Compartilhar via

Como acessar logs de atividades no Microsoft Entra ID

Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspectos de seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID oferece várias opções para acessar os dados do log de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que você possa selecionar o método de acesso certo para seu cenário.

Você pode acessar logs de atividades e relatórios do Microsoft Entra usando os seguintes métodos:

Cada um desses métodos fornece recursos que podem se alinhar com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.

Pré-requisitos

As licenças necessárias variam de acordo com o recurso de monitoramento e integridade.

Funcionalidade Microsoft Entra ID Gratuito Microsoft Entra ID P1 ou P2 / Microsoft Entra Suite
Logs de auditoria Sim Sim
Logs de entrada Sim Sim
Logs de provisionamento Não Sim
Atributos de segurança personalizados Sim Sim
Integridade Não Sim
Logs de atividade do Microsoft Graph Não Sim
Uso e insights Não Sim

Exibir logs por meio do centro de administração do Microsoft Entra

Para investigações pontuais com um escopo limitado, o Centro de administração do Microsoft Entra geralmente é a maneira mais fácil de encontrar os dados necessários. A interface do usuário fornece opções de filtro para cada um desses relatórios que permitem que você localize as entradas necessárias para resolver seu cenário.

Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode examinar a entrada, a auditoria e os logs de provisionamento para cenários pontuais ou usar os relatórios para examinar padrões e tendências. Os dados dos logs de atividades ajudam a preencher os relatórios do Identity Protection, que fornecem detecções de risco relacionadas à segurança da informação que o Microsoft Entra ID podem detectar e relatar. Os logs de atividades do Microsoft Entra também preenchem os relatórios de Uso e insights, que fornecem detalhes de uso para os aplicativos do locatário.

Os relatórios disponíveis no portal do Azure fornecem uma ampla variedade de recursos para monitorar as atividades e o uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.

  • Pesquise a atividade de entrada de um usuário ou acompanhe o uso de um aplicativo.
  • Revise os detalhes sobre alterações de nome de grupo, registro de dispositivos e redefinições de senha com logs de auditoria.
  • Use os relatórios do Identity Protection para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
  • Revise a taxa de êxito de entrada no relatório de atividade do aplicativo do Microsoft Entra (versão prévia) em Uso e insights para garantir que seus usuários possam acessar os aplicativos em uso no locatário.
  • Compare os diferentes métodos de autenticação preferidos pelos usuários com o relatório Métodos de autenticação em Uso e insights.

Etapas rápidas

Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
  2. Navegue até Entra ID>Monitoramento & integridade>Logs de auditoria/Logs de entrada/Logs de provisionamento.
  3. Ajuste o filtro de acordo com suas necessidades.

Os logs de auditoria podem ser acessados diretamente da área do centro de administração do Microsoft Entra em que você está trabalhando. Por exemplo, se você estiver na seção Grupos ou Licenças da ID do Microsoft Entra, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa forma, as categorias de filtro são definidas automaticamente. Por exemplo, se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.

Transmitir logs para um hub de eventos para integrar com ferramentas SIEM

Transmitir seus logs de atividades para um hub de eventos é necessário para integrar seus logs de atividades com ferramentas de SIEM (Gerenciamento de Eventos e Informações de Segurança), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace dos Hubs de Eventos e um hub de eventos em sua assinatura do Azure.

As ferramentas SIEM que você pode integrar ao hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:

  • Você precisa de uma plataforma de streaming de big data e de um serviço de ingestão de eventos para receber e processar milhões de eventos por segundo.
  • Você deseja transformar e armazenar dados usando um provedor de análise em tempo real ou adaptadores de armazenamento/envio em lote.

Etapas rápidas

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie um namespace de Hubs de Eventos e um hub de eventos.
  3. Navegue até Entra ID>Monitoramento & integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Transmissão para um hub de eventos e conclua os campos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta.

Acessar logs com a API do Microsoft Graph

A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Não exige que um administrador ou desenvolvedor configure a infraestrutura extra para dar suporte ao seu script ou aplicativo.

