Auditar a atividade de usuário

Depois que você configurar o acesso do usuário para o portal do Azure, nos sensores de rede OT e em um console de gerenciamento local, o ideal será acompanhar e auditar a atividade do usuário em todo o Microsoft Defender para IoT.

Auditar a atividade do usuário do Azure

Use os recursos de auditoria de usuário do Microsoft Entra para auditar a atividade de usuário do Azure no Defender para IoT. Para saber mais, veja:

• Logs de auditoria no Microsoft Entra ID
• Referência de atividades de auditoria do Microsoft Entra

Auditar a atividade do usuário em um sensor de rede OT

Audite e acompanhe a atividade do usuário na Linha do tempo de evento de um sensor. A Linha do tempo do evento exibe os eventos que ocorreram no sensor, os dispositivos afetados em cada evento e a hora e a data em que o evento ocorreu.

Observação

Esse procedimento é compatível com os usuários padrão e privilegiados administrador e com qualquer usuário com a função administrador.

Para usar a Linha do Tempo de Evento do sensor:

1. Faça login no console do sensor como usuário administrador privilegiado padrão ou qualquer usuário com função administrador.

2. No sensor, selecione Linha do Tempo do Evento no menu à esquerda. Verifique se o filtro está definido para mostrar Operações do Usuário.

   Por exemplo:

   

3. Use filtros adicionais ou pesquise o conteúdo usando CTRL + F para encontrar as informações de seu interesse.

   Para obter mais informações sobre a linha do tempo do evento, confira Acompanhar a atividade de rede e de sensor com a linha do tempo do evento

Auditar a atividade do usuário em um console de gerenciamento local

Importante

O Defender para IoT agora recomenda o uso de serviços de nuvem da Microsoft ou infraestrutura de TI existente para monitoramento central e gerenciamento de sensores, e planeja desativar o console de gerenciamento local em 1º de janeiro de 2025.

Para obter mais informações, consulte Implantar o gerenciamento de sensores OT híbridos ou com cobertura de ar.

Para auditar e acompanhar a atividade do usuário em um console de gerenciamento local, use os logs de auditoria do console de gerenciamento local, que registram os principais dados de atividade no momento da ocorrência. Use os logs de auditoria do console de gerenciamento local para entender as alterações feitas no console de gerenciamento local, quando e por quem.

Para acessar os logs da auditoria do console de gerenciamento local:

Entre no console de gerenciamento local e selecione Configurações do Sistema >Estatísticas do Sistema>Log de auditoria.

A caixa de diálogo exibe dados do log de auditoria ativo no momento. Por exemplo:

Por exemplo:

Novos logs de auditoria são gerados a cada 10 MB. Um log anterior é armazenado além do arquivo de log ativo atual.

Os logs de auditoria incluem os seguintes dados:

Ação	Informações registradas
Tomar conhecimento e corrigir alertas	ID do Alerta
Alterações de senha	Usuário, ID de usuário
Logon	Usuário
Criação de usuário	Usuário, Função de usuário
Redefinição de senha	Nome de usuário
Regras de exclusão – Criação	Resumo da regra
Regras de exclusão – Edição	ID da regra, Resumo da regra
Regras de exclusão – Exclusão	ID da regra
Atualização do console de gerenciamento	O arquivo de atualização usado
Nova tentativa de atualização do sensor	ID do Sensor
Pacote de TI carregado	Não foi registrada nenhuma informação adicional.

Dica

Talvez você também queira exportar seus logs de auditoria para enviá-los à equipe de suporte para solução de problemas extra. Para obter mais informações, confira Exportar logs do console de gerenciamento local para solução de problemas.

Próximas etapas

Para obter mais informações, consulte:

• Gerenciamento de usuário do Microsoft Defender para IoT
• Funções e permissões de usuário do Azure do Defender para IoT
• Usuários e funções locais para monitoramento de OT com o Defender para IoT
• Criar e gerenciar usuários em um sensor de rede OT
• Criar e gerenciar usuários em um console de gerenciamento local