Como acessar logs de atividade no Microsoft Entra ID

Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspetos do seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID fornece várias opções para acessar seus dados de registro de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que possa selecionar o método de acesso certo para seu cenário.

Você pode acessar logs de atividade e relatórios do Microsoft Entra usando os seguintes métodos:

Cada um desses métodos fornece recursos que podem ser alinhados com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.

Pré-requisitos

As funções e licenças necessárias variam de acordo com o relatório. São necessárias permissões separadas para aceder a dados de monitorização e estado de funcionamento no Microsoft Graph. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust. Para obter uma lista completa de funções, consulte Funções menos privilegiadas por tarefa.

Registo / Relatório Funções Licenças
Logs de auditoria Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Todas as edições do Microsoft Entra ID
Registos de início de sessão Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Todas as edições do Microsoft Entra ID
Logs de provisionamento Leitor de relatórios
Leitor de Segurança
Administrador de aplicativos
Administrador de aplicativos na nuvem
Microsoft Entra ID P1 ou P2
Logs de auditoria de atributos de segurança personalizados* Administrador de log de atributos
Leitor de log de atributos
Todas as edições do Microsoft Entra ID
Saúde Leitor de relatórios
Leitor de Segurança
Administrador do Helpdesk
Microsoft Entra ID P1 ou P2
Proteção de ID do Microsoft Entra** Administrador de Segurança
Operador de Segurança
Leitor de Segurança
Leitor Global
Microsoft Entra ID Grátis
Aplicativos do Microsoft 365
Microsoft Entra ID P1 ou P2
Logs de atividades do Microsoft Graph Administrador de Segurança
Permissões para acessar dados no destino do log correspondente
Microsoft Entra ID P1 ou P2
Uso e insights Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Microsoft Entra ID P1 ou P2

*A visualização dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados requer uma das funções de Log de Atributos. Você também precisa da função apropriada para exibir os logs de auditoria padrão.

**O nível de acesso e os recursos do Microsoft Entra ID Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de ID.

Os logs de auditoria estão disponíveis para recursos que você licenciou. Para acessar os logs de entrada usando a API do Microsoft Graph, seu locatário deve ter uma licença do Microsoft Entra ID P1 ou P2 associada a ele.

Ver registos através do centro de administração do Microsoft Entra

Para investigações pontuais com um escopo limitado, o centro de administração do Microsoft Entra geralmente é a maneira mais fácil de encontrar os dados de que você precisa. A interface do usuário para cada um desses relatórios fornece opções de filtro que permitem que você encontre as entradas necessárias para resolver seu cenário.

Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode revisar os logs de entrada, auditoria e provisionamento para cenários únicos ou usar relatórios para examinar padrões e tendências. Os dados dos logs de atividade ajudam a preencher os relatórios de Proteção de Identidade, que fornecem deteções de risco relacionadas à segurança da informação que o Microsoft Entra ID pode detetar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de Uso e insights, que fornecem detalhes de uso para os aplicativos do seu locatário.

Os relatórios disponíveis no portal do Azure fornecem uma ampla gama de recursos para monitorar atividades e uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.

  • Pesquise a atividade de início de sessão de um utilizador ou acompanhe a utilização de uma aplicação.
  • Analise os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
  • Use os relatórios de Proteção de Identidade para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
  • Analise a taxa de sucesso de entrada no relatório de atividade do aplicativo Microsoft Entra (visualização) em Uso e informações para garantir que seus usuários possam acessar os aplicativos em uso em seu locatário.
  • Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório Métodos de autenticação de Uso e insights.

Passos rápidos

Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.

  1. Navegue até Monitoramento de identidade>& integridade>Logs/de auditoria Logs/de entrada Logs de provisionamento.
  2. Ajuste o filtro de acordo com as suas necessidades.

Os logs de auditoria podem ser acessados diretamente da área do centro de administração do Microsoft Entra onde você está trabalhando. Por exemplo, se você estiver na seção Grupos ou Licenças do Microsoft Entra ID, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa maneira, as categorias de filtro são definidas automaticamente. Se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.

Transmita logs para um hub de eventos para integração com ferramentas SIEM

O streaming de seus registros de atividades para um hub de eventos é necessário para integrar seus logs de atividades com ferramentas de Gerenciamento de Informações e Eventos de Segurança (SIEM), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace de Hubs de Eventos e um hub de eventos em sua assinatura do Azure.

As ferramentas SIEM que você pode integrar com seu hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:

  • Você precisa de uma plataforma de streaming de big data e um serviço de ingestão de eventos para receber e processar milhões de eventos por segundo.
  • Você está procurando transformar e armazenar dados usando um provedor de análise em tempo real ou adaptadores de lote/armazenamento.

