Compartilhar via

Como acessar logs de atividades no Microsoft Entra ID

  • Artigo

Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspectos de seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID oferece várias opções para acessar os dados do log de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que você possa selecionar o método de acesso certo para seu cenário.

Você pode acessar logs de atividades e relatórios do Microsoft Entra usando os seguintes métodos:

Cada um desses métodos fornece recursos que podem se alinhar com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.

Pré-requisitos

As licenças necessárias variam com base na capacidade de monitoramento e integridade.

Funcionalidade Microsoft Entra ID Gratuito Microsoft Entra ID P1 ou P2 / Suíte do Microsoft Entra
Logs de auditoria Sim Sim
Logs de entrada Sim Sim
Logs de provisionamento Não Sim
Atributos de segurança personalizados Sim Sim
Integridade Não Sim
Logs de atividades do Microsoft Graph Não Sim
Uso e insights Não Sim

Visualizar logs por meio do centro de administração do Microsoft Entra

Para investigações únicas em um escopo limitado, Centro de administração do Microsoft Entra é a maneira mais fácil de localizar os dados que você precisa. A interface do usuário fornece opções de filtro para cada um desses relatórios que permitem que você localize as entradas necessárias para resolver seu cenário.

Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode examinar a entrada, a auditoria e os logs de provisionamento para cenários pontuais ou usar os relatórios para examinar padrões e tendências. Os dados dos logs de atividades ajudam a preencher os relatórios do Identity Protection, que fornecem detecções de risco relacionadas à segurança da informação que o Microsoft Entra ID podem detectar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de uso e insights, que fornecem detalhes de uso para os aplicativos do locatário.

Os relatórios disponíveis no portal do Azure fornecem uma ampla variedade de recursos para monitorar as atividades e o uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.

  • Pesquise a atividade de entrada de um usuário ou acompanhe o uso de um aplicativo.
  • Examine os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
  • Use os relatórios do Identity Protection para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
  • Revise a taxa de sucesso de entrada no relatório de atividade do aplicativo do Microsoft Entra (preview) de Uso e insights para garantir que os usuários possam acessar os aplicativos em uso em seu locatário.
  • Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório de métodos de autenticação de Uso e insights.

Etapas rápidas

Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.

  1. Navegue até Identidade>Monitoramento e integridade>Logs de auditoria/Logs de entrada/Logs de provisionamento.
  2. Ajuste o filtro de acordo com suas necessidades.

Os logs de auditoria podem ser acessados diretamente da área do centro de administração do Microsoft Entra em que você está trabalhando. Por exemplo, se você estiver na seção Grupos ou Licenças do Microsoft Entra ID, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa forma, as categorias de filtro são definidas automaticamente. Se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.

Transmitir logs para um hub de eventos para integrar com ferramentas SIEM

Transmitir seus logs de atividades para um hub de eventos é necessário para integrar seus logs de atividades com ferramentas de SIEM (Gerenciamento de Eventos e Informações de Segurança), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace dos Hubs de Eventos e um hub de eventos em sua assinatura do Azure.

As ferramentas SIEM que você pode integrar ao hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:

  • Você precisa de uma plataforma de streaming de Big Data e um serviço de ingestão de eventos capaz de receber e processar milhões de eventos por segundo.
  • Você deseja transformar e armazenar dados usando qualquer provedor de análise em tempo real ou adaptadores de armazenamento/envio em lote.

Etapas rápidas

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
  2. Crie um namespace de Hubs de Eventos e um hub de eventos.
  3. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Transmitir para um hub de eventos e conclua os campos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta.

Acessar logs com a API do Microsoft Graph

A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Não exige que um administrador ou desenvolvedor configure a infraestrutura extra para dar suporte ao seu script ou aplicativo.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Usando o Explorador do Microsoft Graph, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:

  • Visualizar atividades de locatário, como quem fez uma alteração em um grupo e quando.
  • Marque um evento de entrada do Microsoft Entra como seguro ou confirmado como comprometido.
  • Recuperar uma lista de entradas no aplicativo nos últimos 30 dias.

Observação

O Microsoft Graph permite que você acesse dados de vários serviços que implementam seus próprios limites de restrição. Para obter mais informações sobre a restrição de logs de atividades, consulte os limites de restrição específicos do serviço do Microsoft Graph.

Etapas rápidas

  1. Configurar os pré-requisitos.
  2. Entre no Gerenciador de gráficos.
  3. Defina o método HTTP e a versão da API.
  4. Adicione a consulta e, em seguida, selecione o botão Executar consulta.

Integre o DSC aos logs do Azure Monitor

Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos avançados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividades do Microsoft Entra aos logs do Azure Monitor, você precisa de um workspace do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.

A integração de logs de Microsoft Entra com os logs do Azure Monitor fornece um local centralizado para consultar logs. É recomendável integrar os logs com o Azure Monitor para os seguintes tipos de cenários:

  • Comparar logs de entrada do Microsoft Entra com logs publicados por outros serviços do Azure.
  • Correlacionar logs de entrada com insights do Aplicativo Azure.
  • Consultar logs usando parâmetros de pesquisa específicos.

Etapas rápidas

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
  2. Criar um espaço de trabalho do Log Analytics.
  3. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Enviar para o workspace do Log Analytics e conclua os campos.
  5. Navegue até Identidade>Monitoramento e integridade>Log Analytics e comece a consultar os dados.

Monitorar eventos com o Microsoft Sentinel

O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao centro de operações de segurança a detecção de segurança quase em tempo real e a busca por ameaças. O termo busca de ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Em oposição à proteção clássica, a busca de ameaças tenta identificar proativamente possíveis ameaças que podem danificar o sistema. Os dados do log de atividades podem fazer parte de sua solução de busca de ameaças.

É recomendável usar os recursos de detecção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análise de segurança e inteligência contra ameaças. Use o Microsoft Sentinel se precisar:

  • Coletar dados de segurança em toda a sua empresa.
  • Detectar ameaças com vasta inteligência contra ameaças.
  • Investigar incidentes críticos guiados por IA.
  • Responder rapidamente e automatizar a proteção.

Etapas rápidas

  1. Saiba mais sobre pré-requisitos, funções e permissões.
  2. Estimar os custos potenciais.
  3. Conectar-se ao Microsoft Sentinel.
  4. Coletar dados do Microsoft Entra.
  5. Comece a procurar ameaças.

Exportar logs para armazenamento e consultas

A solução certa para seu armazenamento de longo prazo depende do seu orçamento e do que você planeja fazer com os dados. Você tem três opções:

  • Arquivar logs no Armazenamento do Azure
  • Baixar logs para armazenamento manual
  • Integre o DSC aos logs do Azure Monitor

O Armazenamento do Microsoft Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs do diretório para uma conta de armazenamento.

Se você planeja consultar os logs com frequência para executar relatórios ou realizar uma análise nos logs armazenados, integre seus dados aos logs do Azure Monitor.

Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividade, você poderá fazer um download manual do seus logs. A interface do usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o armazenamento do Azure ou o Azure Monitor.

É recomendável configurar uma conta de armazenamento para arquivar seus logs de atividades para esses cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.

Se você quiser um armazenamento de longo prazo e quiser executar consultas nos dados, examine a seção sobre como integrar seus logs de atividades aos Logs do Azure Monitor.

Recomendamos baixar e armazenar manualmente seus logs de atividades se você tiver restrições orçamentárias.

Etapas rápidas

Use as etapas básicas a seguir para arquivar ou baixar seus logs de atividades.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
  2. Criar uma conta de armazenamento.
  3. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
  4. Escolha os logs que você deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.

Próximas etapas