Como acessar logs de atividade no Azure Active Directory
Os dados nos logs do Azure Active Directory (Azure AD) permitem que você avalie muitos aspectos de seu locatário do Azure AD. Para abranger uma ampla gama de cenários, o Azure Active Directory oferece várias opções para acessar seus dados de log de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que você possa selecionar o método de acesso certo para seu cenário.
Este artigo mostra como acessar os logs de atividades do Azure AD e fornece casos de uso comuns para acessar dados de logs do Azure AD, incluindo recomendações para o método de acesso correto. O artigo também descreve relatórios relacionados que usam os dados contidos nos logs de atividades.
Pré-requisitos
A exibição dos logs de auditoria está disponível para os recursos para os quais você possui licenças. Se você tem uma licença para um recurso específico, também tem acesso às informações da trilha de auditoria dele. Para acessar os logs de atividades de entrada, seu locatário deve ter uma licença do Azure AD Premium associada a ele.
As funções a seguir fornecem acesso de leitura aos logs de auditoria e de entrada. Sempre use a função com menos privilégios, de acordo com as diretrizes de Confiança Zero da Microsoft.
- Leitor de Relatórios
- Leitor de segurança
- Administrador de Segurança
- Leitor Global (somente logs de entrada)
- Administrador Global
Acessar os logs de atividades no portal
- Navegue até o portal do Azure usando uma das funções necessárias.
- Acesse o Azure AD e selecione Logs de auditoria, Logs de entrada ou Logs de provisionamento.
- Ajuste o filtro de acordo com suas necessidades.
- Para obter mais informações sobre as opções de filtro para logs de auditoria, consulte Atividades e categorias do log de auditoria do Azure AD.
- Para obter mais informações sobre os logs de entrada, consulte Informações básicas nos logs de entrada do Azure AD.
Logs e relatórios que usam dados do log de atividades
Os dados capturados nos logs de atividades do Azure AD são usados em muitos relatórios e serviços. Você pode examinar os logs de entrada, os logs de auditoria e os logs de provisionamento para cenários específicos ou usar os relatórios para examinar padrões e tendências. Por exemplo, os logs de entrada são úteis ao pesquisar a atividade de entrada de um usuário ou acompanhar o uso de um aplicativo. Se você quiser ver tendências ou ver como suas políticas afetam os dados, comece com os relatórios do Azure AD Identity Protection ou use as Configurações de diagnóstico para enviar seus dados ao Azure Monitor para análise posterior.
Logs de auditoria
Os logs de auditoria capturam uma ampla variedade de dados. Alguns exemplos dos tipos de atividade capturados nos logs estão incluídos na lista a seguir. Novas informações de auditoria são adicionadas periodicamente e, portanto, esta lista não é exaustiva.
- Atividade de registro e redefinição de senha
- Atividade dos grupos de autoatendimento
- Alterações no nome do grupo Microsoft 365
- Erros e atividade de provisionamento de conta
- Atividade do Privileged Identity Management
- Atividade de conformidade e registro do dispositivo
Relatórios de atividades anômalas
Relatórios de atividade anômalas fornecem informações sobre detecções de risco relacionados à segurança que o Azure AD pode detectar e relatar.
A tabela a seguir lista os relatórios de segurança de atividades anômalas do Azure AD e os tipos de detecção de risco correspondentes no Portal do Azure. Para obter mais informações, confira Detecções de risco do Azure Active Directory.
| Relatório de atividades anômalas do Azure AD | Tipo de detecção de risco do Identity Protection |
|---|---|
| Usuários com credenciais vazadas | Credenciais vazadas |
| Atividades de entrada irregulares | Viagem impossível a locais atípicos |
| Entradas de dispositivos possivelmente infectados | Entradas de dispositivos infectados |
| Entradas de fontes desconhecidas | Entradas de endereços IP anônimos |
| Entradas de endereços IP com atividade suspeita | Entradas de endereços IP com atividade suspeita |
| - | Entradas de locais desconhecidos |
Os seguintes relatórios de segurança de atividade anômala do Azure AD não são incluídos como detecções de risco no Portal do Azure:
- Entradas após várias falhas
- Entradas de várias geografias
Detecção de risco e Azure AD Identity Protection
Você pode acessar relatórios sobre detecções de risco no Azure AD Identity Protection. Com esse serviço, você pode proteger os usuários examinando as políticas de risco de entrada e de usuário existentes. Você também pode analisar a atividade atual com os seguintes relatórios:
- Usuários de risco
- Identidades de carga de trabalho arriscadas
- Entradas de risco
- Detecções de risco
Para obter mais informações, veja O que é a proteção de identidade?
Investigar uma entrada única
A investigação de um logon único inclui cenários, nos quais você precisa:
Faça uma investigação rápida de um único usuário em um escopo limitado. Por exemplo, um usuário teve problemas para entrar durante um período de algumas horas.
Examine rapidamente um conjunto de eventos relacionados. Por exemplo, comparando os detalhes do dispositivo de uma série de entradas do mesmo usuário.
Recomendação
Para essas investigações única com um escopo limitado, a portal do Azure geralmente é a maneira mais fácil de localizar os dados de que você precisa. A interface do usuário relacionada fornece opções de filtro que permitem que você localize as entradas necessárias para resolver seu cenário.
