Como usar pastas de trabalho do Azure Monitor para relatórios do Azure Active Directory

Importante

Para otimizar as consultas subjacentes nessa pasta de trabalho, clique em "Editar", clique no ícone de configurações e selecione o espaço de trabalho em que deseja executar essas consultas. Por padrão, as pastas de trabalho selecionarão todos os espaços de trabalho nos quais você está roteando os logs do Azure AD.

Você deseja:

  • Entender o efeito das políticas de acesso condicional na experiência de entrada do usuário?

  • Solucionar problemas de falhas de entrada para obter uma exibição melhor da integridade das credenciais da sua organização e resolver problemas rapidamente?

  • Entender as tendências de usuários suspeitos e detecções de risco em seu locatário?

  • Saber quem está usando autenticações herdadas para entrar em seu ambiente? (Ao bloquear a autenticação herdada, você melhora a proteção do locatário.)

  • Você precisa entender como as políticas de acesso condicional afetam seu locatário?

  • Você gostaria de poder examinar: consultas de log de credenciais, com uma pasta de trabalho que reporta quantos usuários tiveram o acesso concedido ou negado, bem como quantos usuários contornaram as políticas de acesso condicional ao acessar recursos?

  • Tem interesse em ter maior reconhecimento do acesso condicional, com uma pasta de trabalho que detalha por condição para que o impacto de uma política possa ser contextualizado por condição, incluindo a plataforma do dispositivo, o estado do dispositivo, o aplicativo cliente, o risco das credenciais, a localização e o aplicativo?

  • Arquivar e relatar mais de um ano de atividade de atribuição de pacote de acesso e função de aplicativo histórico?

Para ajudar você a tirar essas dúvidas, o Azure Active Directory fornece pastas de trabalho para monitoramento. As pastas de trabalho do Azure Monitor combinam textos, consultas analíticas, métricas e parâmetros em relatórios interativos avançados.

Este artigo:

Pré-requisitos

Para usar pastas de trabalho do Monitor, você precisa de:

  • Um locatário do Azure Active Directory com uma licença premium (P1 ou P2). Saiba como obter uma licença premium.

  • Um workspace do Log Analytics.

  • Acesso ao workspace do Log Analytics

  • As funções a seguir no Azure Active Directory (se você estiver acessando o Log Analytics por meio do portal do Azure Active Directory)

    • Administrador de segurança
    • Leitor de segurança
    • Leitor de relatórios
    • Administrador global

Funções

Para acessar as pastas de trabalho do Azure Active Directory, você precisa ter acesso ao workspace do Log Analytics subjacente e ser atribuído a uma das seguintes funções:

  • Leitor global

  • Leitor de Relatórios

  • Leitor de segurança

  • Administrador de aplicativos

  • Administrador de Aplicativos de Nuvem

  • Administradores de Empresa

  • Administrador de Segurança

Acesso à pasta de trabalho

Para acessar pastas de trabalho:

  1. Entre no portal do Azure.

  2. Navegue até Azure Active Directory>Monitoramento>Pastas de Trabalho.

  3. Selecione um relatório ou modelo ou, na barra de ferramentas, escolha Abrir.

Find the Azure Monitor workbooks in Azure AD

Análise de credenciais

Para acessar a pasta de trabalho de análise de credenciais, na seção Uso, selecione Entradas.

A pasta de trabalho mostra as seguintes tendências de entrada:

  • Todas as entradas

  • Sucesso

  • Ação do usuário pendente

  • Falha

Você pode filtrar cada tendência pelas seguintes categorias:

  • Intervalo de horas

  • Aplicativos

  • Usuários

Sign-in analysis

Para cada tendência, você obtém um detalhamento das seguintes categorias:

  • Location

    Sign-ins by location

  • Dispositivo

    Sign-ins by device

Entradas usando a autenticação herdada

Para acessar a pasta de trabalho das entradas que usam autenticação herdada, na seção Uso, selecione Entradas usando a autenticação herdada.

A pasta de trabalho mostra as seguintes tendências de entrada:

  • Todas as entradas

  • Sucesso

Você pode filtrar cada tendência pelas seguintes categorias:

  • Intervalo de horas

  • Aplicativos

  • Usuários

  • Protocolos

Sign-ins by legacy authentication

Para cada tendência, você obtém um detalhamento por aplicativo e protocolo.

Legacy-authentication sign-ins by app and protocol

Entradas por acesso condicional

Para acessar a pasta de trabalho de entradas por políticas de acesso condicional, na seção Acesso condicional, selecione Entradas por acesso condicional.

Essa pasta de trabalho mostra as tendências das entradas desabilitadas. Você pode filtrar cada tendência pelas seguintes categorias:

  • Intervalo de horas

  • Aplicativos

  • Usuários

Sign-ins using Conditional Access

Para entradas desabilitadas, você obtém um detalhamento pelo status do acesso condicional.

Screenshot shows Conditional access status and Recent sign-ins.

