Analisar eventos de auditoria de segurança no Microsoft Entra Domain Services utilizando Pastas de Trabalho do Azure Monitor

Para ajudar você a entender o estado do seu domínio gerenciado pelo Microsoft Entra Domain Services, você pode habilitar os eventos de auditoria de segurança. Esses eventos de auditoria de segurança podem ser revisados usando as Pastas de Trabalho do Azure Monitor que combinam texto, consultas de análise e parâmetros em relatórios interativos sofisticados. O Domain Services inclui modelos de pastas de trabalho para visão geral da segurança e atividade da conta que permitem que você se aprofunde nos eventos de auditoria e gerencie seu ambiente.

Este artigo mostra como utilizar as Pastas de Trabalho do Azure Monitor para revisar os eventos de auditoria de segurança nos Serviços de Domínio.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Eventos de auditoria de segurança habilitados para o domínio gerenciado que transmitem dados para um espaço de trabalho do Log Analytics.
  • Se necessário, ative as auditorias de segurança para os Serviços de Domínio.

Visão geral das Pastas de Trabalho do Azure Monitor

Quando os eventos de auditoria de segurança estão ativados nos Serviços de Domínio, pode ser difícil analisar e identificar problemas no domínio gerenciado. O Azure Monitor permite agregar esses eventos de auditoria de segurança e consultar os dados. Com as Pastas de Trabalho do Azure Monitor, você pode visualizar esses dados para torná-los mais rápidos e fáceis de identificar problemas.

Os modelos das pastas de trabalho servem como relatórios coletados que são projetados para reutilização flexível por vários usuários e equipes. Quando você abre um modelo de pasta de trabalho, os dados do ambiente do Azure Monitor são carregados. Você pode usar modelos sem impacto sobre outros usuários na sua organização e pode salvar suas próprias pastas de trabalho com base no modelo.

O Serviço de Domínio inclui os dois modelos de pasta de trabalho a seguir:

• Relatório de visão geral de segurança
• Relatório de atividade da conta

Para obter mais informações sobre como editar e gerenciar pastas de trabalho, veja Visão geral das Pastas de Trabalho do Azure Monitor.

Usar as pastas de trabalho do relatório de visão geral de segurança

Para ajudá-lo a entender melhor o uso e a identificar possíveis ameaças à segurança, o relatório de visão geral de segurança resume os dados de entrada e identifica as contas que você pode querer verificar. Você pode exibir eventos em um intervalo de datas específico e fazer uma busca detalhada em eventos de entrada específicos, como tentativas de senha inadequadas ou onde a conta foi desabilitada.

Para acessar o modelo de pasta de trabalho para o relatório de visão geral de segurança, conclua as seguintes etapas:

1. Pesquise e selecione Microsoft Entra Domain Services no portal do Microsoft Entra.

2. Selecione o domínio gerenciado, como aaddscontoso.com

3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

   

4. Escolha o Relatório de Visão Geral de Segurança.

5. Nos menus suspensos na parte superior da pasta de trabalho, selecione sua assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

   Escolha um Intervalo de tempo, como Últimos 7 dias, conforme mostrado no seguinte exemplo de captura de tela:

   

   As opções Exibição de bloco e Exibição de gráfico também podem ser alteradas para analisar e visualizar os dados conforme desejado.

6. Para fazer uma busca detalhada em um tipo de evento específico, selecione um dos cartões de Resultados de entrada, como Conta Bloqueada, conforme mostrado no exemplo a seguir:

   

7. A parte inferior do relatório de visão geral de segurança abaixo do gráfico então divide o tipo de atividade selecionado. Você pode filtrar por nomes de usuário envolvidos no lado direito, conforme mostrado no seguinte exemplo de relatório:

   

Usar a pasta de trabalho do relatório de atividade da conta

Para ajudá-lo a solucionar problemas de uma conta de usuário específica, o relatório de atividade da conta divide as informações detalhadas do log de eventos de auditoria. Você pode examinar quando um nome de usuário ou senha inválidos foi fornecido durante a entrada e a origem da tentativa de entrada.

Para acessar o modelo de pasta de trabalho para o relatório de atividade da conta, conclua as seguintes etapas:

1. Pesquise e selecione Microsoft Entra Domain Services no portal do Microsoft Entra.

2. Selecione o domínio gerenciado, como aaddscontoso.com

3. No menu do lado esquerdo, escolha Monitoramento > Pastas de trabalho

4. Escolha o Relatório de Atividade da Conta.

5. Nos menus suspensos na parte superior da pasta de trabalho, selecione a assinatura do Azure e, em seguida, um espaço de trabalho do Azure Monitor.

   Escolha um Intervalo de tempo, como Últimos 30 dias e, em seguida, como você deseja que a Exibição de bloco represente os dados.

   Você pode filtrar por Nome de usuário da conta, como Felix, conforme mostrado no seguinte relatório de exemplo:

   

   A área abaixo do gráfico mostra eventos de entrada individuais juntamente com informações como o resultado da atividade e a estação de trabalho de origem. Essas informações podem ajudar a determinar fontes repetidas de eventos de entrada que podem causar bloqueios de conta ou indicar um ataque em potencial.

Assim como no relatório de visão geral de segurança, você pode fazer uma busca detalhada nos blocos diferentes na parte superior do relatório para visualizar e analisar os dados conforme necessário.

Salvar e editar pastas de trabalho

As duas pastas de trabalho com modelo fornecidas pelos Serviços de Domínio são um bom ponto de partida para sua própria análise de dados. Se você precisar obter mais granular nas consultas e investigações de dados, poderá salvar suas próprias pastas de trabalho e editar as consultas.

1. Para salvar uma cópia de um dos modelos de pasta de trabalho, selecione Editar > Salvar como > Relatórios compartilhados e, em seguida, forneça um nome e o salve.
2. Na sua própria cópia do modelo, selecione Editar para entrar no modo de edição. Você pode escolher o botão Editar azul ao lado de qualquer parte do relatório e alterá-lo.

Todos os gráficos e tabelas nas Pastas de Trabalho do Azure Monitor são gerados usando consultas do Kusto. Para obter mais informações sobre como criar suas próprias consultas, confira Consultas de logs do Azure Monitor e Tutorial de consultas do Kusto.

Próximas etapas

Se você precisar ajustar políticas de bloqueio e senha, veja Políticas de bloqueio de senha e de conta em domínios gerenciados.

Para problemas com os usuários, saiba como solucionar problemas de conexão de conta ou problemas de bloqueio de conta.