Confira os seguintes recursos:
- Logs de entrada no Azure Active Directory (versão prévia)
- Logs de entrada no Azure Active Directory
- Analisar as credenciais com o log de entradas do Azure Active Directory
Acesso a partir do código
Há casos em que você precisa acessar periodicamente os logs de atividade de um aplicativo ou de um script.
Recomendação
O método de acesso certo para acessar os logs de atividade do código depende do escopo do seu projeto. Duas opções que você tem são acessar os logs de atividades do API do Microsoft Graph ou enviar seus logs para os Hubs de Eventos do Azure.
A API do Microsoft Graph:
- fornece uma maneira RESTful para consultar dados de entrada do Azure Active Directory em locatários Azure AD Premium.
- Não exige que um administrador ou desenvolvedor configure a infraestrutura adicional para dar suporte ao seu script ou aplicativo.
- Não é projetado para obter grandes quantidades de dados de atividade. Obter grandes quantidades de dados de atividade usando a API leva a problemas com a paginação e o desempenho.
Hubs de Eventos do Azure:
- É uma plataforma de streaming de Big Data e um serviço de ingestão de eventos.
- Pode receber e processar milhões de eventos por segundo.
- Transforma e armazena dados usando qualquer provedor de análise em tempo real ou adaptadores de armazenamento/envio em lote.
Você pode usar:
- A API do Microsoft Graph para consultas com escopo (um conjunto limitado de usuários ou tempo).
- Hubs de Eventos do Azure para extrair grandes conjuntos de dados de entrada.
Detecção de eventos de segurança quase em tempo real e busca de ameaças
Para detectar e parar as ameaças antes que elas possam causar danos ao seu ambiente, você pode ter uma solução de segurança implantada em seu ambiente que pode processar dados do log de atividades em tempo real.
O termo busca de ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Em oposição à proteção clássica, a busca de thread tenta identificar proativamente possíveis ameaças que podem danificar o sistema. Os dados do log de atividades podem fazer parte de sua solução de busca de ameaças.
Recomendação
Para detecção de segurança em tempo real, use o Microsoft Sentinelou os hubs de eventos do Azure.
Você pode usar:
Microsoft Sentinel para fornecer entrada e auditoria de dados para seu centro de operações de segurança para uma detecção de segurança quase em tempo real. Você pode transmitir dados para o Azure Sentinel com o conector do Azure AD interno ao Azure Sentinel. Para mais informações, consulte Conectar os dados do Azure Active Directory ao Azure Sentinel.
Hubs de Eventos do Azure se o centro de operações de segurança usar outra ferramenta. Você pode transmitir eventos de Azure AD usando um Hubs de Eventos do Azure. Para obter mais informações, consulte transmitir logs para um centro de eventos.
Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta. Você pode encontrar instruções para algumas ferramentas SIEM comumente usadas na documentação de relatórios do Azure Active Directory:
Exportar dados para armazenamento de longo prazo
O Azure Active Directory armazena seus dados de log somente por um período limitado. Para obter mais informações, consulte Por quanto tempo o Azure Active Directory armazena dados de relatório.
Se precisar armazenar suas informações de log por um período mais longo devido a motivos de conformidade ou de segurança, você tem algumas opções.
Recomendação
A solução certa para seu armazenamento de longo prazo depende do seu orçamento e do que você planeja fazer com os dados.
Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividade, você poderá fazer um download manual. A interface do usuário dos logs de atividade fornece uma opção para baixar os dados como JSON ou CSV. Para mais informações, consulte Como fazer o download de logs no Azure Active Directory.
Uma compensação do download manual é que ele requer muita interação manual. Se você estiver procurando uma solução mais profissional, use o armazenamento do Azure ou o Azure Monitor.
O Armazenamento do Microsoft Azure é a solução certa para você se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs do diretório para uma conta de armazenamento.
Se você planeja consultar os logs com frequência para executar relatórios ou realizar uma análise nos logs armazenados, armazene seus dados no Azure Monitor. O Azure Monitor fornece recursos internos de emissão de relatórios e alertas. para obter mais informações, consulte integrar logs de Azure Active Directory a logs de Azure Monitor. Depois de configurar a integração, você pode usar Azure Monitor para consultar seus logs. Para obter mais informações, confira Monitorar logs de atividades usando logs do Azure Monitor.
Análise de Log
Um requisito comum é exportar dados da atividade para executar uma análise de log.
Recomendação
Se você não estiver planejando usar uma ferramenta de análise de log independente, use o Azure Monitor ou os hubs de eventos. O Azure Monitor fornece uma maneira muito fácil de analisar logs do Azure Active Directory, bem como outros serviços do Azure e ferramentas independentes. Você pode exportar facilmente os logs para Azure Monitor usando o conector interno. para obter mais informações, consulte integrar logs de Azure Active Directory aos logs de Azure Monitor. Depois de configurar a integração, você pode usar Azure Monitor para consultar seus logs. Para obter mais informações, confira como Analisar logs de atividade do Azure Active Directory com os logs do Azure Monitor.
Você também pode exportar seus logs para uma ferramenta de análise de log independente, como Splunk.