Como acessar logs de atividade no Microsoft Entra ID

Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspetos do seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID fornece várias opções para acessar seus dados de registro de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que possa selecionar o método de acesso certo para seu cenário.

Você pode acessar logs de atividade e relatórios do Microsoft Entra usando os seguintes métodos:

Cada um desses métodos fornece recursos que podem ser alinhados com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Pré-requisitos

As funções e licenças necessárias podem variar com base no relatório. Os Administradores Globais podem acessar todos os relatórios, mas recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.

Registo / Relatório Funções Licenças
Auditar Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Leitor Global
Todas as edições do Microsoft Entra ID
Inícios de sessão Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Leitor Global
Todas as edições do Microsoft Entra ID
Aprovisionamento O mesmo que auditoria e logins, além de
Operador de Segurança
Administrador da Aplicação
Administrador de aplicativos na nuvem
Uma função personalizada com provisioningLogs permissão
Premium P1 ou P2
Utilização e informações Leitor de Segurança
Leitor de relatórios
Administrador de Segurança
Premium P1 ou P2
Proteção de identidade* Administrador de Segurança
Operador de Segurança
Leitor de Segurança
Leitor Global
Aplicativos Microsoft Entra ID Free/Microsoft 365
Microsoft Entra ID P1 ou P2

*O nível de acesso e os recursos do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de identidade.

Os logs de auditoria estão disponíveis para recursos que você licenciou. Para acessar os logs de entrada usando a API do Microsoft Graph, seu locatário deve ter uma licença do Microsoft Entra ID P1 ou P2 associada a ele.

Transmita logs para um hub de eventos para integração com ferramentas SIEM

O streaming de seus registros de atividades para um hub de eventos é necessário para integrar seus registros de atividades com ferramentas de Gerenciamento de Informações e Eventos de Segurança (SIEM), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace de Hubs de Eventos e um hub de eventos em sua assinatura do Azure.

As ferramentas SIEM que você pode integrar com seu hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:

  • Se você precisa de uma plataforma de streaming de big data e serviço de ingestão de eventos para receber e processar milhões de eventos por segundo.
  • Se você deseja transformar e armazenar dados usando um provedor de análise em tempo real ou adaptadores de lote/armazenamento.

Passos rápidos

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie um namespace e um hub de eventos de Hubs de Eventos.
  3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
  4. Escolha os logs que deseja transmitir, selecione a opção Transmitir para um hub de eventos e preencha os campos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos Hubs de Eventos do Azure em sua ferramenta.

Acessar logs com a API do Microsoft Graph

A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Ele não requer que um administrador ou desenvolvedor configure uma infraestrutura extra para dar suporte ao seu script ou aplicativo.

Usando o Microsoft Graph Explorer, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:

  • Exiba as atividades do locatário, como quem fez uma alteração em um grupo e quando.
  • Marque um evento de entrada do Microsoft Entra como seguro ou confirmado comprometido.
  • Recupere uma lista de entradas de aplicativos dos últimos 30 dias.

Passos rápidos

  1. Configure os pré-requisitos.
  2. Inicie sessão no Graph Explorer.
  3. Defina o método HTTP e a versão da API.
  4. Adicione uma consulta e selecione o botão Executar consulta .

Integrar logs com logs do Azure Monitor

Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos aprimorados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividade do Microsoft Entra aos logs do Azure Monitor, você precisa de um espaço de trabalho do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.

A integração de logs do Microsoft Entra com logs do Azure Monitor fornece um local centralizado para consultar logs. Recomendamos a integração de logs com logs do Azure Monitor para os seguintes tipos de cenários:

  • Compare os logs de entrada do Microsoft Entra com os logs publicados por outros serviços do Azure.
  • Correlacione os logs de entrada com os insights do Aplicativo do Azure.
  • Logs de consulta usando parâmetros de pesquisa específicos.

Passos rápidos

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie um espaço de trabalho do Log Analytics.
  3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
  4. Escolha os logs que deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e preencha os campos.
  5. Navegue até Análise de Log de integridade do Monitoramento de & Identidade>>e comece a consultar os dados.

Monitorar eventos com o Microsoft Sentinel

O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao seu centro de operações de segurança deteção de segurança quase em tempo real e caça a ameaças. O termo caça a ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Ao contrário da proteção clássica, a caça a ameaças tenta identificar proativamente ameaças potenciais que podem prejudicar o seu sistema. Os dados do seu registo de atividades podem fazer parte da sua solução de caça a ameaças.

