Compartilhar via


Perguntas frequentes sobre monitoramento e integridade do Microsoft Entra

Este artigo inclui respostas para perguntas frequentes sobre monitoramento e integridade do Microsoft Entra. Para obter mais informações, consulte a visão geral de monitoramento e integridade do Microsoft Entra.

Licenciamento

Como fazer para obter uma licença Premium?

Consulte o licenciamento da ID do Microsoft Entra para atualizar sua edição do Microsoft Entra.

Depois de adquirir uma licença Premium, quanto tempo leva para que os dados de logs de atividades sejam exibidos?

Se você já tiver dados de log de atividades com uma licença gratuita, poderá vê-los imediatamente. Se você não tiver dados, pode levar até três dias para que os dados sejam exibidos nos relatórios.

Posso ver os dados do mês passado depois de obter uma licença P1 ou P2 do Microsoft Entra ID?

Se você alternou recentemente para uma versão Premium (incluindo uma versão de avaliação), poderá ver dados de até sete dias inicialmente. Quando os dados forem acumulados, será possível visualizar os dados dos últimos 30 dias.

Logs e relatórios de atividades

Qual função é necessária para ver os logs de atividade no centro de administração do Microsoft Entra?

A função com menos privilégios para exibir logs de auditoria e entrada é Leitor de Relatórios. Outras funções incluem Leitor de Segurança e Administrador de Segurança.

Quais logs posso integrar com o Azure Monitor?

Entrada, auditoria, provisionamento, Proteção de ID, acesso à rede e muitos outros logs podem ser integrados com o Azure Monitor e outras ferramentas de monitoramento e alertas. Atualmente, os eventos de auditoria relacionados ao B2C não estão incluídos. Para obter uma lista completa dos logs do Microsoft Entra que podem ser integrados a outros pontos de extremidade, consulte as opções de log para streaming para pontos de extremidade.

Posso obter informações do log de atividades do Microsoft 365 por meio do centro de administração do Microsoft Entra ou do portal do Azure?

Os logs de atividades do Microsoft 365 e do Microsoft Entra compartilham muitos recursos de diretório. Se você quiser uma exibição completa dos logs de atividades do Microsoft 365, acesse o Centro de administração do Microsoft 365 para obter informações do log de atividades do Office 365. As APIs do Microsoft 365 são descritas no artigo APIs de Gerenciamento do Microsoft 365 .

Quantos registros posso baixar no centro de administração do Microsoft Entra?

Vários fatores determinam o número de logs que podem ser baixados do Centro de administração do Microsoft Entra, como o tamanho da memória do navegador, a velocidade da rede e as cargas das APIs de relatórios do Microsoft Entra. Em geral, conjuntos de dados menores que 250.000 para logs de auditoria e 100.000 para logs de entrada e provisionamento funcionam bem com o recurso de download do navegador. Dependendo do número de campos que você incluiu, esse número pode variar. Se você enfrentar problemas ao concluir grandes downloads no navegador, use a API de relatório para baixar os dados ou enviar os logs para um ponto de extremidade por meio de configurações de diagnóstico.

Os filtros ativos no centro de administração do Microsoft Entra quando você inicia o download determinam o conjunto específico de logs que podem ser baixados. Por exemplo, filtrar para um usuário específico no centro de administração do Microsoft Entra significa que o download extrai logs desse usuário específico. As colunas nos logs baixados não são alteradas. A saída contém todos os detalhes do log de auditoria ou de entrada, independentemente das colunas personalizadas no Centro de administração do Microsoft Entra.

Por quanto tempo o Microsoft Entra armazena os logs de atividades do repositório de ID? Qual é a retenção de dados?

Dependendo de sua licença, Microsoft Entra ID armazena logs de atividades entre 7 e 30 dias. Para obter mais informações, consulte as políticas de retenção de relatório do Microsoft Entra.

Por que vejo "Não encontrado" quando seleciono um aplicativo no relatório **Uso e Insights**?

O relatório Uso e Insights agora inclui autenticação serviço a serviço para aplicativos dos Serviços de Nuvem da Microsoft. Se um aplicativo aparecer nesta lista, isso provavelmente significa que ele foi autenticado de ou para um aplicativo que está hospedado em seu locatário. Mas o aplicativo na lista não está hospedado em seu locatário, apenas uma instância dele aparece no relatório para mostrar a autenticação.

Logs de auditoria

Como posso descobrir se um usuário comprou uma licença ou ativou uma licença de avaliação para meu locatário? Não vejo essa atividade nos registros de auditoria.

