Como acessar logs de atividades no Microsoft Entra ID
Os dados coletados em seus logs do Microsoft Entra permitem que você avalie muitos aspectos de seu locatário do Microsoft Entra. Para cobrir uma ampla gama de cenários, o Microsoft Entra ID oferece várias opções para acessar os dados do log de atividades. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que você possa selecionar o método de acesso certo para seu cenário.
Você pode acessar logs de atividades e relatórios do Microsoft Entra usando os seguintes métodos:
- Transmitir logs de atividades para um hub de eventos para se integrar a outras ferramentas
- Acessar logs de atividades por meio da API do Microsoft Graph
- Integrar os logs de atividadesaos logs do Azure Monitor
- Monitorar a atividade em tempo real com o Microsoft Sentinel
- Exibir logs de atividades e relatórios no portal do Azure
- Exportar logs de atividades para armazenamento e consultas
Cada um desses métodos fornece recursos que podem se alinhar com determinados cenários. Este artigo descreve esses cenários, incluindo recomendações e detalhes sobre relatórios relacionados que usam os dados nos logs de atividades. Explore as opções neste artigo para saber mais sobre esses cenários para que você possa escolher o método certo.
Pré-requisitos
As funções e as licenças necessárias podem variar conforme o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero. Para obter uma lista completa de funções, consulte Funções com privilégios mínimos por tarefa.
| Log/Relatório | Funções | Licenças |
|---|---|---|
| Logs de auditoria | Leitor de relatórios Leitor de segurança Administrador de segurança |
Todas as edições do Microsoft Entra ID |
| Logs de entrada | Leitor de relatórios Leitor de segurança Administrador de segurança |
Todas as edições do Microsoft Entra ID |
| Logs de provisionamento | Leitor de relatórios Leitor de segurança Administrador de Aplicativos Administrador de Aplicativos na Nuvem |
Microsoft Entra ID P1 ou P2 |
| Logs de auditoria de atributos de segurança personalizados* | Administrador de Log de Atributos Leitor de Log de Atributos |
Todas as edições do Microsoft Entra ID |
| Integridade | Leitor de relatórios Leitor de segurança Administrador da assistência técnica |
Microsoft Entra ID P1 ou P2 |
| Microsoft Entra ID Protection** | Administrador de segurança Operador de Segurança Leitor de segurança Leitor global |
Microsoft Entra ID Gratuito Aplicativos do Microsoft 365 Microsoft Entra ID P1 ou P2 |
| Logs de atividades do Microsoft Graph | Administrador de segurança Permissões para acessar dados no destino de log correspondente |
Microsoft Entra ID P1 ou P2 |
| Uso e insights | Leitor de relatórios Leitor de segurança Administrador de segurança |
Microsoft Entra ID P1 ou P2 |
*Para visualizar os atributos de segurança personalizados nos logs de auditoria ou criar configurações de diagnóstico para atributos de segurança personalizados é preciso ter uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.
**O nível de acesso e as funcionalidades do Microsoft Entra ID Protection variam conforme a função e a licença. Para obter mais informações, consulte os requisitos de licença do ID Protection.
Os logs de auditoria estão disponíveis para recursos que você licenciou. Para acessar os logs de entrada usando a API do Microsoft Graph, seu locatário deve ter uma licença do Microsoft Entra ID P1 ou P2 associada a ele.
Exiba logs por meio do centro de administração do Microsoft Entra
Para investigações únicas em um escopo limitado, Centro de administração do Microsoft Entra é a maneira mais fácil de localizar os dados que você precisa. A interface do usuário fornece opções de filtro para cada um desses relatórios que permitem que você localize as entradas necessárias para resolver seu cenário.
Os dados capturados nos logs de atividades do Microsoft Entra são usados em muitos relatórios e serviços. Você pode examinar a entrada, a auditoria e os logs de provisionamento para cenários pontuais ou usar os relatórios para examinar padrões e tendências. Os dados dos logs de atividades ajudam a preencher os relatórios do Identity Protection, que fornecem detecções de risco relacionadas à segurança da informação que o Microsoft Entra ID podem detectar e relatar. Os logs de atividades do Microsoft Entra também preenchem relatórios de uso e insights, que fornecem detalhes de uso para os aplicativos do locatário.
