administração do Microsoft Entra antes, consulte o artigo Como baixar logs no Microsoft Entra ID . Dependendo do tamanho da sua organização, talvez seja necessário escolher um tamanho de amostra diferente para iniciar sua estimativa. Os seguintes tamanhos de amostra são um bom ponto de partida:

  • 1000 registos
  • Para grandes inquilinos, 15 minutos de login
  • Para inquilinos pequenos e médios, 1 hora de início de sessão

Você também deve considerar a distribuição geográfica e as horas de pico de seus usuários ao capturar sua amostra de dados. Se sua organização estiver baseada em uma região, é provável que os logins atinjam o pico ao mesmo tempo. Ajuste o tamanho da amostra e quando capturar a amostra de acordo.

Com a amostra de dados capturada, multiplique de acordo para descobrir o tamanho do arquivo por um dia.

Estimar o custo diário

Para ter uma ideia de quanto uma integração de log pode custar para sua organização, você pode habilitar uma integração por um ou dois dias. Use esta opção se o seu orçamento permitir o aumento temporário.

Para habilitar uma integração de log, siga as etapas no artigo Integrar logs de atividade com logs do Azure Monitor. Se possível, crie um novo grupo de recursos para os logs e o ponto de extremidade que você deseja experimentar. Ter um grupo de recursos dedicado facilita a visualização da análise de custos e, em seguida, a exclusão quando terminar.

Com a integração habilitada, navegue até Análise de custos de gerenciamento de>custos do portal>do Azure. Existem várias formas de analisar os custos. Este guia de início rápido de gerenciamento de custos deve ajudá-lo a começar. Os valores na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os montantes reais.

Screenshot of a cost analysis breakdown as a pie chart.

Certifique-se de que está a utilizar o seu novo grupo de recursos como âmbito. Explore os custos diários e as previsões para ter uma ideia de quanto sua integração de log pode custar.

Calcular custos estimados

Na página inicial da calculadora de preços do Azure, você pode estimar os custos de vários produtos.

Depois de ter uma estimativa para o GB/dia que será enviado para um ponto de extremidade, insira esse valor na calculadora de preços do Azure. Os valores na captura de tela a seguir são usados para fins de exemplo e não se destinam a refletir os preços reais.

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.

Próximos passos