Neste momento, não há uma atividade específica nos logs de auditoria para compras ou habilitação de licenças. Entretanto, você poderá correlacionar a atividade "Integrar o recurso ao PIM" da categoria "Gerenciamento de Recursos" à compra ou habilitação de uma licença. Essa atividade nem sempre pode estar disponível ou fornecer os detalhes exatos.

Logs de entrada

Usei o recurso signInActivity para procurar o último horário de entrada de um usuário, mas ele não foi atualizado após algumas horas. Quando será atualizado com o horário de entrada mais recente?

O recurso signInActivity é usado para localizar usuários inativos que não entraram há algum tempo. Ele não é atualizado quase em tempo real. Se você precisar encontrar a última atividade de entrada do usuário mais rapidamente, você pode usar os logs de entrada do Microsoft Entra para ver a atividade de entrada quase em tempo real de todos os seus usuários.

Quais dados estão incluídos no arquivo CSV que posso baixar dos logs de conexão do Microsoft Entra?

O CSV inclui logs de entrada para o tipo de entradas que você selecionou. Os dados representados como uma matriz aninhada na API do Microsoft Graph para logs de entrada não estão incluídos. Por exemplo, as políticas de Acesso Condicional e informações somente de relatório não estão incluídas. Se você precisar exportar todas as informações contidas nos logs de entrada, use o recurso Exportar Configurações de Dados .

Também é importante observar que as colunas incluídas nos logs baixados não são alteradas, mesmo se você personalizou as colunas no centro de administração do Microsoft Entra.

Vejo .XXX em parte do endereço IP ou "PII Removido" nos Detalhes do Dispositivo de um usuário em meus logs de entrada. Por que isso está acontecendo?

A ID do Microsoft Entra pode redigir parte de um log de entrada para proteger a privacidade do usuário nos seguintes cenários:

  • Durante as entradas entre locatários, como quando um técnico do CSP entra em um locatário gerenciado pelo CSP.
  • Quando nosso serviço não foi capaz de determinar a identidade do usuário com confiança suficiente para ter certeza de que o usuário pertence ao locatário que está exibindo os logs.
  • O Microsoft Entra ID edita informações de identificação pessoal (PII) geradas por dispositivos que não pertencem ao seu locatário para garantir que os dados do cliente. As informações de identificação pessoal (PII) não se espalham além dos limites do locatário sem o consentimento do usuário e do proprietário dos dados.

Vejo entradas de entrada duplicadas/vários eventos de entrada por requestID. Por que isso está acontecendo?

Há vários motivos pelos quais as entradas de conexão podem ser duplicadas em seus logs.

  • Se um risco for identificado em uma entrada, outro evento quase idêntico será publicado imediatamente depois com o risco incluído.
  • Se os eventos de MFA relacionados a uma entrada forem recebidos, todos os eventos relacionados serão agregados à entrada original.
  • Se a publicação de parceiros para um evento de entrada falhar, como a publicação no Kusto, um lote inteiro de eventos será repetido e publicado novamente, o que pode resultar em duplicatas.
  • Eventos de entrada que envolvem várias políticas de Acesso Condicional podem ser divididos em vários eventos, o que pode resultar em pelo menos dois eventos por evento de entrada.

Estou investigando um evento de entrada usando o Log Analytics, mas a hora TimeGenerated não corresponde à hora real da entrada. Por que isso está acontecendo?

O campo TimeGenerated no Log Analytics é o momento em que a entrada foi recebida e publicada pelo Log Analytics. Lembre-se de que, para que seus logs apareçam no Log Analytics, você precisa definir as configurações de diagnóstico para enviar os logs para o workspace do Log Analytics. Esse processo é demorado, portanto, o campo TimeGenerated pode não corresponder à hora real da entrada.

Para confirmar se a data e a hora correspondem à entrada, procure o campo CreatedDateTime um pouco abaixo nos resultados do Log Analytics. Os campos AuthenticationDetails também podem ser expandidos para mostrar a hora exata da entrada. A hora no Log Analytics aparece em UTC, mas o tempo nos logs de entrada no centro de administração do Microsoft Entra é exibido no horário local, portanto, talvez seja necessário ajustar.

Eventos de entrada arriscados também têm um tempo TimeGenerated diferente do tempo de entrada real. O tempo de TimeGenerated para entradas arriscadas é o momento em que o risco foi detectado, não a hora da entrada. Verifique o evento de entrada arriscado em si para o tempo de atividade, que é a hora real da entrada.