Usos recomendados
Os relatórios disponíveis no portal do Azure fornecem uma ampla variedade de recursos para monitorar as atividades e o uso em seu locatário. A lista de usos e cenários a seguir não é exaustiva, portanto, explore os relatórios para suas necessidades.
- Pesquise a atividade de entrada de um usuário ou acompanhe o uso de um aplicativo.
- Examine os detalhes sobre alterações de nome de grupo, registro de dispositivo e redefinições de senha com logs de auditoria.
- Use os relatórios do Identity Protection para monitorar usuários em risco, identidades de carga de trabalho arriscadas e entradas arriscadas.
- Revise a taxa de sucesso de entrada no relatório de atividade do aplicativo do Microsoft Entra (preview) de Uso e insights para garantir que os usuários possam acessar os aplicativos em uso em seu locatário.
- Compare os diferentes métodos de autenticação que seus usuários preferem com o relatório de métodos de autenticação de Uso e insights.
Etapas rápidas
Use as etapas básicas a seguir para acessar os relatórios no centro de administração do Microsoft Entra.
- Logs de atividades do Microsoft Entra
- Relatórios do Microsoft Entra ID Protection
- Relatórios de uso e insights
- Navegue até Identidade>Monitoramento e integridade>Logs de auditoria/Logs de entrada/Logs de provisionamento.
- Ajuste o filtro conforme suas necessidades.
Os logs de auditoria podem ser acessados diretamente da área do centro de administração do Microsoft Entra em que você está trabalhando. Por exemplo, se você estiver na seção Grupos ou Licenças do Microsoft Entra ID, poderá acessar os logs de auditoria dessas atividades específicas diretamente dessa área. Quando você acessa os logs de auditoria dessa forma, as categorias de filtro são definidas automaticamente. Se você estiver em Grupos, a categoria de filtro de log de auditoria será definida como GroupManagement.
Transmitir logs para um hub de eventos para integrar com ferramentas SIEM
Transmitir seus logs de atividades para um hub de eventos é necessário para integrar seus logs de atividades com ferramentas de SIEM (Gerenciamento de Eventos e Informações de Segurança), como Splunk e SumoLogic. Antes de transmitir logs para um hub de eventos, você precisa configurar um namespace dos Hubs de Eventos e um hub de eventos em sua assinatura do Azure.
Usos recomendados
As ferramentas SIEM que você pode integrar ao hub de eventos podem fornecer recursos de análise e monitoramento. Se você já estiver usando essas ferramentas para ingerir dados de outras fontes, poderá transmitir seus dados de identidade para análise e monitoramento mais abrangentes. Recomendamos transmitir seus logs de atividades para um hub de eventos para os seguintes tipos de cenários:
- Você precisa de uma plataforma de streaming de Big Data e um serviço de ingestão de eventos capaz de receber e processar milhões de eventos por segundo.
- Você deseja transformar e armazenar dados usando qualquer provedor de análise em tempo real ou adaptadores de armazenamento/envio em lote.
Etapas rápidas
- Inicie sessão no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
- Crie um hub de eventos e um namespace do Hubs de Eventos.
- Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
- Escolha os logs que você deseja transmitir, selecione a opção Transmitir para um hub de eventos e conclua os campos.
Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta.
Acessar logs com a API do Microsoft Graph
A API do Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar dados para seus locatários do Microsoft Entra ID P1 ou P2. Não exige que um administrador ou desenvolvedor configure a infraestrutura extra para dar suporte ao seu script ou aplicativo.
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Usos recomendados
Usando o Explorador do Microsoft Graph, você pode executar consultas para ajudá-lo com os seguintes tipos de cenários:
- Visualizar atividades de locatário, como quem fez uma alteração em um grupo e quando.
- Marque um evento de entrada do Microsoft Entra como seguro ou confirmado como comprometido.
- Recuperar uma lista de entradas no aplicativo nos últimos 30 dias.
Observação
O Microsoft Graph permite que você acesse dados de vários serviços que implementam seus próprios limites de restrição. Para obter mais informações sobre a restrição de logs de atividades, consulte os limites de restrição específicos do serviço do Microsoft Graph.
Etapas rápidas
- Configure os pré-requisitos.
