Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Usando as definições de diagnóstico do Microsoft Entra, pode-se encaminhar logs de atividade para vários destinos, para retenção a longo prazo e análise de dados. Selecione os logs que deseja encaminhar e, em seguida, selecione o destino.
Este artigo descreve os logs que se podem redirecionar para um endpoint com as definições de diagnóstico do Microsoft Entra. Os logs são categorizados em camadas com base em sua importância para investigações de segurança.
Requisitos e opções de streaming de log
A configuração de um ponto de extremidade, como um hub de eventos ou uma conta de armazenamento, pode exigir funções e licenças diferentes. Para criar ou editar uma nova configuração de diagnóstico, você precisa de um usuário que seja um Administrador de Segurança para o locatário do Microsoft Entra.
Para ajudar a decidir qual opção de roteamento de log é melhor para você, consulte Como acessar logs de atividades. O processo geral e os requisitos para cada tipo de ponto final são abordados nos seguintes artigos:
- Envie logs para um espaço de trabalho do Log Analytics para integrar-se com os logs do Azure Monitor
- Arquivar registos numa conta de armazenamento
- Transmitir logs para um hub de eventos
- Enviar para uma solução de parceiro
Opções do registo de atividades
Os registos seguintes podem ser encaminhados para um destino final para armazenamento, análise ou monitorização.
Registos de auditoria
O AuditLogs relatório captura alterações em aplicativos, grupos, usuários e licenças no cliente Microsoft Entra. Depois de rotear seus logs de auditoria, você pode filtrar ou analisar por data/hora, o serviço que registrou o evento e quem fez a alteração. Para obter mais informações, consulte Registos de auditoria.
Registos de início de sessão
O SignInLogs envia os logs de entrada interativos, que são gerados quando os utilizadores fazem login. Os registos de entrada são gerados quando os utilizadores introduzem o nome de utilizador e a palavra-passe no ecrã de início de sessão do Microsoft Entra ou quando passam por um desafio de autenticação multifator. Para obter mais informações, consulte Entradas de usuário interativas.
Registos de início de sessão não interativos
Os NonInteractiveUserSIgnInLogs são inícios de sessão feitos em nome de um utilizador, tal como por uma aplicação cliente. O dispositivo ou cliente usa um token ou código para autenticar ou acessar um recurso em nome de um usuário. Para obter mais informações, consulte Entradas de usuário não interativas.
Logs de entrada do principal de serviço
Se precisar de rever a atividade de início de sessão para aplicações ou entidades de serviço, ServicePrincipalSignInLogs poderá ser uma boa opção. Nesses cenários, certificados ou segredos de cliente são usados para autenticação. Para obter mais informações, consulte Inícios de sessão do principal de serviço.
Registos de início de sessão de identidades geridas
As ManagedIdentitySignInLogs fornecem informações semelhantes aos registos de início de sessão da entidade de serviço, mas para identidades geridas, onde o Azure gere os segredos. Para obter mais informações, consulte Entradas de identidade gerenciadas.
Registos de aprovisionamento
Se sua organização provisionar usuários por meio de um aplicativo que não seja da Microsoft, como Workday ou ServiceNow, convém exportar os ProvisioningLogs relatórios. Para obter mais informações, consulte Logs de provisionamento.
Registos de início de sessão do AD FS
A atividade de início de sessão para aplicações dos Serviços Federados do Active Directory (AD FS) é capturada nestes relatórios de utilização e insights. Você pode exportar o relatório ADFSSignInLogs para monitorizar a atividade de início de sessão para aplicações AD FS. Para obter mais informações, consulte registos de início de sessão do AD FS.
Utilizadores de risco
Os RiskyUsers logs identificam os usuários que estão em risco com base em suas atividades de entrada. Este relatório faz parte do Microsoft Entra ID Protection e utiliza dados de início de sessão do Microsoft Entra ID. Para obter mais informações, consulte O que é a Proteção de ID do Microsoft Entra?.
Eventos de risco do usuário
Os UserRiskEvents logs fazem parte da Microsoft Entra ID Protection. Esses logs capturam detalhes sobre eventos de entrada arriscados. Para obter mais informações, consulte Como investigar o risco.