Usando o Explorador do Microsoft Graph, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:

  • Exibir a atividades do locatário, como quem fez uma alteração em um grupo e quando.
  • Marcar um evento de entrada do Microsoft Entra como seguro ou comprometido confirmado.
  • Recuperar uma lista de entradas no aplicativo nos últimos 30 dias.

Observação

O Microsoft Graph permite que você acesse dados de vários serviços que implementam seus próprios limites de restrição. Para obter mais informações sobre a limitação do log de atividades, consulte Limites de limitação específicos do serviço do Microsoft Graph.

Etapas rápidas

  1. Configure os pré-requisitos.
  2. Entre no Explorador do Graph.
  3. Defina o método HTTP e a versão da API.
  4. Adicione uma consulta e selecione o botão Executar consulta .

Integrar logs aos logs do Azure Monitor

Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos avançados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividades do Microsoft Entra aos logs do Azure Monitor, você precisa de um workspace do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.

A integração de logs de Microsoft Entra com os logs do Azure Monitor fornece um local centralizado para consultar logs. É recomendável integrar os logs com o Azure Monitor para os seguintes tipos de cenários:

  • Compare os logs de entrada do Microsoft Entra com os logs publicados por outros serviços do Azure.
  • Correlacionar logs de entrada com insights do Aplicativo Azure.
  • Consultar logs usando parâmetros de pesquisa específicos.

Etapas rápidas

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Criar um espaço de trabalho do Log Analytics.
  3. Navegue até Entra ID>Monitoramento & integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e conclua os campos.
  5. Navegue até Entra ID>Monitoramento & integridade>Log Analytics e comece a fazer consultas nos dados.

Monitorar eventos com o Microsoft Sentinel

O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao centro de operações de segurança a detecção de segurança quase em tempo real e a busca por ameaças. O termo busca de ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Em oposição à proteção clássica, a busca de ameaças tenta identificar proativamente possíveis ameaças que podem danificar o sistema. Os dados do log de atividades podem fazer parte de sua solução de busca de ameaças.

É recomendável usar os recursos de detecção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análise de segurança e inteligência contra ameaças. Use o Microsoft Sentinel se precisar:

  • Coletar dados de segurança em toda a sua empresa.
  • Detectar ameaças com vasta inteligência contra ameaças.
  • Investigar incidentes críticos guiados por IA.
  • Responder rapidamente e automatizar a proteção.

Etapas rápidas

  1. Saiba mais sobre os pré-requisitos, as funções e as permissões.
  2. Estimar os custos potenciais.
  3. Conectar-se ao Microsoft Sentinel.
  4. Coletar dados do Microsoft Entra.
  5. Inicie a busca por ameaças.

Exportar logs para o armazenamento e consultas

A solução certa para seu armazenamento de longo prazo depende do seu orçamento e do que você planeja fazer com os dados. Você tem três opções:

  • Arquivar logs no Armazenamento do Azure
  • Baixar logs para armazenamento manual
  • Integrar logs aos logs do Azure Monitor

O Armazenamento do Azure será a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs do diretório para uma conta de armazenamento.

Se você planeja consultar os logs com frequência para executar relatórios ou executar a análise nos logs armazenados, deverá integrar seus dados aos logs do Azure Monitor.

Se o orçamento for apertado e você precisar de um método barato para criar um backup de longo prazo dos logs de atividades, você poderá baixar manualmente seus logs. A interface do usuário dos logs de atividades no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o armazenamento do Azure ou o Azure Monitor.

É recomendável configurar uma conta de armazenamento para arquivar seus logs de atividades para esses cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.

Se você quiser um armazenamento de longo prazo e quiser executar consultas nos dados, examine a seção sobre como integrar seus logs de atividades aos Logs do Azure Monitor.

Recomendamos baixar e armazenar manualmente seus logs de atividades se você tiver restrições orçamentárias.

Etapas rápidas

Use as etapas básicas a seguir para arquivar ou baixar seus logs de atividades.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Criar uma conta de armazenamento.
  3. Navegue até Entra ID>Monitoramento & integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e conclua os campos.

Próximas etapas