Usar logs para detectar atividades suspeitas
A perda de dados ocorre principalmente quando as contas de usuário são comprometidas e, então, usadas para acessar ativos ou recursos confidenciais na sua rede. O Azure oferece recursos de registro em log e auditoria que podem ajudá-lo a avaliar se o comportamento recente de seus usuários é consistente com o comportamento típico deles. Quando o comportamento do usuário desvia do normal, é sinalizado como suspeito.
Os membros da equipe de segurança estão preocupados com a repetição de uma violação recente. Eles querem saber quais recursos e serviços do Azure podem ajudar a evitar uma violação de dados. Para tranquilizar a equipe, você quer saber mais sobre o que o Azure oferece para registrar em log as atividades do usuário e como usar esse registro em log para identificar um comportamento de entrada suspeita.
Nesta unidade, você verá duas abordagens para monitorar o comportamento do usuário. A primeira abordagem se concentra nos detalhes de entrada do usuário, que são armazenados nos arquivos de log de entrada. A segunda abordagem examina a atividade do usuário enquanto conectado. Essas atividades são armazenadas nos arquivos de auditoria.
Logs do Microsoft Entra
O Microsoft Entra ID captura informações de log para o seu locatário do Azure inteiro. Você pode usar essas informações em análises e relatórios. Ao avaliar o comportamento do usuário, o ideal é examinar os logs de atividades e de segurança coletados para o locatário.
Os logs de atividades abrangem todos os comportamentos e as interações de um usuário com sua rede e seus ativos. Você deve prestar atenção especialmente a dois tipos de arquivos de log:
- Logs de entrada: os logs de entrada contêm detalhes sobre todas as atividades do usuário e os aplicativos que solicitaram autenticação para entrada.
- Logs de auditoria: os logs de auditoria mostram o que um usuário ou grupo fez enquanto estava conectado à sua rede.
Os logs de segurança representam uma lista das exceções encontradas nos logs de atividades. É importante prestar atenção a dois arquivos de log de segurança importantes:
- Entradas suspeitas: os logs de entrada suspeita contêm dados sobre contas de usuário nas quais o comportamento de entrada é inconsistente com tentativas de entrada anteriores.
- Usuários sinalizados por risco: os logs de usuários sinalizados por risco mostram todos os usuários sinalizados como usuários suspeitos.
No entanto, neste momento, você está interessado em acompanhar apenas os logs de atividades e as entradas de usuário.
Arquivos de log de entrada
Os arquivos de log de entrada contêm uma cópia de todas as tentativas de entrar na sua rede. Os logs rastreiam apenas as entradas tradicionais que usaram credenciais de usuário. Os arquivos de log de entrada não registram a autenticação automática que é usada em conexões de servidor para servidor.
Você pode usar os arquivos de log de entrada para identificar:
- Padrões de comportamento de entrada do usuário.
- Tendências na atividade de entrada do usuário ao longo do tempo.
- O status geral de todos os usuários que acessam a rede.
Pré-requisitos dos logs de entrada
Devido à natureza confidencial dos dados de log capturados pelos logs de entrada, o acesso a esses logs é reservado e limitado. Para usar os arquivos de log de entrada, você precisa ter:
- Uma assinatura P1 ou P2 ou Premium 2 do Microsoft Entra ID.
- Pelo menos um usuário que tenha função de Administrador Global, Leitor de Relatório, Leitor de Segurança ou Administrador de Segurança.
Exibição de logs de entrada
O Azure captura uma ampla variedade de dados sobre a atividade do usuário, que vão dos períodos de acesso ao aplicativo que fez a solicitação de entrada, entre outros. Você acessa o arquivo de logs de entrada na sua instância do Microsoft Entra no portal do Azure. Na primeira vez em que o serviço de registro em log de entrada for habilitado, talvez você não veja dados por até uma hora.
Para ver os logs de entrada de seu locatário, no menu à esquerda em Monitoramento, selecione Logs de entrada. O seguinte exemplo mostra uma exibição típica dos dados da tabela de entrada:
As colunas de tabela padrão exibem informações como data de entrada, nome do usuário, status de entrada e local.