Passos rápidos

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie um namespace e um hub de eventos de Hubs de Eventos.
  3. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
  4. Escolha os logs que deseja transmitir, selecione a opção Transmitir para um hub de eventos e preencha os campos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos Hubs de Eventos do Azure em sua ferramenta.

Acessar logs com a API do Microsoft Graph

A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Ele não requer que um administrador ou desenvolvedor configure uma infraestrutura extra para dar suporte ao seu script ou aplicativo.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Usando o Microsoft Graph Explorer, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:

  • Exiba as atividades do locatário, como quem fez uma alteração em um grupo e quando.
  • Marque um evento de entrada do Microsoft Entra como seguro ou confirmado comprometido.
  • Recupere uma lista de entradas de aplicativos dos últimos 30 dias.

Observação

O Microsoft Graph permite que você acesse dados de vários serviços que impõem seus próprios limites de limitação. Para obter mais informações sobre a limitação do log de atividades, consulte Limites de limitação específicos do serviço Microsoft Graph.

Passos rápidos

  1. Configure os pré-requisitos.
  2. Inicie sessão no Graph Explorer.
  3. Defina o método HTTP e a versão da API.
  4. Adicione uma consulta e selecione o botão Executar consulta .

Integrar logs com logs do Azure Monitor

Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos aprimorados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividade do Microsoft Entra aos logs do Azure Monitor, você precisa de um espaço de trabalho do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.

A integração de logs do Microsoft Entra com logs do Azure Monitor fornece um local centralizado para consultar logs. Recomendamos a integração de logs com o Azure Monitor para os seguintes tipos de cenários:

  • Compare os logs de entrada do Microsoft Entra com os logs publicados por outros serviços do Azure.
  • Correlacione os logs de entrada com os insights do Aplicativo do Azure.
  • Logs de consulta usando parâmetros de pesquisa específicos.

Passos rápidos

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie um espaço de trabalho do Log Analytics.
  3. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
  4. Escolha os logs que deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e preencha os campos.
  5. Navegue até Identity>Monitoring & health>Log Analytics e comece a consultar os dados.

Monitorar eventos com o Microsoft Sentinel

O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao seu centro de operações de segurança deteção de segurança quase em tempo real e caça a ameaças. O termo caça a ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Ao contrário da proteção clássica, a caça a ameaças tenta identificar proativamente ameaças potenciais que podem prejudicar o seu sistema. Os dados do seu registo de atividades podem fazer parte da sua solução de caça a ameaças.

Recomendamos o uso dos recursos de deteção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análises de segurança e inteligência de ameaças. Use o Microsoft Sentinel se precisar:

  • Colete dados de segurança em toda a sua empresa.
  • Detete ameaças com vasta inteligência sobre ameaças.
  • Investigue incidentes críticos guiados por IA.
  • Responda rapidamente e automatize a proteção.

Passos rápidos

  1. Saiba mais sobre os pré-requisitos, funções e permissões.
  2. Estimar custos potenciais.
  3. Integrado ao Microsoft Sentinel.
  4. Colete dados do Microsoft Entra.
  5. Comece a caçar ameaças.

Exportar logs para armazenamento e consultas

A solução certa para o seu armazenamento a longo prazo depende do seu orçamento e do que planeia fazer com os dados. Você tem três opções:

  • Arquivar logs no Armazenamento do Azure
  • Baixar logs para armazenamento manual
  • Integrar logs com logs do Azure Monitor

O Armazenamento do Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs de diretório em uma conta de armazenamento.

Se você planeja consultar os logs com frequência para executar relatórios ou executar análises nos logs armazenados, deve integrar seus dados aos logs do Azure Monitor.

Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividades, você pode baixar manualmente seus logs. A interface do usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o Armazenamento do Azure ou o Azure Monitor.

Recomendamos configurar uma conta de armazenamento para arquivar seus registros de atividades para os cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.

Se você quiser armazenar a longo prazo e executar consultas nos dados, revise a seção sobre a integração de seus logs de atividade com os Logs do Azure Monitor.

Recomendamos baixar e armazenar manualmente seus registros de atividades se você tiver restrições orçamentárias.

Passos rápidos

Use as etapas básicas a seguir para arquivar ou baixar seus registros de atividades.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Crie uma conta de armazenamento.
  3. Navegue até Monitoramento de identidade>& configurações de diagnóstico de integridade>.
  4. Escolha os logs que deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.

Próximos passos