Por que minhas entradas não interativas parecem ter o mesmo carimbo de data/hora?

As entradas não interativas podem disparar um grande volume de eventos a cada hora, de modo que são agrupados nos logs.

Em muitos casos, as entradas não interativas têm as mesmas características, exceto pela data e a hora da entrada. Se a agregação por tempo for definida como 24 horas, os logs aparecem mostrando as entradas ao mesmo tempo. Cada uma dessas linhas agrupadas pode ser expandida para exibir o carimbo de data/hora exato.

Estou vendo IDs de Usuário/IDs de Objeto/GUIDs no campo nome de usuário do meu log de entrada. Por que isso está acontecendo?

Há vários motivos pelos quais as entradas de conexão podem exibir IDs de usuário, IDs de objeto ou GUIDs no campo de nome de usuário.

  • Na autenticação sem senha, as IDs de usuário aparecem como o nome de usuário. Para confirmar esse cenário, examine os detalhes do evento de entrada em questão. O campo authenticationDetail diz sem senha.
  • O usuário foi autenticado, mas ainda não entrou. Para confirmar, há um código de erro 50058 que se correlaciona com uma interrupção.
  • Se o campo nome de usuário mostrar 000000-00000-0000-0000-0000 ou algo semelhante, poderá haver restrições de locatário em vigor, impedindo que o usuário entre no locatário selecionado.
  • As tentativas de entrada de autenticação multifator são agregadas com várias entradas de dados, o que pode levar mais tempo para serem exibidas corretamente. Os dados podem levar até duas horas para serem totalmente agregados, mas raramente demoram esse tempo.

Estou vendo um erro 90025 nos logs de entrada. Isso significa que meu usuário não conseguiu entrar? Meu locatário alcançou o limite de uma limitação?

Não. De modo geral, os erros 90025 são resolvidos por uma nova tentativa automática sem que o usuário perceba o erro. Este erro pode ocorrer quando um sub-serviço interno do Microsoft Entra atinge sua permissão de reentrada e não indica que seu locatário está sendo limitado. Esses erros costumam ser resolvidos internamente pelo Microsoft Entra ID. Se o usuário não conseguir entrar devido a esse erro, tentar novamente manualmente deverá resolver o problema.

Nos logs de entrada da Entidade de Serviço, o que significa se eu vir “00000000-0000-0000-0000-000000000000” ou “ ” para a ID da Entidade de Serviço ou ID da Entidade de Serviço de Recurso em meus logs de entrada?

Se o ID da Entidade de Serviço tiver o valor “0000000-0000-0000-0000-000000000000", não há nenhuma Entidade de Serviço para o aplicativo do cliente nessa instância de autenticação. O Microsoft Entra não emite mais tokens de acesso sem uma Entidade de Serviço cliente, exceto alguns aplicativos da Microsoft e não Microsoft.

Se a ID da entidade de serviço de recurso tiver o valor "0000000-0000-0000-0000-000000000000", não há entidade de serviço para o aplicativo de recurso nessa instância de autenticação.

Este comportamento é atualmente permitido apenas para um número limitado de aplicativos de recursos.

Você pode consultar as instâncias de autenticação sem um cliente ou recurso de Entidade de Serviço no seu locatário.

  • Para encontrar instâncias de logs de entrada para seu locatário onde falta uma Entidade de Serviço do cliente, use a seguinte consulta:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    
  • Para encontrar instâncias de logs de entrada para seu locatário onde falte uma Entidade de Serviço de recurso, use a seguinte consulta:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    

Você também pode encontrar esses logs de entrada no centro de administração do Microsoft Entra.

  • Entre no Centro de administração do Microsoft Entra.
  • Navegue até o Monitoramento de IDs> do Entra elogs de entrada de integridade>.
  • Selecione Entradas da Entidade de Serviço.
  • Selecione um período apropriado no campo Data (últimas 24 horas, 7 dias, etc.).
  • Adicione um filtro e selecione a ID da Entidade de Serviço e forneça o valor '00000000-0000-0000-000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

Como posso restringir a entrada (autenticação) para vários aplicativos que eu vejo nos logs de entrada da Entidade de Serviço?

Se você quiser controlar como a autenticação funciona em seu locatário para aplicativos de cliente ou recursos específicos, siga as instruções no aplicativo Restrinja o Microsoft Entra a um conjunto de artigos de usuários .

Por que as entradas tecnicamente não interativas aparecem nos meus logs de entradas interativas?

