O que é o monitoramento e a integridade do Microsoft Entra?

Os recursos de monitoramento e integridade do Microsoft Entra fornecem uma visão abrangente da atividade relacionada à identidade no seu ambiente. Esses dados permitem que você:

• Determine como os usuários utilizam seus aplicativos e serviços.
• Detecte possíveis riscos que afetam a integridade do seu ambiente.
• Solucionar problemas que impedem a conclusão dos trabalhos pelos usuários.
• Obter insights vendo eventos de auditoria de alterações no diretório do Microsoft Entra.

Os logs de auditoria e de entrada compõem os logs de atividades por trás de muitos relatórios do Microsoft Entra, que podem ser usados para analisar, monitorar e solucionar problemas de atividade em seu locatário. O roteamento dos seus logs de atividades para uma solução de análise e monitoramento fornece insights melhores sobre a integridade e a segurança do locatário.

Este artigo descreve os tipos de logs de atividades disponíveis no Microsoft Entra ID, os relatórios que usam os logs e os serviços de monitoramento disponíveis para ajudá-lo a analisar os dados.

Logs de atividades de identidade

Os logs de atividades ajudam você a compreender o comportamento de usuários em sua organização. Há três tipos de logs de atividades no Microsoft Entra ID:

• Os logs de auditoria incluem o histórico de todas as tarefas executadas em seu locatário.

• Os logs de entrada capturam as tentativas de login de seus usuários e aplicativos cliente.

• Os logs de provisionamento fornecem informações sobre usuários provisionados em seu locatário por meio de um serviço de terceiros.

Os logs de atividades podem ser exibidos no portal do Azure ou usando a API do Microsoft Graph. Os logs de atividades também podem ser roteados para vários pontos de extremidade para armazenamento ou análise. Para saber mais sobre todas as opções de exibição dos logs de atividades, confira Como acessar logs de atividades.

Logs de auditoria

Os logs de auditoria fornecem registros das atividades do sistema para fins de conformidade. Esses dados permitem abordar cenários comuns, como:

• Alguém em meu locatário tem acesso a um grupo de administração. Quem deu o acesso?
• Quero saber a lista de usuários que estão entrando em um aplicativo específico, porque integrei o aplicativo recentemente e desejo saber se ele está tendo boa recepção.
• Quero saber quantas redefinições de senha estão ocorrendo em meu locatário.

Logs de entrada

Os logs de entrada permitem encontrar respostas para perguntas como:

• O que é o padrão de entrada de um usuário?
• Quantos usuários entraram em uma semana?
• Qual é o status dessas entradas?

Logs de provisionamento

Você pode usar os logs de provisionamento para encontrar respostas para perguntas como:

• Quais grupos foram criados com êxito no ServiceNow?
• Quais usuários foram removidos com êxito da Adobe?
• Quais usuários do Workday foram criados com êxito no Active Directory?

Relatórios de identidade

A revisão dos dados nos logs de atividades do Microsoft Entra pode fornecer informações úteis para os administradores de TI. Para simplificar o processo de revisão de dados em cenários importantes, criamos vários relatórios sobre cenários comuns que usam os logs de atividades.

• O Identity Protection usa os dados de login para criar relatórios sobre usuários suspeitos e atividades de entrada.
• As atividades relacionadas a seus aplicativos, como entidade de serviço e atividade de credencial de aplicativo, são usadas para criar relatórios em Uso e insights.
• As pastas de trabalho do Microsoft Entra fornecem uma maneira personalizável de visualizar e analisar os logs de atividades.
• Use as recomendações do Microsoft Entra para monitorar e melhorar a segurança do locatário.
• O Microsoft Entra Health captura sinais globais de integridade e obtenção de contrato de nível de serviço para vários cenários importantes.

Monitoramento de identidade e integridade do locatário

Analisar os log de atividades do Microsoft Entra é a primeira etapa para manter e melhorar a integridade e a segurança do seu locatário. Você precisa analisar os dados, monitorar os cenários arriscados e determinar onde você pode fazer melhorias. O monitoramento do Microsoft Entra fornece as ferramentas necessárias para ajudá-lo a tomar decisões embasadas.

O monitoramento dos logs de atividades do Microsoft Entra requer o roteamento dos dados de log para uma solução de monitoramento e análise. Os pontos de extremidade incluem logs do Azure Monitor, Microsoft Sentinel ou uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) de terceiros.

• Transmitir logs para um hub de eventos para integrar com ferramentas de SIEM de terceiros.
• Integrar DSC com os logs do Azure Monitor.
• Analisar logs com os logs do Azure Monitor e do Log Analytics.

Casos de uso

A maneira como você usa os logs, relatórios e serviços de monitoramento disponíveis depende das necessidades da sua organização. Para priorizar melhor os casos de uso e as soluções, pode ser útil ver como essas soluções estão relacionadas entre si, como elas diferem e como podem ser usadas juntas.

Considerações

• Retenção – retenção de log: armazenar logs de auditoria e logs de entrada do Microsoft Entra por mais de 30 dias
• Análise – os logs são pesquisáveis com ferramentas analíticas
• Insights operacionais e de segurança – forneça acesso ao uso do aplicativo, erros de entrada, uso de autoatendimento, tendências etc.
• Integração de SIEM – integre e transmita logs de entrada do Microsoft Entra e logs de auditoria para sistemas SIEM

Com o monitoramento do Microsoft Entra, você pode rotear logs de atividades do Microsoft Entra e retê-los para relatórios e análises de longo prazo para obter insights de ambiente e integrá-los às ferramentas de SIEM. Use o fluxograma de decisão a seguir para ajudar a selecionar uma arquitetura.

Para obter uma visão geral de como acessar, armazenar e analisar logs de atividades, confira Como acessar logs de atividades.