Examinar eventos de auditoria de segurança no Microsoft Entra Domain Services usando pastas de trabalho do Azure Monitor

Para ajudá-lo a entender o estado do domínio gerenciado do Microsoft Entra Domain Services, você pode habilitar eventos de auditoria de segurança. Esses eventos de auditoria de segurança podem ser revistos usando pastas de trabalho do Azure Monitor que combinam texto, consultas de análise e parâmetros em relatórios interativos avançados. Os Serviços de Domínio incluem modelos de pasta de trabalho para visão geral de segurança e atividade de conta que permitem que você pesquise eventos de auditoria e gerencie seu ambiente.

Este artigo mostra como usar pastas de trabalho do Azure Monitor para examinar eventos de auditoria de segurança no Domain Services.

Antes de começar

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services, habilitado e configurado no seu tenant do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Eventos de auditoria de segurança habilitados para o domínio gerenciado que transmitem dados para um workspace do Log Analytics.
  • Se necessário, habilite auditorias de segurança para os Serviços de Domínio.

Visão geral das Pastas de Trabalho do Azure Monitor

Quando os eventos de auditoria de segurança são ativados nos Serviços de Domínio, pode ser difícil analisar e identificar problemas no domínio gerenciado. O Azure Monitor permite agregar esses eventos de auditoria de segurança e consultar os dados. Com as Pastas de Trabalho do Azure Monitor, você pode visualizar esses dados para torná-los mais rápidos e fáceis de identificar problemas.

Os modelos de pasta de trabalho são relatórios elaborados, projetados para uso flexível por vários usuários e equipes. Quando você abre um modelo de pasta de trabalho, os dados do ambiente do Azure Monitor são carregados. Você pode usar modelos sem impacto sobre outros usuários em sua organização e pode salvar suas próprias pastas de trabalho com base no modelo.

Os Serviços de Domínio incluem os dois modelos de pasta de trabalho a seguir:

• Relatório de visão geral de segurança
• Relatório de atividades da conta

Para obter mais informações sobre como editar e gerenciar pastas de trabalho, consulte a visão geral das Pastas de Trabalho do Azure Monitor.

Usar as pastas de trabalho do relatório de visão geral de segurança

Para ajudá-lo a entender melhor o uso e identificar possíveis ameaças à segurança, o relatório de visão geral de segurança resume os dados de entrada e identifica as contas que talvez você queira verificar. Você pode exibir eventos em um intervalo de datas específico e fazer uma busca detalhada em eventos de entrada específicos, como tentativas de senha incorretas ou em que a conta foi desabilitada.

Para acessar o modelo de pasta de trabalho para o relatório de visão geral de segurança, conclua as seguintes etapas:

1. Pesquise e selecione o Microsoft Entra Domain Services no portal do Azure.

2. Selecione seu domínio gerenciado, como aaddscontoso.com

3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

   

4. Escolha o relatório de visão geral de segurança.

5. Nos menus suspensos na parte superior da pasta de trabalho, selecione a assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

   Escolha um intervalo de tempo, como os últimos 7 dias, conforme mostrado na seguinte captura de tela de exemplo:

   

   As opções de exibição em bloco e exibição em gráfico também podem ser alteradas para analisar e visualizar os dados conforme desejado.

6. Para fazer uma busca detalhada em um tipo de evento específico, selecione um dos cartões de Resultado de Entrada, como Conta Bloqueada, conforme mostrado no exemplo a seguir:

   

7. A parte inferior do relatório de visão geral de segurança abaixo do gráfico divide o tipo de atividade selecionado. Você pode filtrar por nomes de usuário envolvidos no lado direito, conforme mostrado no seguinte relatório de exemplo:

   

Usar a pasta de trabalho do relatório de atividade da conta

Para ajudá-lo a solucionar problemas de uma conta de usuário específica, o relatório de atividades da conta apresenta de forma detalhada as informações do log de eventos de auditoria. Você pode examinar quando um nome de usuário ou senha incorreto foi fornecido durante a entrada e a origem da tentativa de entrada.

Para acessar o modelo de pasta de trabalho do relatório de atividades da conta, conclua as seguintes etapas:

1. Pesquise e selecione o Microsoft Entra Domain Services no portal do Azure.

2. Selecione seu domínio gerenciado, como aaddscontoso.com

3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

4. Escolha o Relatório de Atividades da Conta.

5. Nos menus suspensos na parte superior da pasta de trabalho, selecione a assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

   Escolha um intervalo de tempo, como últimos 30 dias, e, em seguida, como você deseja que o modo de exibição de bloco represente os dados.

   Você pode filtrar por nome de usuário da conta, como felix, conforme mostrado no seguinte relatório de exemplo:

   

   A área abaixo do gráfico mostra eventos de entrada individuais, juntamente com informações como o resultado da atividade e a estação de trabalho de origem. Essas informações podem ajudar a determinar fontes repetidas de eventos de entrada que podem causar bloqueios de conta ou indicar um possível ataque.

Assim como acontece com o relatório de visão geral de segurança, você pode fazer uma busca detalhada nos diferentes blocos na parte superior do relatório para visualizar e analisar os dados conforme necessário.

Salvar e editar pastas de trabalho

As duas pastas de trabalho de modelo fornecidas pelos Serviços de Domínio são um bom ponto de partida para a sua própria análise de dados. Se você precisar ficar mais granular nas consultas e investigações de dados, poderá salvar suas próprias pastas de trabalho e editar as consultas.

1. Para salvar uma cópia de um dos modelos de pasta de trabalho, selecione Editar > Salvar como > Relatórios Compartilhados e, em seguida, forneça um nome e salve-o.
2. Na sua própria cópia do modelo, selecione Editar para entrar no modo de edição. Você pode escolher o botão Editar azul ao lado de qualquer parte do relatório e alterá-lo.

Todos os gráficos e tabelas nas Pastas de Trabalho do Azure Monitor são gerados usando consultas Kusto. Para obter mais informações sobre como criar suas próprias consultas, consulte o tutorial de consultas de log do Azure Monitor e consultas Kusto.

Próximas etapas

Se você precisar ajustar as políticas de senha e bloqueio, consulte políticas de bloqueio de senha e conta em domínios gerenciados.

Para problemas com usuários, saiba como solucionar problemas de entrada da conta ou problemas de bloqueio de conta.