Criar o registro em log centralizado e a auditoria, incluindo a Auditoria do Microsoft Purview.
Registro em log e auditoria no parâmetro de comparação de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança de nuvem da Microsoft fornece diretrizes sobre como criar recursos de log, que são resumidos na tabela a seguir. Para obter informações mais completas sobre esses controles, consulte Parâmetro de comparação de segurança de nuvem da Microsoft – Registro em log e detecção de ameaças
Veja Introdução à Arquitetura de Referência de Segurança Cibernética da Microsoft e ao parâmetro de comparação de segurança de nuvem para obter mais informações sobre o Parâmetro de Comparação de Segurança de nuvem da Microsoft.
No resumo abaixo, incluímos controles da linha de base completa em que:
- Os controles de segurança eram compatíveis, mas não estavam habilitados por padrão
- Havia diretrizes explícitas que continham as ações a serem tomadas por parte do cliente
| Número de controle | Título | Resumo |
|---|---|---|
| LT-3 | Habilitar registro em log para investigação de segurança | Habilite o registro em log para seus recursos de nuvem para atender aos requisitos para investigações de incidentes de segurança e fins de conformidade e resposta de segurança. |
| LT-4 | Habilitar o registro de rede para investigação de segurança | Habilite o registro em log para os serviços de rede para dar suporte a investigações de incidentes relacionadas à rede, à busca de ameaças e à geração de alertas de segurança. Os logs de rede podem incluir logs de serviços de rede, como filtragem de IP, firewall de rede e de aplicativo, DNS, monitoramento de fluxo e assim por diante. |
| LT-5 | Centralizar o gerenciamento e a análise do log de segurança | Centralize o armazenamento e a análise de log para habilitar a correlação entre os dados de log. Para cada origem de log, verifique se você atribuiu um proprietário de dados, orientação de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e os requisitos de retenção de dados. Use o SIEM nativo de nuvem se você não tiver uma solução de SIEM existente para CSPs. ou agreque logs/alertas em seu SIEM existente. |
| LT-6 | Configurar a retenção do armazenamento de logs | Planeje sua estratégia de retenção de log de acordo com seus requisitos de conformidade, regulamento e negócios. Configure a política de retenção de log nos serviços de registro em log individuais para garantir que os logs sejam arquivados adequadamente. |
Registro em log centralizado no Azure
As diretrizes de registro em log recomendadas do MCSB no Azure são as seguintes:
- Verifique se você está integrando logs de atividades do Azure em um workspace do Log Analytics centralizado.
- Use o Azure Monitor para consultar e executar análises e criar regras de alerta usando os logs agregados de serviços do Azure, dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança.
- Além disso, habilite e integre dados do Microsoft Sentinel que fornecem o SIEM (gerenciamento de eventos e informações de segurança) e a funcionalidade SOAR (resposta automatizada de orquestração de segurança).
Visão geral do Azure Monitor
O Azure Monitor é uma solução de monitoramento abrangente para coletar, analisar e responder à telemetria dos ambientes de nuvem e locais. Você pode usar o Azure Monitor para maximizar a disponibilidade e o desempenho de seus aplicativos e serviços.
O Azure Monitor coleta e agrega os dados de cada camada e componente do sistema em uma plataforma de dados comum. Ele correlaciona dados em várias assinaturas e locatários do Azure, além de hospedar dados para outros serviços. Como esses dados são armazenados juntos, eles podem ser correlacionados e analisados usando um conjunto comum de ferramentas. Em seguida, os dados podem ser usados para análise e visualizações a fim de ajudar você a entender como seus aplicativos estão sendo executados e responder automaticamente a eventos do sistema.
O Azure Monitor também inclui a Instância Gerenciada SCOM do Azure Monitor, que permite mover sua instalação local do System Center Operation Manager (Operations Manager) para a nuvem no Azure.
Use o Azure Monitor para monitorar esses tipos de recursos no Azure, em outras nuvens ou localmente:
- Aplicativos
- Máquinas virtuais
- Sistemas operacionais convidados
- Contêineres
- Bancos de dados
- Eventos de segurança em combinação com o Azure Sentinel
- Eventos de rede e integridade em combinação com Observador de Rede
- Fontes personalizadas que usam as APIs para obter dados no Azure Monitor
- Colete suas métricas do Prometheus com o Prometheus Gerenciado do Azure e analise-as usando o PromQL no Grafana Gerenciado do Azure.
Também é possível exportar dados de monitoramento do Azure Monitor para outros sistemas para que você possa:
- Integrar com outras ferramentas de monitoramento e visualização de código aberto e de terceiros
- Integrar com emissão de tíquetes e outros sistemas de ITSM
Arquitetura de alto nível
O diagrama a seguir fornece uma visão geral do Azure Monitor.
O diagrama ilustra os componentes do sistema do Azure Monitor:
- As fontes de dados são os tipos de dados coletados de cada recurso monitorado. Os dados são coletados e roteados para a plataforma de dados.
- A plataforma de dados é composta pelos armazenamentos de dados para os dados coletados. A plataforma de dados do Azure Monitor tem armazenamentos para métricas, logs, rastreamentos e alterações.
