Examinar eventos de auditoria de segurança no Azure Active Directory Domain Services usando Pastas de Trabalho do Azure Monitor

Para ajudá-lo a entender o estado do seu domínio gerenciado do Azure Active Directory Domain Services (Azure AD DS), você pode habilitar eventos de auditoria de segurança. Esses eventos de auditoria de segurança podem ser revisados usando as Pastas de Trabalho do Azure Monitor que combinam texto, consultas de análise e parâmetros em relatórios interativos sofisticados. O Azure AD DS inclui modelos de pasta de trabalho para visão geral de segurança e atividade de conta que permitem que você se aprofunde em eventos de auditoria e gerencie seu ambiente.

Este artigo mostra como usar Pastas de Trabalho do Azure Monitor para examinar eventos de auditoria de segurança no Azure AD DS.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Visão geral das Pastas de Trabalho do Azure Monitor

Quando os eventos de auditoria de segurança são ativados no Azure AD DS, pode ser difícil analisar e identificar problemas no domínio gerenciado. O Azure Monitor permite agregar esses eventos de auditoria de segurança e consultar os dados. Com as Pastas de Trabalho do Azure Monitor, você pode visualizar esses dados para torná-los mais rápidos e fáceis de identificar problemas.

Os modelos das pastas de trabalho servem como relatórios coletados que são projetados para reutilização flexível por vários usuários e equipes. Quando você abre um modelo de pasta de trabalho, os dados do ambiente do Azure Monitor são carregados. Você pode usar modelos sem impacto sobre outros usuários na sua organização e pode salvar suas próprias pastas de trabalho com base no modelo.

O Azure AD DS inclui os dois modelos de pasta de trabalho a seguir:

  • Relatório de visão geral de segurança
  • Relatório de atividade da conta

Para obter mais informações sobre como editar e gerenciar pastas de trabalho, veja Visão geral das Pastas de Trabalho do Azure Monitor.

Usar as pastas de trabalho do relatório de visão geral de segurança

Para ajudá-lo a entender melhor o uso e a identificar possíveis ameaças à segurança, o relatório de visão geral de segurança resume os dados de entrada e identifica as contas que você pode querer verificar. Você pode exibir eventos em um intervalo de datas específico e fazer uma busca detalhada em eventos de entrada específicos, como tentativas de senha inadequadas ou onde a conta foi desabilitada.

Para acessar o modelo de pasta de trabalho para o relatório de visão geral de segurança, conclua as seguintes etapas:

  1. Procure e escolha Azure Active Directory Domain Services no portal do Azure.

  2. Selecione o domínio gerenciado, como aaddscontoso.com

  3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

    Captura de tela que destaca onde selecionar o Relatório de Visão Geral de Segurança e o Relatório de Atividade da Conta.

  4. Escolha o Relatório de Visão Geral de Segurança.

  5. Nos menus suspensos na parte superior da pasta de trabalho, selecione sua assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

    Escolha um Intervalo de tempo, como Últimos 7 dias, conforme mostrado no seguinte exemplo de captura de tela:

    Selecionar a opção de menu Pastas de Trabalho no portal do Azure

    As opções Exibição de bloco e Exibição de gráfico também podem ser alteradas para analisar e visualizar os dados conforme desejado.

  6. Para fazer uma busca detalhada em um tipo de evento específico, selecione um dos cartões de Resultados de entrada, como Conta Bloqueada, conforme mostrado no exemplo a seguir:

    Exemplo de dados do Relatório de Visão Geral de Segurança visualizados nas Pastas de Trabalho do Azure Monitor

  7. A parte inferior do relatório de visão geral de segurança abaixo do gráfico então divide o tipo de atividade selecionado. Você pode filtrar por nomes de usuário envolvidos no lado direito, conforme mostrado no seguinte exemplo de relatório:

    Detalhes de bloqueios da conta em Pastas de Trabalho do Azure Monitor.

Usar a pasta de trabalho do relatório de atividade da conta

Para ajudá-lo a solucionar problemas de uma conta de usuário específica, o relatório de atividade da conta divide as informações detalhadas do log de eventos de auditoria. Você pode examinar quando um nome de usuário ou senha inválidos foi fornecido durante a entrada e a origem da tentativa de entrada.

Para acessar o modelo de pasta de trabalho para o relatório de atividade da conta, conclua as seguintes etapas:

  1. Procure e escolha Azure Active Directory Domain Services no portal do Azure.

  2. Selecione o domínio gerenciado, como aaddscontoso.com

  3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

  4. Escolha o Relatório de Atividade da Conta.

  5. Nos menus suspensos na parte superior da pasta de trabalho, selecione a assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

    Escolha um Intervalo de tempo, como Últimos 30 dias e, em seguida, como você deseja que a Exibição de bloco represente os dados.

    Você pode filtrar por Nome de usuário da conta, como Felix, conforme mostrado no seguinte relatório de exemplo:

    Relatório de atividade da conta em Pastas de Trabalho do Azure Monitor.

    A área abaixo do gráfico mostra eventos de entrada individuais juntamente com informações como o resultado da atividade e a estação de trabalho de origem. Essas informações podem ajudar a determinar fontes repetidas de eventos de entrada que podem causar bloqueios de conta ou indicar um ataque em potencial.

Assim como no relatório de visão geral de segurança, você pode fazer uma busca detalhada nos blocos diferentes na parte superior do relatório para visualizar e analisar os dados conforme necessário.

Salvar e editar pastas de trabalho

As duas pastas de trabalho de modelo fornecidas pelo Azure AD DS são um bom local para começar com sua própria análise de dados. Se você precisar obter mais granular nas consultas e investigações de dados, poderá salvar suas próprias pastas de trabalho e editar as consultas.

  1. Para salvar uma cópia de um dos modelos de pasta de trabalho, selecione Editar > Salvar como > Relatórios compartilhados e, em seguida, forneça um nome e o salve.
  2. Na sua própria cópia do modelo, selecione Editar para entrar no modo de edição. Você pode escolher o botão Editar azul ao lado de qualquer parte do relatório e alterá-lo.

Todos os gráficos e tabelas nas Pastas de Trabalho do Azure Monitor são gerados usando consultas do Kusto. Para obter mais informações sobre como criar suas próprias consultas, confira Consultas de logs do Azure Monitor e Tutorial de consultas do Kusto.

Próximas etapas

Se você precisar ajustar políticas de bloqueio e senha, veja Políticas de bloqueio de senha e de conta em domínios gerenciados.

Para problemas com os usuários, saiba como solucionar problemas de conexão de conta ou problemas de bloqueio de conta.