Insights de Acesso Condicional

Visão geral

As pastas de trabalho contêm consultas de log de entrada que podem ajudar os administradores de TI a monitorar o impacto das políticas de acesso condicional no locatário. Você pode emitir relatórios sobre quantos usuários teriam o acesso concedido ou negado. A pasta de trabalho contém insights sobre quantos usuários teriam contornado as políticas de acesso condicional com base nos atributos desses usuários no momento da entrada. Ela contém detalhes por condição para que o impacto de uma política possa ser contextual por condição, como incluir a plataforma do dispositivo, o estado do dispositivo, o aplicativo cliente, o risco de entrada, a localização e o aplicativo.

Instruções

Para acessar a pasta de trabalho de insights de acesso condicional, selecione a pasta de trabalho Políticas de Acesso Condicional, na seção Acesso condicional. Essa pasta de trabalho mostra o impacto esperado de cada política de acesso condicional em seu locatário. Selecione uma ou mais políticas de acesso condicional na lista suspensa e restrinja o escopo da pasta de trabalho aplicando os seguintes filtros:

  • Intervalo de tempo

  • Usuário

  • Aplicativos

  • Exibição de dados

Screenshot shows the Conditional Access pane where you can select a Conditional Access Policy.

O resumo de impacto mostra o número de usuário ou credenciais para os quais as políticas selecionadas tiveram um resultado específico. O total é o número de usuários ou entradas para os quais as políticas selecionadas foram avaliadas no intervalo de tempo selecionado. Clique em um título para filtrar os dados na pasta de trabalho por esse tipo de resultado.

Screenshot shows tiles to use to filter results such as Total, Success, and Failure.

Essa pasta de trabalho mostra o impacto das políticas selecionadas detalhado a cada seis condições:

  • Estado do dispositivo
  • Plataforma do dispositivo
  • Aplicativos do cliente
  • Risco de entrada
  • Localidade
  • Aplicativos

Screenshot shows the details from the Total sign-ins filter.

Você também pode investigar entradas individuais, filtradas pelos parâmetros selecionados na pasta de trabalho. Pesquise por usuários individuais, classificados por frequência de entrada, e exiba seus eventos de entrada correspondentes.

Screenshot shows individual sign-ins you can review.

Entradas por controles de concessão

Para acessar a pasta de trabalho de entradas por controles de concessão, na seção Acesso condicional, selecione Entradas por controles de concessão.

Essa pasta de trabalho mostra as seguintes tendências de entrada desabilitadas:

  • Exigir MFA

  • Requerer termos de uso

  • Política de privacidade do Azure

  • Outros

Você pode filtrar cada tendência pelas seguintes categorias:

  • Intervalo de horas

  • Aplicativos

  • Usuários

Sign-ins by grant controls

Para cada tendência, você obtém um detalhamento por aplicativo e protocolo.

Breakdown of recent sign-ins

Análise de falha de entradas

Use a pasta de trabalho Análise de falha de entradas para solucionar erros em:

  • Entradas
  • Políticas de Acesso Condicional
  • Autenticação herdada

Para acessar as entradas por dados de acesso condicional, na seção Solução de problemas, selecione Entradas usando a autenticação herdada.

A pasta de trabalho mostra as seguintes tendências de entrada:

  • Todas as entradas

  • Sucesso

  • Ação pendente

  • Falha

Você pode filtrar cada tendência pelas seguintes categorias:

  • Intervalo de horas

  • Aplicativos

  • Usuários

Troubleshooting sign-ins

Para ajudar você a solucionar problemas de entrada, o Azure Monitor oferece um detalhamento pelas seguintes categorias:

  • Principais erros

    Summary of top errors

  • Entradas aguardando ação do usuário

    Summary of sign-ins waiting on user action

Análise de Risco da Proteção de Identidade

Use a pasta de trabalho Análise de Risco da Proteção de Identidade na seção Uso para entender:

  • Distribuição em usuários suspeitos e detecções de risco por níveis e tipos
  • Oportunidades para melhor corrigir o risco
  • Em que parte do mundo o risco está sendo detectado

Você pode filtrar as tendências de Detecções Suspeitas por:

  • Tipo de tempo de detecção
  • Nível de risco

As detecções de risco em tempo real são aquelas que podem ser detectadas no ponto de autenticação. Essas detecções podem ser desafiadas por políticas de entrada suspeita usando o Acesso Condicional para exigir a autenticação multifator.

Você pode filtrar as tendências de Usuários Suspeitos por:

  • Detalhe do risco
  • Nível de risco

Se você tiver um grande número de usuários suspeitos em que "nenhuma ação" foi realizada, considere a possibilidade de habilitar uma política de Acesso Condicional para exigir uma alteração de senha segura quando um usuário for de alto risco.

Práticas recomendadas

Consulta parcialmente bem-sucedida

Depois de executar uma pasta de trabalho, você poderá ver o seguinte erro: "Consulta parcialmente bem-sucedida; os resultados podem estar incompletos ou incorretos"

Esse erro significa que a consulta atingiu tempo limite na camada de banco de dados. Nesse caso, ele ainda "foi bem-sucedido" para as pastas de trabalho (obteve resultados), mas os resultados também continham uma mensagem de erro/aviso de que alguma parte da consulta falhou. Nesse caso, você revisa sua consulta e começa a solucionar problemas reduzindo o escopo dela. Por exemplo, você pode adicionar ou reorganizar uma condição where para reduzir a quantidade de dados que a consulta precisa processar.

Próximas etapas