Algumas entradas não interativas foram disponibilizadas antes de os logs de entradas não interativas ficarem disponíveis em versão prévia pública. Essas entradas não interativas eram incluídas nos logs de entradas interativas e permaneciam neles após a disponibilização dos logs não interativos. As entradas que usam as chaves FIDO2 são um exemplo de entradas não interativas que aparecem nos logs de entradas interativas. No momento, esses logs não interativos sempre são incluídos no log de entradas interativas.

Qual API de geração de relatórios devo usar para as detecções de riscos da Identity Protection, como vazamento de credenciais ou logons feitos de endereços IP anônimos?

Você pode usar a API de detecções de risco do Identity Protection para acessar detecções de segurança por meio do Microsoft Graph. Esta API inclui filtragem avançada e seleção de campos e padroniza as detecções de risco em um único tipo a fim de facilitar a integração com SIEMs e outras ferramentas de coleta de dados.

Acesso Condicional

Quais detalhes do Acesso Condicional posso ver nos logs de entrada?

Você pode solucionar problemas de políticas de Acesso Condicional por todos os logs de entrada. Revise o status do Acesso Condicional e examine os detalhes das políticas aplicadas à entrada e o resultado de cada política.

Introdução:

  • Entre no Centro de administração do Microsoft Entra.
  • Navegue até o Monitoramento de IDs> do Entra elogs de entrada de integridade>.
  • Selecione o login que você deseja solucionar.
  • Selecione a guia Acesso Condicional para exibir todas as políticas que afetaram a entrada e o resultado de cada política.

Quais são todos os valores possíveis para o status de acesso condicional?

O status de acesso condicional pode ter os seguintes valores:

  • Não aplicado: não havia nenhuma política de Acesso Condicional com o usuário e o aplicativo no escopo.
  • Êxito: havia uma política de Acesso Condicional com o usuário e o aplicativo no escopo e as políticas de Acesso Condicional foram atendidas com êxito.
  • Falha: a entrada satisfize a condição de usuário e aplicativo de pelo menos uma política de Acesso Condicional e os controles de concessão não estão satisfeitos ou definidos para bloquear o acesso.

Quais são todos os valores possíveis para o resultado da política de acesso condicional?

Uma política de acesso condicional pode ter os seguintes resultados:

  • Sucesso: A política foi satisfeita com êxito.
  • Falha: a política não foi satisfeita.
  • Não aplicado: as condições da política podem não ter sido atendidas.
  • Não habilitado: a política pode estar em um estado desabilitado.

O nome da política no log de entrada não corresponde ao nome da política no Acesso Condicional. Por quê?

O nome da política no log de entrada é baseado no nome da política de Acesso Condicional no momento da entrada. O nome pode ser inconsistente com o nome da política no Acesso Condicional se você atualizou o nome da política após a entrada.

Minha entrada foi bloqueada devido a uma política de Acesso Condicional, mas o log de entrada mostra que a entrada foi bem-sucedida. Por quê?

Atualmente, é possível que o registro de entrada não mostre resultados precisos nos cenários do Exchange ActiveSync quando o Acesso Condicional é aplicado. Pode haver casos em que o resultado da entrada no relatório mostra uma entrada bem-sucedida, mas a entrada realmente falhou devido a uma política.

Por que a Entrada do Windows ou o Windows Hello para Empresas aparece como "fora do escopo" ou "não aplicável" na guia Acesso Condicional nos detalhes do registro de entrada?

As políticas de Acesso Condicional não se aplicam à Entrada do Windows ou ao Windows Hello para Empresas. As políticas de Acesso Condicional protegem as tentativas de entrada nos recursos de nuvem, não o processo de entrada do Windows.

APIs do Microsoft Graph

Atualmente, uso as APIs de ponto de extremidade 'https://graph.windows.net/<tenant-name>/reports/' para efetuar o pull de auditoria do Microsoft Entra e relatórios integrados de uso dos aplicativos nos nossos sistemas de relatórios programaticamente. Para qual devo mudar?

Procure a referência de API para ver como você pode usar as APIs para acessar logs de atividades. Esse ponto de extremidade tem dois relatórios (auditoria e entradas) que fornecem todos os dados que você obteve no ponto de extremidade de API antigo. Esse novo ponto de extremidade também tem um relatório de entradas com a licença do Microsoft Entra ID P1 ou P2 que você pode usar para obter informações de uso de aplicativo uso de dispositivo e conexão do usuário.