- As funções e os componentes que consomem dados incluem análise, visualizações, insights e respostas.
- Os serviços que se integram ao Azure Monitor para fornecer funcionalidade adicional e são integrados em todo o sistema.
Fontes de dados
O Azure Monitor pode coletar dados de várias fontes, incluindo de seu aplicativo, sistemas operacionais, os serviços dos quais dependem e da própria plataforma.
Você pode integrar dados de monitoramento de fontes fora do Azure, incluindo nuvens locais e outras nuvens que não são da Microsoft, usando o aplicativo, a infraestrutura e as fontes de dados personalizadas.
O Azure Monitor coleta esses tipos de dados:
| Tipo de dados | Descrição |
|---|---|
| Aplicativo | Dados sobre o desempenho e a funcionalidade do código do aplicativo em qualquer plataforma. |
| Infraestrutura | – Contêiner. Dados sobre o serviço de Kubernetes do Azure, Prometheus e sobre os aplicativos em execução dentro de contêineres. – Sistema operacional. Dados sobre o sistema operacional convidado no qual seu aplicativo está em execução. |
| Plataforma Azure | – Recurso do Azure. A operação de um recurso do Azure. - Assinatura do Azure. A operação e o gerenciamento de uma assinatura do Azure, bem como dados sobre a integridade e a operação do próprio Azure. – Locatário do Azure. Dados sobre a operação de serviços do Azure no nível do locatário, como o Microsoft Entra ID. – Alterações de recursos do Azure. Dados sobre alterações em seus recursos do Azure e como resolver e classificar incidentes e problemas. |
| Origens Personalizadas | Use a API REST do Azure Monitor para enviar dados de log ou métrica do cliente para o Azure Monitor e incorporar o monitoramento de recursos que não expõem dados de monitoramento por meio de outros métodos. |
Para obter informações detalhadas sobre cada uma das fontes de dados, confira fontes de dados.
Coleta de dados e roteamento
O Azure Monitor coleta e roteia dados de monitoramento usando vários mecanismos, dependendo dos dados que estão sendo roteados e dos armazenamentos da plataforma de dados de destino.
| Método de coleta | Descrição |
|---|---|
| Roteamento de dados direto | As métricas de plataforma são enviadas automaticamente e sem configuração para métricas do Azure Monitor. |
| Configurações de Diagnóstico | Use as configurações de diagnóstico para determinar para onde enviar dados de log de atividades e de recurso na plataforma de dados. |
| Regras de coleta de dados | Use regras de coleta de dados para especificar quais dados devem ser coletados, como transformar esses dados e para onde enviar esses dados. |
| SDK do aplicativo | Adicione o SDK do Application Insights ao código do aplicativo para receber, armazenar e explorar seus dados de monitoramento. O SDK processa previamente a telemetria e as métricas, antes de enviar os dados para o Azure, onde eles são ingeridos e processados ainda mais, antes de serem armazenados nos Logs do Azure Monitor. |
| API REST do Azure Monitor | A API de Ingestão de Logs no Azure Monitor permite enviar dados para um workspace do Log Analytics de qualquer cliente da API REST. |
| Agentes do Azure Monitor | O AMA (Agente do Azure Monitor) coleta dados de monitoramento do sistema operacional convidado do Azure e das máquinas virtuais híbridas e os entrega ao Azure Monitor, para uso por recursos, insights e outros serviços, como o Microsoft Sentinel e o Microsoft Defender para Nuvem. |
| Serviço Gerenciado do Azure Monitor para Prometheus | O serviço gerenciado do Azure Monitor para Prometheus permite coletar e analisar métricas em escala, usando uma solução de monitoramento compatível com o Prometheus, com base no projeto Prometheus no Cloud Native Compute Foundation. |
Para obter informações detalhadas sobre a coleta de dados, confira coleta de dados.
Plataforma de dados
O Azure Monitor armazena dados em armazenamentos de dados para cada um dos pilares de observabilidade: métricas, logs, rastreamentos distribuídos e alterações. Cada repositório é otimizado para tipos específicos de cenários de dados e de monitoramento.