Assim como acontece com todos os relatórios do Azure, você pode personalizar a estrutura do relatório adicionando e removendo colunas. Para alterar as colunas, na barra de menus dos logs de entrada, selecione Colunas. No painel Colunas, você pode adicionar ou remover colunas com base em suas necessidades. Além das colunas padrão, você pode escolher colunas para exibir mais informações.
Filtrar dados de log
Mesmo depois de selecionar todas as colunas de entrada que deseja exibir, você ainda terá uma grande quantidade de dados. Para gerenciar os volumes de dados e obter os dados de que precisa, você pode aplicar filtros. Por exemplo, talvez você queira ver apenas os registros de entrada nos quais os usuários foram sinalizados como um risco ou nos quais a autenticação multifator falhou. Usando filtros, você pode exibir os dados brutos de diversas maneiras, a fim de identificar tendências ou padrões.
Para usar filtros, na barra de menus dos logs de entrada, selecione Adicionar filtros e selecione os filtros que deseja usar.
Estes são alguns dos principais filtros e o respectivo uso:
- Usuário: use para procurar usuários específicos, pelo nome ou pelo UPN.
- Aplicativo: use para localizar solicitações de entrada de aplicativos específicos.
- Status: use para restringir os resultados aos usuários que entraram com êxito ou aos usuários para os quais a entrada falhou.
- Acesso Condicional: use para examinar se as políticas de Acesso Condicional pertinentes foram aplicadas.
- Data: use para ajustar o período dos dados que você está vendo, de um mês a um só dia.
Baixar logs de entrada
Você determinou quais colunas têm as informações desejadas e aplicou filtros para restringir os dados a um subconjunto específico e gerenciável. Agora, você pode processar os dados. Embora o Azure ofereça algumas ótimas ferramentas para visualização de dados e análise posterior, talvez você já use aplicativos específicos para processar dados. Com o Azure, você pode baixar os dados de entrada com base nos filtros atuais.
Ao baixar os logs de entrada, você está limitado aos 250 mil registros mais recentes, com base nos critérios de filtro que aplicou.
Para baixar os dados em sua exibição, na barra de menus dos logs de entrada, selecione Baixar. Você selecionará um formato a ser usado para os dados, CSV ou JSON, e inserirá um nome de arquivo para o arquivo de download.
Códigos de erro de entrada
Analisar as entradas com falha é uma maneira fundamental de ajudar a manter um ambiente seguro e íntegro do Azure. Ao examinar os arquivos de log de entrada, você pode filtrar o status para mostrar apenas as entradas com falha:
Ao selecionar qualquer um dos registros de entrada na lista de resultados, você verá um instantâneo do registro, incluindo o status de entrada, o código de erro de entrada e o motivo da falha.
Na unidade de resumo desde módulo, você encontrará um link para uma lista completa de códigos de erro. Alguns exemplos de códigos de erro e suas descrições oficiais estão listados na tabela a seguir:
| Erro | Descrição |
|---|---|
| 50002 | Falha na entrada devido a acesso restrito ao proxy no locatário. Se essa for a própria política de locatário, você poderá alterar suas configurações de locatário restrito para corrigir esse problema. |
| 50005 | Os usuários tentaram entrar em um dispositivo usando uma plataforma que atualmente não é compatível por meio da política de acesso condicional. |
| 50020 | O usuário não está autorizado por um dos seguintes motivos: ele está tentando entrar usando uma conta MSA com o ponto de extremidade v1 ou ele não existe no locatário. Entre em contato com o proprietário do aplicativo. |
| 50055 | Senha inválida inserida ou senha expirada. |
| 50057 | A conta de usuário está desabilitada. A conta foi desabilitada por um administrador. |
| 50074 | O usuário não passou no desafio de MFA (autenticação multifator). |
| 50126 | Senha ou nome de usuário inválido ou senha ou nome de usuário local inválido. |
| 50133 | A sessão é inválida devido à expiração ou à alteração de senha recente. |
| 50173 | Um novo token de autenticação é necessário. Solicite ao usuário que se conecte novamente usando novas credenciais. |
| 53003 | O acesso foi bloqueado devido às políticas de acesso condicional. |
| 65004 | O usuário recusou-se a fornecer o consentimento para acesso ao aplicativo. Solicite ao usuário que tente se conectar novamente e forneça consentimento para o aplicativo. |
| 70019 | O código de verificação expirou. Solicite ao usuário que tente se conectar novamente. |
| 80007 | O Agente de Autenticação não pode validar a senha do usuário. |
| 81007 | O locatário não está habilitado para SSO Contínuo. |
Arquivos de log de auditoria
Os arquivos de auditoria fornecem um histórico de todas as atividades no seu locatário do Microsoft Entra. Os logs de auditoria são mantidos para conformidade e mantêm registros de todas as atividades do sistema. Atividades recentes podem não ser incluídas nos resultados por até uma hora após a ocorrência.