Logs de tráfego de acesso à rede
Os NetworkAccessTrafficLogs estão associados ao Microsoft Entra Internet Access e Microsoft Entra Private Access. Os logs são visíveis no Microsoft Entra ID, mas selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet Access e o Microsoft Entra Private Access para proteger o acesso aos recursos corporativos. Para obter mais informações, consulte O que é o Acesso Seguro Global?.
Entidades de serviço arriscadas
Os RiskyServicePrincipals logs fornecem informações sobre entidades de serviço que o Microsoft Entra ID Protection detetou como arriscadas. O risco do principal de serviço representa a probabilidade de uma identidade ou conta ser comprometida. Esses riscos são calculados de forma assíncrona usando dados e padrões de fontes internas e externas de inteligência de ameaças da Microsoft. Essas fontes podem incluir pesquisadores de segurança, profissionais de aplicação da lei e equipes de segurança da Microsoft. Para obter mais informações, consulte Proteção das identidades das cargas de trabalho.
Eventos de risco da entidade de serviço
O ServicePrincipalRiskEvents fornece detalhes sobre os eventos de entrada arriscados para entidades de serviço. Esses logs podem incluir qualquer evento suspeito identificado relacionado às contas principais do serviço. Para obter mais informações, consulte Proteção das identidades das cargas de trabalho.
Microsoft 365 registos de auditoria enriquecidos
Os EnrichedOffice365AuditLogs estão associados aos logs enriquecidos que você pode habilitar para o Microsoft Entra Internet Access. Selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet para proteger o acesso ao tráfego do Microsoft 365 e você tenha ativado os logs enriquecidos. Para obter mais informações, consulte Como usar os logs do Microsoft 365 enriquecidos com acesso seguro global.
Logs de atividades do Microsoft Graph
O MicrosoftGraphActivityLogs fornece aos administradores visibilidade total de todas as solicitações HTTP que acessam os recursos do locatário por meio da API do Microsoft Graph. Você pode usar esses logs para identificar atividades que uma conta de usuário comprometida realizou em seu locatário ou para investigar comportamentos problemáticos ou inesperados para aplicativos cliente, como volumes extremos de chamadas. Encaminhe esses logs para o mesmo espaço de trabalho do Log Analytics com SignInLogs para cruzar detalhes de solicitações de token para logs de autenticação. Para obter mais informações, consulte Aceder aos registos de atividades do Microsoft Graph.
Registos de saúde da rede remota
O RemoteNetworkHealthLogs fornece informações sobre a integridade da sua rede remota configurada através do Acesso Seguro Global. Selecionar essa opção não adiciona novos logs ao seu espaço de trabalho, a menos que sua organização esteja usando o Microsoft Entra Internet Access e o Microsoft Entra Private Access para proteger o acesso aos recursos corporativos. Para mais informações, consultar Registos de integridade da rede remota.
Logs de entrada do principal de serviço da Microsoft (pré-visualização)
O MicrosoftServicePrincipalSignInLogs fornece visibilidade sobre cenários em que os serviços de propriedade da Microsoft (primeira parte) se autenticam a outros serviços da Microsoft dentro de um inquilino, como quando um utilizador abre um documento do Word dentro do Microsoft Teams. Esses logs foram liberados para fornecer maior transparência em torno da autenticação de serviço a serviço, mas não são necessários para a maioria dos clientes, pois são complexos e geram um alto volume de dados. Esses aplicativos são monitorados pela segurança da Microsoft para garantir a segurança dos aplicativos e seguem princípios de menor privilégio. Queremos enfatizar que esses dados não são essenciais para investigações de segurança e desaconselhamos fortemente a tomada de ações como desabilitar aplicativos com base nesses dados, pois isso pode causar configurações incorretas e potenciais efeitos adversos, como bloqueio de locatário. Esses dados são oferecidos como uma opção de inclusão apenas por meio de configurações de diagnóstico e estão atualmente em visualização. Para mais informações e perguntas frequentes, visite a nossa página de FAQ.
Registos de auditoria de atributos de segurança personalizados
Os CustomSecurityAttributeAuditLogs são configurados na secção Atributos de segurança personalizados das definições de diagnóstico. Esses logs capturam alterações em atributos de segurança personalizados em seu locatário do Microsoft Entra. Para visualizar estes logs nos registos de auditoria do Microsoft Entra, é necessário o papel de Leitor de Log de Atributos. Para rotear esses logs para um ponto de extremidade, você precisa da função Administrador de Log de Atributos e do Administrador de Segurança.