Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Usando as configurações de diagnóstico do Microsoft Entra, é possível rotear os logs de atividades para vários destinos para retenção de longo prazo e análises de dados. Selecione os logs que você quer rotear e, a seguir, selecione o ponto de extremidade.
Este artigo descreve os logs que você pode direcionar para um endpoint usando as configurações de diagnóstico do Microsoft Entra. Os logs são categorizados em camadas com base em sua importância para investigações de segurança.
Requisitos e opções de streaming de log
A configuração de um ponto de extremidade, como, por exemplo, um hub de eventos ou uma conta de armazenamento, pode requerer diferentes funções e licenças. Para criar ou editar uma nova configuração de diagnóstico, você precisa de um usuário que seja um Administrador da segurança para o locatário do Microsoft Entra.
Para ajudar você a decidir qual opção de roteamento de logs é melhor no seu caso, confira Como acessar logs de atividade. O processo e os requisitos de modo geral para cada tipo de ponto de extremidade são abordados nos artigos a seguir:
- Enviar os logs a um workspace do Log Analytics para integração com os logs do Azure Monitor
- Arquivar logs em uma conta de armazenamento
- Transmitir logs para um hub de eventos
- Enviar para uma solução de parceiro
Opções para o registro de atividades
Os logs a seguir podem ser roteados para um destino para fins de armazenamento, análise ou monitoramento.
Logs de auditoria
O relatório AuditLogs captura as alterações em aplicativos, grupos, usuários e licenças do seu locatário do Microsoft Entra. Após ter roteado seus logs de auditoria, você pode filtrar ou analisar, por data/hora, o serviço que registrou o evento e quem fez a alteração. Para obter mais informações, confira Logs de auditoria.
Logs de entrada
Os SignInLogs enviam os logs de entrada interativos, que são logs gerados quando seus usuários fazem login. Os logs de início de sessão são gerados quando usuários fornecem seu nome de usuário e senha em uma tela de início de sessão do Microsoft Entra ou passam por um desafio de MFA. Para obter mais informações, confira Logins interativos de usuário.
Logs de entrada não interativos
Os NonInteractiveUserSIgnInLogs são logins feitos em nome de um usuário, como por um aplicativo cliente. O aplicativo ou cliente usa um token ou código para autenticar ou acessar um recurso em nome de um usuário. Para obter mais informações, confira Logins não interativos de usuário.
Logs de entrada de entidades de serviço
Se você precisar examinar a atividade de entrada para aplicativos ou entidades de serviço, pode ser uma boa opção ServicePrincipalSignInLogs. Nessas situações, certificados ou segredos do cliente são usados para a autenticação. Para mais informações, consulte Service Principal sign-ins.
Logs de credenciais de identidades gerenciadas
Os ManagedIdentitySignInLogs fornecem insights semelhantes aos dos logs de entrada de entidades de serviço, mas para identidades gerenciadas, cujos segredos são gerenciados pelo Azure. Para obter mais informações, confira Logins de identidades gerenciadas.
Como provisionar logs
Se a sua organização provisionar usuários por meio de um aplicativo que não seja da Microsoft, como o Workday ou o ServiceNow, convém exportar os relatórios ProvisioningLogs. Para saber mais, confira Logs de provisionamento.
Registros de acesso do AD FS
A atividade de login para aplicativos dos Serviços Federados do Active Directory (AD FS) é capturada nestes relatórios de Uso e Insights. Você pode exportar o relatório de ADFSSignInLogs para monitorar a atividade de entrada para aplicativos do AD FS. Para obter mais informações, confira Logs de entrada do AD FS.
Usuários de risco
Os logs de RiskyUsers identificam usuários que estão em risco com base em sua atividade de login. Este relatório faz parte do Microsoft Entra ID Protection e usa os dados de entrada do Microsoft Entra ID. Para obter mais informações, confira O que é o Microsoft Entra ID Protection?.
Eventos de risco de usuários
Os logs de UserRiskEvents fazem parte do Microsoft Entra ID Protection. Esses logs capturam detalhes sobre eventos de entrada arriscados. Para obter mais informações, confira Como investigar riscos.
Logs de tráfego do acesso à rede
Os NetworkAccessTrafficLogs estão associados ao Acesso à Internet do Microsoft Entra e ao Acesso Privado do Microsoft Entra. Os logs ficam visíveis no Microsoft Entra ID, mas a seleção dessa opção não adiciona novos logs ao seu workspace, a menos que sua organização esteja usando o Acesso à Internet do Microsoft Entra e o Acesso Privado do Microsoft Entra para proteger o acesso aos seus recursos corporativos. Para obter mais informações, confira O que é Acesso Seguro Global?.