| Pilar da observabilidade/ Armazenamento de dados |
Descrição |
|---|---|
| Métricas do Azure Monitor | As métricas são valores numéricos que descrevem um aspecto de um sistema em um ponto específico no tempo. As Métricas do Azure Monitor são um banco de dados de série temporal otimizado para analisar dados com carimbo de data/hora. O Azure Monitor coleta métricas em intervalos regulares. As métricas são identificadas com um carimbo de data/hora, um nome, um valor e um ou mais rótulos de definição. Elas podem ser agregadas por meio de algoritmos, comparadas com outras métricas e analisadas quanto às tendências ao longo do tempo. Dá suporte a métricas nativas do Azure Monitor e métricas do Prometheus |
| Logs do Azure Monitor | Os logs são eventos registrados do sistema. Os logs podem conter diferentes tipos de dados, ser estruturados ou texto de forma livre e contêm um carimbo de data/hora. O Azure Monitor armazena dados de log estruturados e não estruturados de todos os tipos nos Logs do Azure Monitor. Você pode rotear dados para workspaces do Log Analytics para fins de consulta e análise. |
| Rastreamentos | Os rastreamentos distribuídos identificam a série de eventos relacionados que seguem uma solicitação de usuário por meio de um sistema distribuído. Um rastreamento mede a operação e o desempenho do aplicativo em todo o conjunto de componentes no seu sistema. Os rastreamentos podem ser usados para determinar o comportamento do código do aplicativo e o desempenho de transações diferentes. O Azure Monitor obtém dados de rastreamento distribuídos do SDK do Application Insights. Os dados de rastreamento são armazenados em um workspace separado nos Logs do Azure Monitor. |
| Alterações | As alterações são uma série de eventos no seu aplicativo e recursos. Elas são rastreadas e armazenadas quando você usa o serviço Análise de alterações, que usa o Azure Resource Graph como repositório. A Análise de Alterações ajuda você a entender quais alterações, como a implantação de código atualizado, podem ter causado problemas nos sistemas. |
Soluções de auditoria no Microsoft Purview
As soluções de auditoria do Microsoft Purview fornecem uma solução integrada para ajudar as organizações a responder efetivamente a eventos de segurança, investigações forenses, investigações internas e obrigações de conformidade. Milhares de operações de usuário e administrador realizadas em dezenas de serviços e soluções do Microsoft 365 são capturadas, registradas e retidas no log de auditoria unificado da sua organização. Os registros de auditoria desses eventos podem ser pesquisados por operações de segurança, administradores de TI, equipes de risco interno e investigadores jurídicos e de conformidade em sua organização. Essa capacidade lança visibilidade sobre as atividades realizadas em sua organização do Microsoft 365.
Recursos de auditoria
A Auditoria do Microsoft Purview (Standard) fornece a você a capacidade de registrar e pesquisar atividades auditadas e habilitar suas investigações forenses, de TI, de conformidade e legais.
Habilitada por padrão. A Auditoria (Padrão) é ativada por padrão para todas as organizações com a assinatura apropriada. Isso significa que os registros de atividades auditadas são capturados e pesquisáveis. A única configuração necessária é atribuir as permissões necessárias para acessar a ferramenta de pesquisa de log de auditoria (e o cmdlet correspondente) e certificar-se de que os usuários recebem a licença certa para recursos da Auditoria do Microsoft Purview (Premium).
Milhares de eventos de auditoria pesquisáveis. Você pode pesquisar uma ampla gama de atividades auditadas que ocorrem na maioria dos serviços do Microsoft 365 em sua organização. Para obter uma lista das atividades que você pode pesquisar, consulte As atividades de log de auditoria. Para obter uma lista dos serviços e recursos que oferecem suporte às atividades auditadas, consulte Tipo de registro de log de Auditoria.
Ferramenta de pesquisa de auditoria no portal do Microsoft Purview ou no portal de conformidade. Use a ferramenta de pesquisa de log de auditoria nos portais para pesquisar registros de auditoria. Você pode pesquisar atividades específicas, atividades executadas por usuários específicos e atividades que ocorreram com um intervalo de datas.
Cmdlet Search-UnifiedAuditLog. Você também pode usar o cmdlet Search-UnifiedAuditLog no PowerShell do Exchange Online (o cmdlet subjacente para a ferramenta de pesquisa) para pesquisar eventos de auditoria ou usar em um script. Para saber mais, veja:
- referência do cmdlet Search-UnifiedAuditLog
- Usar um script do PowerShell para pesquisar o log de auditoria
Exportar registros de auditoria para um arquivo CSV. Depois de executar a ferramenta de pesquisa de log de auditoria no portal do Microsoft Purview ou no portal de conformidade, você pode exportar os registros de auditoria retornados pela pesquisa para um arquivo CSV. Isso permite que você use a classificação e o filtro do Microsoft Excel em propriedades de registro de auditoria diferentes. Você também pode usar a funcionalidade de transformação do Power Query para Excel para dividir cada propriedade no objeto JSON AuditData em sua própria coluna. Isso permite efetivamente exibir e comparar dados semelhantes para diferentes eventos. Para obter mais informações, consulte Exportar, configurar e exibir registros de log de auditoria.
Acesso a registros de auditoria por meio da API da Atividade de Gestão do Office 365. Um terceiro método para acessar e recuperar registros de auditoria é usar a API da Atividade de Gestão do Office 365. Isso permite que as organizações mantenham dados de auditoria por períodos mais longos do que os 180 dias padrão e permite importar seus dados de auditoria para uma solução SIEM. Para mais informações, confira referência da API da Atividade de Gestão do Office 365.
Retenção de log de auditoria de 180 dias. Quando uma atividade auditada é executada por um usuário ou administrador, um registro de auditoria é gerado e armazenado no log de auditoria da sua organização. Na Auditoria (Standard), os registros são mantidos por 180 dias, o que significa que você pode pesquisar atividades que ocorreram nos últimos seis meses.