Atualmente, uso as APIs de ponto de extremidade `https://graph.windows.net/<tenant-name>/reports/` para efetuar o pull dos relatórios de segurança do Microsoft Entra (tipos específicos de detecções, como credenciais vazadas ou entradas de endereços de IP anônimos) nos nossos sistemas de relatórios programaticamente. Para qual devo mudar?

Você pode usar a API de detecções de risco do Identity Protection para acessar detecções de segurança por meio do Microsoft Graph. Esse novo formato oferece maior flexibilidade em como você pode consultar dados. O formato fornece filtragem avançada, seleção de campo e padroniza detecções de risco em um tipo para integração mais fácil ao SIEMs e outras ferramentas de coleta de dados. Uma vez que os dados estão em um formato diferente, você não pode substituir uma nova consulta para suas consultas antigas. No entanto, a nova API usa o Microsoft Graph, que é o padrão da Microsoft para APIs como Microsoft 365 ou Microsoft Entra ID. Para que o trabalho necessário possa estender seus investimentos atuais no Microsoft Graph ou ajudar você a começar a fazer a transição para essa nova plataforma padrão.

Continuo recebendo erros de permissões ao executar consultas. Achei que tinha a função apropriada.

Talvez seja necessário entrar no Microsoft Graph separadamente no centro de administração do Microsoft Entra. Selecione o ícone de perfil no canto superior direito e entre no diretório direito. Você pode estar tentando executar uma consulta para a qual não tem permissões. Selecione Modificar Permissões e selecione o botão Consentimento . Siga os prompts de entrada.

Por que há eventos "MicrosoftGraphActivityLogs" que não se correlacionam com uma entrada da Entidade de Serviço?

Sempre que um token é usado para chamar um ponto de extremidade do Microsoft Graph, os MicrosoftGraphActivityLogs é atualizado com essa chamada. Algumas dessas chamadas são chamadas internas, somente de aplicativo, que não são publicadas nos logs de entrada da Entidade de Serviço. Quando os MicrosoftGraphActivityLogs mostram um uniqueTokenIdentifier que você não consegue localizar nos logs de entrada, o identificador de token está fazendo referência a um token interno, somente de aplicativo.

Recomendações

Por que uma recomendação que foi "concluída" foi alterada de volta para "ativa"?

Se o serviço detectar a atividade relacionada a essa recomendação para algo marcado como "concluído", ele será alterado automaticamente de volta para "ativo".

Logs de entrada da entidade de serviço da Microsoft (versão prévia)

Habilitei o 'MicrosoftServicePrincipalSignInLogs' por meio de configurações de diagnóstico, mas não tenho certeza do que fazer com esses dados.

Esse log está em versão prévia e pode não estar disponível para todos os clientes. Esses logs fornecem visibilidade da autenticação serviço a serviço, especificamente para aplicativos de propriedade da Microsoft para manter transparentes as autenticações de emissão de token para recursos de propriedade do cliente.

No cenário improvável em que um aplicativo é usado para obter acesso a outros recursos, esses logs podem fornecer as informações necessárias para identificar a origem do comprometimento.

Onde posso saber mais sobre por que essas chamadas estão acontecendo?

Os motivos específicos por trás de aplicativos de propriedade da Microsoft que solicitam ou emitem tokens fazem parte do design do nosso sistema e não podem ser compartilhados publicamente. Os logs são compartilhados para manter a transparência e fornecer visibilidade sobre autenticações que estão ocorrendo dentro dos limites dos locatários de nossos clientes.

Esses dados são essenciais para investigações de segurança?

Categorizamos conjuntos de dados de nossos fluxos de log do Microsoft Entra com base em sua importância para investigações de segurança. Esse conjunto de dados específico é considerado uma prioridade muito menor em comparação com outras pessoas. Embora ter esses dados seja benéfico, não habilitá-los não deve afetar negativamente sua postura de segurança.

Quais ações posso tomar sobre esses dados?

Recomendamos ser muito cautelosos antes de fazer alterações em aplicativos de propriedade da Microsoft. Esses aplicativos geralmente têm configurações essenciais, como emissão de token para aplicativos de cobrança. Desabilitá-los pode resultar na perda de acesso à sua conta. Nossas equipes de segurança internas implementaram amplos controles de segurança e políticas de acesso para manter esses aplicativos seguros. Estamos confiantes em sua segurança, e aconselhamos fortemente a não fazer alterações adicionais neles.

Se você optar por bloquear ou controlar esses aplicativos, isso pode levar a problemas inesperados e, infelizmente, não poderemos dar suporte ou assumir a responsabilidade por esses problemas.