Como acessar logs de atividade no Azure Active Directory

Os dados em seus logs do Azure Active Directory permitem que você avalie como o Azure Active Directory está fazendo. Para abranger uma ampla gama de cenários, o Azure Active Directory oferece várias opções para acessar seus dados de log. Como administrador de TI, você precisa entender os casos de uso pretendidos para essas opções, para que você possa selecionar o método de acesso certo para seu cenário.

Este artigo lista os casos de uso comuns para acessar dados de logs do Azure Active Directory e fornece recomendações para o método de acesso certo.

Investigar uma entrada única

A investigação de um logon único inclui cenários, nos quais você precisa:

  • Faça uma investigação rápida de um único usuário em um escopo limitado. Por exemplo, um usuário teve problemas para entrar durante um período de algumas horas.

  • Examine rapidamente um conjunto de eventos relacionados. Por exemplo, comparando os detalhes do dispositivo de uma série de entradas do mesmo usuário.

Recomendação

Para essas investigações única com um escopo limitado, a portal do Azure geralmente é a maneira mais fácil de localizar os dados de que você precisa. No portal do Azure, você encontrará soluções para acessar diretamente:

  • Logs de entrada

  • Logs de auditoria

  • Provisionando logs

A interface do usuário relacionada fornece opções de filtro que permitem que você localize as entradas necessárias para resolver seu cenário.

para obter mais informações conceituais, consulte logs de entrada em Azure Active Directory-preview ou logs de entrada no Azure Active Directory.

Para noções básicas, consulte Analisar as credenciais com o log de entradas do Azure Active Directory.

Acesso a partir do código

Há casos em que você precisa acessar periodicamente os logs de atividade de um aplicativo ou de um script.

Recomendação

O método de acesso certo para acessar os logs de atividade do código depende do escopo do seu projeto. Uma opção que você tem é acessar os logs de atividades da API do Microsoft Graph.

A API do Microsoft Graph:

  • fornece uma maneira RESTful para consultar dados de entrada do Azure Active Directory em locatários Azure AD Premium.
  • Não exige que um administrador ou desenvolvedor configure a infraestrutura adicional para dar suporte ao seu script ou aplicativo.
  • Não é projetado para obter grandes quantidades de dados de atividade. Obter grandes quantidades de dados de atividade usando a API leva a problemas com a paginação e o desempenho.

Outro método para acessar os logs de atividade do seu código é usar os hubs de eventos do Azure. Os Hubs de Eventos do Azure são uma plataforma de streaming de Big Data e um serviço de ingestão de eventos. Ele pode receber e processar milhões de eventos por segundo. Os dados enviados para um hub de eventos podem ser transformados e armazenados usando qualquer provedor de análise em tempo real ou adaptadores de envio em lote/armazenamento.

Use:

Detecção de eventos de segurança quase em tempo real

Para detectar e parar as ameaças antes que elas possam causar danos ao seu ambiente, você pode ter uma solução de segurança implantada em seu ambiente que pode processar dados do log de atividades em tempo real.

Recomendação

Para detecção de segurança em tempo real, use o Microsoft Sentinelou os hubs de eventos do Azure.

Use:

  • Microsoft Sentinel - para fornecer entrada e auditoria de dados para seu centro de operações de segurança para uma detecção de segurança quase em tempo real. Você pode facilmente transmitir dados para o Azure Sentinel com o conector do Azure AD interno ao Azure Sentinel. Para mais informações, consulte Conectar os dados do Azure Active Directory ao Azure Sentinel.

  • Hubs de eventos do Azure - se o seu centro de operações de segurança usar outra ferramenta, você poderá transmitir eventos do AD do Azure usando um hub de eventos do Azure. Para obter mais informações, consulte transmitir logs para um centro de eventos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta. Você pode encontrar instruções para algumas ferramentas SIEM comumente usadas na documentação de relatórios do Azure Active Directory:

Busca de ameaças

O termo busca de ameaças refere-se a uma abordagem proativa para melhorar a postura de segurança do seu ambiente.
Em oposição à proteção clássica, a busca de thread tenta identificar proativamente possíveis ameaças que podem danificar o sistema. Os dados do log de atividades podem fazer parte de sua solução de busca de ameaças.

Recomendação

Para detecção de segurança em tempo real, use o Microsoft Sentinelou os hubs de eventos do Azure.

Use:

  • Microsoft Sentinel - para fornecer entrada e auditoria de dados para seu centro de operações de segurança para uma detecção de segurança quase em tempo real. Você pode facilmente transmitir dados para o Azure Sentinel com o conector do Azure AD interno ao Azure Sentinel. Para mais informações, consulte Conectar os dados do Azure Active Directory ao Azure Sentinel.

  • Hubs de eventos do Azure - se o seu centro de operações de segurança usar outra ferramenta, você poderá transmitir eventos do AD do Azure usando um hub de eventos do Azure. Para obter mais informações, consulte transmitir logs para um centro de eventos.

Seu fornecedor de segurança independente deve fornecer instruções sobre como ingerir dados dos hubs de eventos do Azure para sua ferramenta. Você pode encontrar instruções para algumas ferramentas SIEM comumente usadas na documentação de relatórios do Azure Active Directory:

Exportar dados para armazenamento de longo prazo

O Azure Active Directory armazena seus dados de log somente por um período limitado. Para obter mais informações, consulte Por quanto tempo o Azure Active Directory armazena dados de relatório.

Se você precisar armazenar suas informações de log por um período mais longo devido a motivos de conformidade ou de segurança, precisará agir.

Recomendação

A solução certa para seu armazenamento de longo prazo é rígida para dois pilares:

  • Seu orçamento

  • O que você planeja fazer com os dados

Se o seu orçamento estiver apertado e você precisar de um método barato para criar um backup de longo prazo de seus logs de atividade, você poderá fazer um download manual. A interface do usuário dos logs de atividade fornece uma opção para baixar os dados como JSON ou CSV. Para mais informações, consulte Como fazer o download de logs no Azure Active Directory.

Uma compensação do download manual é que ele requer muita interação manual. Se você estiver procurando uma solução mais profissional, use o armazenamento do Azure ou o Azure monitor.

O Azure armazena a solução certa para você se você não estiver planejando consultar seus dados com frequência. Para obter mais informações, consulte Arquivar logs do diretório para uma conta de armazenamento.

Se você também planeja consultar os logs com frequência para executar relatórios ou análise nos logs armazenados, armazene seus dados no Azure monitor. O Azure monitor fornece recursos internos de emissão de relatórios e alertas. para obter mais informações, consulte integrar logs de Azure Active Directory a logs de Azure Monitor. Depois de configurar a integração, você pode usar Azure Monitor para consultar seus logs. Para obter mais informações, confira Monitorar logs de atividades usando logs do Azure Monitor.

Análise de Log

Um requisito comum é exportar dados da atividade para executar uma análise de log.

Recomendação

Se você não estiver planejando usar uma ferramenta de análise de log independente, use o Azure monitor ou os hubs de eventos. O Azure monitor fornece uma maneira muito fácil de analisar logs do Azure Active Directory, bem como outros serviços do Azure e ferramentas independentes. Você pode exportar facilmente os logs para Azure Monitor usando o conector interno. para obter mais informações, consulte integrar logs de Azure Active Directory aos logs de Azure Monitor. Depois de configurar a integração, você pode usar Azure Monitor para consultar seus logs. Para obter mais informações, confira como Analisar logs de atividade do Azure Active Directory com os logs do Azure Monitor.

Você também pode exportar seus logs para uma ferramenta de análise de log independente, como Splunk.

Próximas etapas