Entidades de serviço de risco
Os logs de RiskyServicePrincipals fornecem informações sobre entidades de serviço que o Microsoft Entra ID Protection detecta como arriscadas. O risco de principal de serviço representa a probabilidade de que uma determinada identidade ou conta esteja comprometida. Esses riscos são calculados de forma assíncrona, usando dados e padrões detectados pelas fontes de inteligência de ameaças internas e externas da Microsoft. Essas fontes podem incluir pesquisadores de segurança, profissionais da polícia e equipes de segurança da Microsoft. Para obter mais informações, confira Proteção de identidades de carga de trabalho.
Eventos de risco de entidades de serviço
O ServicePrincipalRiskEvents fornece detalhes sobre os eventos de entrada arriscados para entidades de serviço. Esses logs podem incluir eventos suspeitos identificados relacionados às contas da entidade de serviço. Para obter mais informações, confira Proteção de identidades de carga de trabalho.
Logs de auditoria enriquecidos do Microsoft 365
Os EnrichedOffice365AuditLogs estão associados aos logs enriquecidos que você pode habilitar para o Acesso à Internet do Microsoft Entra. Selecionar essa opção não adiciona novos logs à sua área de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet para proteger o acesso ao seu tráfego do Microsoft 365 e você tenha habilitado os logs enriquecidos. Para obter mais informações, confira Como usar os logs enriquecidos do Microsoft 365 com Acesso Seguro Global.
Logs de atividade do Microsoft Graph
O MicrosoftGraphActivityLogs fornece aos administradores visibilidade total de todas as solicitações HTTP que acessam os recursos do seu locatário por meio da API do Microsoft Graph. Você pode usar esses logs para identificar as atividades que uma conta de usuário comprometida realizou no seu locatário ou para investigar comportamentos problemáticos ou inesperados de aplicativos cliente, como volumes extremos de chamadas. Encaminhe esses logs para o mesmo workspace do Log Analytics com SignInLogs a fim de obter detalhes de referência cruzada das solicitações de token para logs de entrada. Para obter mais informações, confira Acessar os logs de atividades do Microsoft Graph.
Logs de integridade da rede remota
O RemoteNetworkHealthLogs fornece informações sobre a integridade da rede remota configurada por meio do Acesso Seguro Global. Selecionar esta opção não adiciona novos logs ao seu workspace, a menos que a sua organização esteja usando o Acesso à Internet do Microsoft Entra e o Acesso Privado do Microsoft Entra para proteger o acesso aos seus recursos corporativos. Para obter mais informações, confira Logs de integridade da rede remota.
Logs de entrada da entidade de serviço da Microsoft (versão prévia)
O MicrosoftServicePrincipalSignInLogs fornece visibilidade de cenários em que os serviços próprios da Microsoft se autenticam em outros serviços da Microsoft dentro de uma instância, como quando um usuário abre um documento do Word dentro do Microsoft Teams. Esses logs foram liberados para fornecer maior transparência em relação à autenticação serviço a serviço, mas não são necessários para a maioria dos clientes, pois são complexos e geram um alto volume de dados. Esses aplicativos são monitorados pela segurança da Microsoft para garantir a segurança dos aplicativos e seguem princípios de privilégios mínimos. Queremos enfatizar que esses dados não são essenciais para investigações de segurança e aconselhamos a não executar ações como desabilitar aplicativos com base nesses dados, pois isso pode causar configurações incorretas e possíveis efeitos adversos, como bloqueio de locatário. Esses dados são oferecidos como uma aceitação apenas por meio de configurações de diagnóstico e estão atualmente em versão prévia. Para obter mais informações e perguntas frequentes, visite nossa página de perguntas frequentes.
Logs de auditoria de atributos de segurança personalizados
Os CustomSecurityAttributeAuditLogs são configurados na seção Atributos de segurança personalizados das configurações de diagnóstico. Esses logs capturam alterações em atributos de segurança personalizados em seu locatário do Microsoft Entra. Para exibir esses logs nos logs de auditoria do Microsoft Entra, você precisa da função Leitor de Log de Atributos. Para rotear esses logs para um ponto de extremidade, você precisa da função Administrador de Log de Atributos e Administrador de Segurança.