Recomendamos o uso dos recursos de deteção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análises de segurança e inteligência contra ameaças. Use o Microsoft Sentinel se precisar:

  • Colete dados de segurança em toda a sua empresa.
  • Detete ameaças com vasta inteligência sobre ameaças.
  • Investigue incidentes críticos guiados por IA.
  • Responda rapidamente e automatize a proteção.

Passos rápidos

  1. Saiba mais sobre os pré-requisitos, funções e permissões.
  2. Estimar custos potenciais.
  3. Integrado ao Microsoft Sentinel.
  4. Colete dados do Microsoft Entra.
  5. Comece a caçar ameaças.

Ver registos através do centro de administração do Microsoft Entra

Para investigações pontuais com um escopo limitado, o centro de administração do Microsoft Entra geralmente é a maneira mais fácil de encontrar os dados de que você precisa. A interface do usuário para cada um desses relatórios fornece opções de filtro que permitem que você encontre as entradas necessárias para resolver seu cenário.

Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode revisar os logs de entrada, auditoria e provisionamento para cenários únicos ou usar relatórios para examinar padrões e tendências. Os dados dos logs de atividade ajudam a preencher os relatórios de Proteção de Identidade, que fornecem deteções de risco relacionadas à segurança da informação que o Microsoft Entra ID pode detetar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de uso e insights, que fornecem detalhes de uso para os aplicativos do seu locatário.

Os relatórios disponíveis no portal do Azure fornecem uma ampla gama de recursos para monitorar atividades e uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.

  • Pesquise a atividade de início de sessão de um utilizador ou acompanhe a utilização de uma aplicação.
  • Analise os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
  • Use os relatórios de Proteção de Identidade para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
  • Para garantir que os usuários possam acessar os aplicativos em uso em seu locatário, você pode revisar a taxa de sucesso de entrada no relatório de atividade do aplicativo Microsoft Entra (visualização) em Uso e insights.
  • Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório Métodos de autenticação de Uso e insights.

Passos rápidos

Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.

Logs de atividades do Microsoft Entra

  1. Navegue até Integridade do Monitoramento de Identidade>, Logs de auditoria, Logs/de entrada, Logs/ de &>provisionamento.
  2. Ajuste o filtro de acordo com as suas necessidades.

Relatórios de Proteção de ID do Microsoft Entra

  1. Navegue até Proteção>de identidade.
  2. Explore os relatórios disponíveis.

Relatórios de uso e insights

  1. Navegue até Integridade do monitoramento de &>identidade>: Uso e insights.
  2. Explore os relatórios disponíveis.

Exportar logs para armazenamento e consultas

A solução certa para o seu armazenamento a longo prazo depende do seu orçamento e do que planeia fazer com os dados. Você tem três opções:

  • Arquivar logs no Armazenamento do Azure
  • Baixar logs para armazenamento manual
  • Integrar logs com logs do Azure Monitor

O Armazenamento do Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs de diretório em uma conta de armazenamento.

Se você planeja consultar os logs com frequência para executar relatórios ou executar análises nos logs armazenados, deve integrar seus dados aos logs do Azure Monitor.

Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividades, você pode baixar manualmente seus registros. A interface de usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o Armazenamento do Azure ou o Azure Monitor.

Recomendamos configurar uma conta de armazenamento para arquivar seus registros de atividades para os cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.

Se pretender armazenar a longo prazo e executar consultas nos dados, consulte a secção sobre a integração dos seus registos de atividade com os Registos do Azure Monitor.

Recomendamos baixar e armazenar manualmente seus registros de atividades se você tiver restrições orçamentárias.

Passos rápidos

Use as etapas básicas a seguir para arquivar ou baixar seus registros de atividades.

Arquivar registos de atividades numa conta de armazenamento

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Criar uma conta de armazenamento.
  3. Navegue até Configurações de diagnóstico de integridade do Monitoramento>de& identidade.>
  4. Escolha os logs que deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.

Baixar manualmente os registros de atividades

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
  2. Navegue até Integridade do Monitoramento de Identidade>, Logs de auditoria, Logs/de entrada, Logs/ de>& provisionamento, no menu Monitoramento.
  3. Selecione Transferir.

Próximos passos