- Entre no Gerenciador de gráficos.
- Defina o método HTTP e a versão da API.
- Adicione a consulta e, em seguida, selecione o botão Executar consulta.
Integre logs com os logs do Azure Monitor
Com a integração de logs do Azure Monitor, você pode habilitar visualizações avançadas, monitoramento e alertas sobre os dados conectados. O Log Analytics fornece recursos avançados de consulta e análise para logs de atividades do Microsoft Entra. Para integrar os logs de atividades do Microsoft Entra aos logs do Azure Monitor, você precisa de um workspace do Log Analytics. A partir daí, você pode executar consultas por meio do Log Analytics.
Usos recomendados
A integração de logs de Microsoft Entra com os logs do Azure Monitor fornece um local centralizado para consultar logs. É recomendável integrar os logs com o Azure Monitor para os seguintes tipos de cenários:
- Comparar logs de entrada do Microsoft Entra com logs publicados por outros serviços do Azure.
- Correlacionar logs de entrada com insights do Aplicativo Azure.
- Consultar logs usando parâmetros de pesquisa específicos.
Etapas rápidas
- Inicie sessão no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
- Crie um espaço de trabalho do Log Analytics.
- Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
- Escolha os logs que você deseja transmitir, selecione a opção Enviar para o workspace do Log Analytics e conclua os campos.
- Navegue até Identidade>Monitoramento e integridade>Log Analytics e comece a consultar os dados.
Monitore eventos com o Microsoft Sentinel
O envio de logs de entrada e auditoria para o Microsoft Sentinel fornece ao centro de operações de segurança a detecção de segurança quase em tempo real e a busca por ameaças. O termo busca de ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente. Em oposição à proteção clássica, a busca de ameaças tenta identificar proativamente possíveis ameaças que podem danificar o sistema. Os dados do log de atividades podem fazer parte de sua solução de busca de ameaças.
Usos recomendados
É recomendável usar os recursos de detecção de segurança em tempo real do Microsoft Sentinel se sua organização precisar de análise de segurança e inteligência contra ameaças. Use o Microsoft Sentinel se precisar:
- Colete dados de segurança em toda a sua empresa.
- Detecte ameaças com vasta inteligência contra ameaças.
- Investigue incidentes críticos guiados por IA.
- Responda rapidamente e automatizar a proteção.
Etapas rápidas
- Saiba mais sobre pré-requisitos, funções e permissões.
- Estime os custos potenciais.
- Conecte-se ao Microsoft Sentinel.
- Colete dados do Microsoft Entra.
- Comece a procurar ameaças.
Exporte logs para armazenamento e consultas
A solução certa para seu armazenamento de longo prazo depende do seu orçamento e do que você planeja fazer com os dados. Você tem três opções:
- Arquive logs no Armazenamento do Azure
- Baixe logs para armazenamento manual
- Integre logs com os logs do Azure Monitor
O Armazenamento do Microsoft Azure é a solução certa se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs do diretório para uma conta de armazenamento.
Se você planeja consultar os logs com frequência para executar relatórios ou realizar uma análise nos logs armazenados, integre seus dados aos logs do Azure Monitor.
Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividade, você poderá fazer um download manual do seus logs. A interface do usuário dos logs de atividade no portal fornece uma opção para baixar os dados como JSON ou CSV. Uma compensação do download manual é que ele requer mais interação manual. Se você estiver procurando uma solução mais profissional, use o armazenamento do Azure ou o Azure Monitor.
Usos recomendados
É recomendável configurar uma conta de armazenamento para arquivar seus logs de atividades para esses cenários de governança e conformidade em que o armazenamento de longo prazo é necessário.
Se você quiser um armazenamento de longo prazo e quiser executar consultas nos dados, examine a seção sobre como integrar seus logs de atividades aos Logs do Azure Monitor.
Recomendamos baixar e armazenar manualmente seus logs de atividades se você tiver restrições orçamentárias.
Etapas rápidas
Use as etapas básicas a seguir para arquivar ou baixar seus logs de atividades.
- Inicie sessão no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
- Crie uma conta de armazenamento.
- Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.
- Escolha os logs que você deseja transmitir, selecione a opção Arquivar em uma conta de armazenamento e preencha os campos.