Pré-requisitos dos logs de auditoria
Para acessar os arquivos de log de auditoria, pelo menos um usuário em seu locatário precisa ter função de Administrador Global, Leitor de Relatórios, Leitor de Segurança ou Administrador de Segurança.
Exibição de logs de auditoria
Acesse os logs de auditoria por meio da sua instância do Microsoft Entra no portal do Azure. No menu à esquerda, em Monitoramento, selecione Logs de auditoria.
Assim como os logs de entrada, você pode modificar os logs de auditoria para atender às suas necessidades específicas. A exibição de log de auditoria padrão apresenta as seguintes colunas:
- Data
- Serviço
- Categoria
- Atividade
- Status
- Motivo do status
- Destino(s)
- Iniciado por (ator)
Você também pode adicionar a coluna Agente de Usuário.
Filtrar os resultados do log de auditoria
Os logs de auditoria podem conter centenas de milhares de entradas de todo o seu ambiente do Azure. Para gerenciar o volume de dados, você pode aplicar filtros aos resultados para exibir os dados necessários. Você pode filtrar dados somente nos seguintes campos:
- Data: especifique um intervalo de datas que pode variar de um mês a um dia ou pode ser um intervalo personalizado.
- Mostrar datas como: selecione Local ou UTC.
- Serviço: restrinja os serviços incluídos nos resultados.
- Categoria: especifique qual categoria de auditoria você deseja. Por exemplo, você pode escolher a unidade administrativa ou o gerenciamento de usuários.
- Atividade: as opções dependem do tipo de serviço e da categoria selecionados.
- Status: filtre pelo sucesso ou falha da atividade.
Selecione Adicionar filtros para selecionar um dos seguintes filtros:
- Destino: filtre com base no nome de destino ou no nome UPN.
- Iniciado por (ator): especifique um nome de usuário ou nome de entidade de segurança universal para filtrar. Ambos diferenciam maiúsculas de minúsculas.
- Agente de Usuário: filtre por um nome de agente de usuário.
Baixar os logs de auditoria
Depois de aplicar os filtros para reduzir os dados a um subconjunto gerenciável e específico, você poderá baixar os dados. Ao baixar os registros de log de auditoria, você está limitado aos 250 mil registros mais recentes, com base nos critérios de filtro aplicados.
Assim como ocorre com os logs de entrada, selecione um formato a ser usado para os dados, CSV ou JSON, e insira um nome de arquivo para o download.
Acessar logs por meio de usuários, grupos e aplicativos empresariais
Você pode acessar os logs de entrada e os logs de auditoria coletados para a sua instância do Microsoft Entra por meio de usuários, grupos e aplicativos empresariais. Os dados são pré-filtrados de acordo com o ponto de acesso em uso. Se você acessar os logs por meio do menu de usuários, verá apenas os dados do log relacionados aos usuários. O mesmo se aplica aos grupos e aos aplicativos empresariais.
Para acessar os logs de entrada do usuário ou os logs de auditoria do usuário da sua instância do Microsoft Entra: no menu do lado esquerdo, na guia Gerenciar, selecione Usuários. Em seguida, em Atividade, selecione o tipo de log que deseja exibir.
Para acessar os logs de auditoria de um grupo a partir da sua instância do Microsoft Entra, selecione Grupos no menu do lado esquerdo.