Habilitar auditorias de segurança e DNS do Microsoft Entra Domain Services
As auditorias de segurança e DNS do Microsoft Entra Domain Services permitem que o Azure transmita eventos para os recursos de destino. Esses recursos incluem o armazenamento do Azure, os workspaces do Log Analytics do Azure ou os Hubs de Eventos do Azure. Depois que você habilitar os eventos de auditoria de segurança, o Domain Services envia todos os eventos auditados da categoria selecionada ao recurso de destino.
Você pode arquivar eventos no armazenamento do Azure e transmitir eventos para o software SIEM (gerenciamento de eventos e informações de segurança) ou equivalente, usando os Hubs de Eventos do Azure ou fazer sua própria análise e usar os workspaces do Log Analytics do Azure no centro de administração do Microsoft Entra.
Destinos de auditoria de segurança
Você pode usar o armazenamento do Azure, os Hubs de Eventos do Azure ou os workspaces do Log Analytics do Azure como um recurso de destino das auditorias de segurança do Domain Services. Esses destinos podem ser combinados. Por exemplo, você pode usar o armazenamento do Azure para arquivar eventos de auditoria de segurança, mas um workspace do Log Analytics do Azure para analisar e relatar as informações a curto prazo.
A tabela a seguir descreve cenários para cada tipo de recurso de destino.
Importante
Você precisa criar o recurso de destino antes de habilitar as auditorias de segurança do Domain Services. Você pode criar esses recursos usando o centro de administração do Microsoft Entra, o Azure PowerShell ou a CLI do Azure.
| Recurso de destino | Cenário |
|---|---|
| Armazenamento do Azure | Esse destino deve ser usado quando sua principal necessidade for armazenar eventos de auditoria de segurança para fins de arquivamento. Outros destinos podem ser usados para fins de arquivamento, no entanto, eles fornecem funcionalidades além da necessidade principal de arquivamento. Antes de habilitar os eventos de auditoria de segurança do Domain Services, primeiro crie uma conta de armazenamento do Azure. |
| Hubs de Eventos do Azure | Esse destino deve ser usado quando a principal necessidade for compartilhar eventos de auditoria de segurança com software adicional, como software de análise de dados ou software de SIEM (gerenciamento de evento e informações de segurança). Antes de habilitar os eventos de auditoria de segurança do Domain Services, crie um hub de eventos usando o centro de administração do Microsoft Entra |
| Workspace do Log Analytics do Azure | Esse destino deve ser usado quando a principal necessidade for analisar e revisar auditorias de segurança diretamente do centro de administração do Microsoft Entra. Antes de habilitar os eventos de auditoria de segurança do Domain Services, crie um workspace do Log Analytics no centro de administração do Microsoft Entra. |
Habilitar eventos de auditoria de segurança usando o centro de administração do Microsoft Entra
Para habilitar os eventos de auditoria de segurança do Domain Services usando o centro de administração do Microsoft Entra, conclua as etapas a seguir.
Importante
As auditorias de segurança do Domain Services não são retroativas. Você não pode recuperar ou repetir eventos do passado. O Domain Services só pode enviar eventos que ocorrem após a habilitação das auditorias de segurança.
-
Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.
Pesquise e selecione Microsoft Entra Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
Na janela do Domain Services, selecione Configurações de diagnóstico no lado esquerdo.
Nenhum diagnóstico é configurado por padrão. Para começar, selecione Adicionar configuração de diagnóstico.
Insira um nome para a configuração de diagnóstico, como aadds-auditing.
Marque a caixa para o destino da auditoria de segurança ou DNS desejado. Você pode escolher entre um workspace do Log Analytics, uma conta de armazenamento do Azure, um hub de eventos do Azure ou uma solução de parceiro. Esses recursos de destino já devem existir na sua assinatura do Azure. Você não pode criar os recursos de destino neste assistente.
- Workspaces do Log Analytics do Azure
- Selecione Enviar para o Log Analytics e escolha a Assinatura e o Workspace do Log Analytics que você deseja usar para armazenar os eventos de auditoria.
- Armazenamento do Azure
- Selecione Arquivar em uma conta de armazenamento e, em seguida, escolha Configurar.
- Selecione a Assinatura e a Conta de armazenamento que deseja usar para arquivar os eventos de auditoria.
- Quando estiver tudo pronto, escolha OK.
- Hubs de Eventos do Azure
- Selecione Transmitir para um hub de eventos e, em seguida, escolha Configurar.
- Selecione a Assinatura e o Namespace do hub de eventos. Se necessário, escolha também um Nome do hub de eventos e, em seguida, Nome da política do hub de eventos.
- Quando estiver tudo pronto, escolha OK.
- Solução de parceiro
- Selecione Enviar para a solução de parceiro e escolha a Assinatura e o Destino que deseja usar para armazenar os eventos de auditoria.
- Workspaces do Log Analytics do Azure
Selecione as categorias de log que você deseja incluir para o recurso de destino específico. Se você enviar os eventos de auditoria para uma conta de Armazenamento do Azure, também poderá configurar uma política de retenção que define o número de dias para reter os dados. Uma configuração padrão de 0 retém todos os dados e não gira eventos após um período.
Você pode selecionar categorias de log diferentes para cada recurso de destino em uma única configuração. Essa capacidade permite escolher quais categorias de logs deseja manter para o Log Analytics e quais categorias de logs deseja arquivar, por exemplo.
Ao concluir, selecione Salvar para confirmar as alterações. Os recursos de destino começam a receber os eventos de auditoria do Domain Services logo após a configuração ser salva.
Habilitar os eventos de auditoria de segurança e DNS usando o Azure PowerShell
Para habilitar os eventos de auditoria de segurança e DNS do Domain Services usando o Azure PowerShell, conclua as etapas a seguir. Se necessário, primeiro instale o módulo do Azure PowerShell e conecte-se à sua assinatura do Azure.
Importante
As auditorias do Domain Services não são retroativas. Você não pode recuperar ou repetir eventos do passado. O Domain Services só pode enviar eventos que ocorrem após a habilitação das auditorias.
Autentique a sua assinatura do Azure usando o cmdlet Connect-AzAccount. Quando solicitado, insira as credenciais da sua conta.
Connect-AzAccountCrie o recurso de destino para os eventos de auditoria.
Workspace do Log Analytics do Azure - Criar um workspace do Log Analytics com o Azure PowerShell.
Armazenamento do Azure - Criar uma conta de armazenamento usando o Azure PowerShell
Hubs de eventos do Azure - Criar um hub de eventos usando o Azure PowerShell. Talvez você também precise usar o cmdlet New-AzEventHubAuthorizationRule para criar uma regra de autorização que conceda permissões ao Domain Services no namespace do hub de eventos. A regra de autorização deve incluir os direitos de Gerenciar, Escutar e Enviar.
Importante
Verifique se você definiu a regra de autorização no namespace do hub de eventos e não no próprio hub de eventos.
Obtenha a ID do recurso para seu domínio gerenciado do Domain Services usando o cmdlet Get-AzResource. Crie uma variável chamada $aadds.ResourceId para manter o valor:
$aadds = Get-AzResource -name aaddsDomainNameDefina as configurações do Diagnóstico do Azure usando o cmdlet Set-AzDiagnosticSetting para utilizar o recurso de destino para eventos de auditoria dos Microsoft Entra Domain Services. Nos exemplos a seguir, a variável $aadds.ResourceId é usada na etapa anterior.
Armazenamento do Azure; substitua storageAccountId pelo nome da sua conta de armazenamento:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueHubs de eventos do Azure; substitua eventHubName pelo nome do hub de eventos e eventHubRuleId pela ID da regra de autorização:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueWorkspaces do Log Analytics do Azure; substitua workspaceId pela ID do workspace do Log Analytics:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
Consultar e exibir eventos de auditoria de segurança e DNS usando o Azure Monitor
Os workspaces do Log Analytics permitem exibir e analisar os eventos de auditoria de segurança e DNS usando o Azure Monitor e a Linguagem de Consulta Kusto. Essa linguagem de consulta é projetada para uso somente leitura e apresenta recursos de análise avançados com uma sintaxe fácil de ler. Para obter mais informações sobre como começar a usar as Linguagens de Consulta Kusto, confira os seguintes artigos:
- Documentação do Azure Monitor
- Get started with Log Analytics in Azure Monitor
- Get started with log queries in Azure Monitor
- Create and share dashboards of Log Analytics data
As amostras de consultas a seguir podem ser usadas para começar a analisar os eventos de auditoria do Domain Services.
Amostra de consulta 1
Exibir todos os eventos de bloqueio de conta dos últimos sete dias:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Amostra de consulta 2
Exibir todos os eventos de bloqueio de conta (4740) entre 3 de junho de 2020 às 9h e 10 de junho de 2020 às 00h00, com classificação crescente de acordo com data e hora:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
Amostra de consulta 3
Exibir eventos de entrada da conta de sete dias atrás (a partir de agora) para o usuário nomeado da conta:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Amostra de consulta 4
Exibir eventos de entrada da conta de sete dias atrás a partir de agora para o usuário nomeado da conta que tentou iniciar sessão usando uma senha incorreta (0xC0000006a):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Amostra de consulta 5
Exibir eventos de entrada da conta de sete dias atrás a partir de agora para o usuário nomeado da conta que tentou iniciar sessão enquanto a conta estava bloqueada (0xC0000234):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Amostra de consulta 6
Exibir o número de eventos de entrada da conta de sete dias atrás a partir de agora para todas as tentativas de login que ocorreram de todos os usuários bloqueados:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
Auditar categorias de eventos de segurança e DNS
As auditorias de segurança e DNS do Domain Services estão alinhadas com a auditoria tradicional dos controladores de domínio tradicionais do AD DS. Em ambientes híbridos, você pode reutilizar padrões de auditoria existentes para que a mesma lógica possa ser usada ao analisar os eventos. Dependendo do cenário que você precisa solucionar problemas ou analisar; as diferentes categorias de eventos de auditoria precisam ser direcionadas.
As seguintes categorias de eventos de auditoria estão disponíveis:
| Nome da categoria de auditoria | Descrição |
|---|---|
| Logon da conta | As auditorias tentam autenticar os dados de conta em um controlador de domínio ou em um SAM (gerenciador de contas de segurança) local. As configurações e eventos da política de logon e logoff acompanham as tentativas de acesso a um computador específico. As configurações e os eventos nessa categoria se concentram no banco de dados de conta usado. Essa categoria inclui as seguintes subcategorias: -Auditar a Validação de Credenciais -Auditar o Serviço de Autenticação Kerberos -Auditar as Operações de Tíquetes de Serviço do Kerberos -Auditar outros eventos de Logon/Logoff |
| Gerenciamento de conta | Audita as alterações em contas e grupos de usuários e computadores. Essa categoria inclui as seguintes subcategorias: -Auditar o Gerenciamento do Grupo de Aplicativos -Auditar o Gerenciamento de Contas de Computadores -Auditar o Gerenciamento do Grupo de Distribuição -Auditar o Gerenciamento de Outras Contas -Auditar o Gerenciamento do Grupo de Segurança -Auditar o Gerenciamento de Contas de Usuário |
| Servidor DNS | Audita as mudanças nos ambientes de DNS. Essa categoria inclui as seguintes subcategorias: - DNSServerAuditsDynamicUpdates (preview) - DNSServerAuditsGeneral (preview) |
| Acompanhamento de detalhes | Audita atividades de aplicativos individuais e usuários nesse computador e para entender como um computador está sendo usado. Essa categoria inclui as seguintes subcategorias: -Auditar Atividade de DPAPI -Auditar Atividade do PNP -Auditar Criação do Processo -Auditar Término do Processo -Auditar Eventos de RPC |
| Acesso dos serviços de diretório | Audita tentativas de acessar e modificar objetos no AD DS (Active Directory Domain Services). Esses eventos de auditoria são registrados em log somente em controladores de domínio. Essa categoria inclui as seguintes subcategorias: -Auditar a Duplicação Detalhada do Serviço de Diretório -Auditar o Acesso ao Serviço de Diretório -Auditar as Alterações no Serviço de Diretório -Auditar a Duplicação do Serviço de Diretório |
| Logon e Logoff | Audita tentativas de logar em um computador interativamente ou em uma rede. Esses eventos são úteis para acompanhar a atividade do usuário e identificar possíveis ataques em recursos de rede. Essa categoria inclui as seguintes subcategorias: -Auditar Bloqueio de Conta -Auditar Declarações do Usuário/Dispositivo -Auditar Modo Estendido do IPsec -Auditar a Associação de Grupo -Auditar Modo Principal do IPsec -Auditar Modo Rápido do IPsec -Auditar Logoff -Auditar Logon -Auditar Servidor de Políticas de Rede -Auditar outros eventos de Logon/Logoff -Auditar Logon Especial |
| Acesso a objetos | Audita tentativas de acessar objetos específicos ou tipos de objetos em uma rede ou computador. Essa categoria inclui as seguintes subcategorias: -Auditar Aplicativo Gerado -Auditar Serviços de Certificação -Auditar Compartilhamento de Arquivos Detalhado -Auditar Compartilhamento de Arquivos -Auditar Sistema de Arquivos -Auditar Conexão da Plataforma de Filtragem -Auditar Descarte do Pacote da Plataforma de Filtragem -Auditar Manipulação do Identificador -Auditar Objeto do Kernel -Auditar Outros Eventos de Acesso a Objetos -Auditar Registro -Auditar Armazenamento Removível -Auditar SAM -Auditar Preparo da Política de Acesso Central |
| Alteração da política | Audita alterações em importantes políticas de segurança em um sistema ou rede local. As políticas normalmente são estabelecidas por administradores para ajudar a proteger os recursos de rede. O monitoramento de alterações ou tentativas de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança para uma rede. Essa categoria inclui as seguintes subcategorias: -Auditar Alteração da Política de Auditoria -Auditar Alteração da Política de Autenticação -Auditar Alteração da Política de Autorização -Auditar Alteração da Política da Plataforma de Filtragem -Auditar Alteração da Política de Nível de Regra MPSSVC -Auditar Outras Alterações de Política |
| Uso de privilégios | Audita o uso de determinadas permissões em um ou mais sistemas. Essa categoria inclui as seguintes subcategorias: -Auditar Uso de Privilégios Não Confidenciais -Auditoria do uso de privilégios confidenciais -Auditar Outros Eventos de Uso de Privilégios |
| Sistema | Audita alterações no nível do sistema em um computador não incluído em outras categorias e que tem possíveis implicações de segurança. Essa categoria inclui as seguintes subcategorias: -Auditar Driver IPsec -Auditar Outros Eventos do Sistema -Auditar Alteração do Estado de Segurança -Auditar Extensão do Sistema de Segurança -Auditar Integridade do Sistema |
IDs de eventos por categoria
As auditorias de segurança e DNS do Domain Services registram as seguintes IDs de eventos quando a ação específica aciona um evento auditável:
| Nome da categoria de eventos | IDs de eventos |
|---|---|
| Segurança de logon da conta | 4767, 4774, 4775, 4776, 4777 |
| Segurança do gerenciamento de conta | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Segurança de acompanhamento de detalhes | Nenhum |
| Servidor DNS | 513-523, 525-531, 533-537, 540-582 |
| Segurança de acesso DS | 5136, 5137, 5138, 5139, 5141 |
| Segurança de logon e logoff | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| Segurança de acesso a objetos | Nenhum |
| Segurança de alteração de política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Segurança de uso de privilégio | 4985 |
| Segurança do sistema | 4612, 4621 |
Próximas etapas
Para obter informações específicas sobre o Kusto, confira os seguintes artigos:
- Visão geral da Linguagem de Consulta Kusto.
- Tutorial do Kusto para você se familiarizar com as noções básicas de consulta.
- Amostras de consultas que ajudam você a aprender novas maneiras de ver seus dados.
- Melhores práticas do Kusto para otimizar suas consultas para êxito.