Tutorial: Transmitir logs do Azure Active Directory para um hub de eventos do Azure

Neste tutorial, saiba como definir as configurações de diagnóstico do Azure Monitor para transmitir logs do Azure AD (Azure Active Directory) para um hub de eventos do Azure. Use esse mecanismo para integrar os logs com as ferramentas SIEM (gerenciamento de eventos e informações de segurança) de terceiros, como Splunk e QRadar.

Pré-requisitos

Para usar esse recurso, você precisa de:

  • Uma assinatura do Azure. Se não tiver uma assinatura do Azure, você poderá inscrever-se em uma avaliação gratuita.
  • Um locatário do Azure AD.
  • Um usuário que seja administrador global ou administrador de segurança do locatário do Azure AD.
  • Um namespace dos Hubs de Eventos e um hub de eventos em sua assinatura do Azure. Saiba como criar um hub de eventos.

Transmitir logs para um hub de eventos

  1. Entre no portal do Azure.

  2. Selecione Azure Active Directory > Logs de auditoria.

  3. Selecione Configurações de Exportação de Dados.

  4. No painel Configurações de Diagnóstico, siga um destes procedimentos:

    • Para alterar as configurações existentes, selecione Editar configuração.
    • Para adicionar novas configurações, selecione Adicionar configuração de diagnóstico.
      Você pode ter até três configurações.
  5. Marque a caixa de seleção Transmitir para um hub de eventos e selecione Hub de Eventos/Configurar.

    Exportar configurações

    1. Selecione a assinatura do Azure e o namespace dos Hubs de Eventos para onde você deseja encaminhar os logs.
      A assinatura e o namespace dos Hubs de Eventos devem estar associados ao locatário do Azure AD de onde os logs estão sendo transmitidos. Você também pode especificar um hub de eventos dentro do namespace dos Hubs de Eventos para os quais os logs devem ser enviados. Se nenhum hub de eventos for especificado, um hub de eventos é criado no namespace com o nome padrão insights-logs-audit.

    2. Escolha qualquer combinação dos seguintes itens:

      • Para enviar os logs de auditoria para o hub de eventos, marque a caixa de seleção AuditLogs.
      • Para enviar os logs de entrada de usuário interativa para o hub de eventos, marque a caixa de seleção SignInLogs.
      • Para enviar os logs de entrada de usuário não interativa para o hub de eventos, marque a caixa de seleção NonInteractiveUserSignInLogs.
      • Para enviar os logs de entrada de entidade de serviço para o hub de eventos, marque a caixa de seleção ServicePrincipalSignInLogs.
      • Para enviar os logs de entrada de identidade gerenciada para o hub de eventos, marque a caixa de seleção ManagedIdentitySignInLogs.
      • Para enviar os logs de provisionamento para o hub de eventos, marque a caixa de seleção ProvisioningLogs.
      • Para enviar as entradas para o Azure AD por um agente do AD FS Connect Health, marque a caixa de seleção ADFSSignInLogs.
      • Para enviar informações do usuário suspeito, marque a caixa de seleção RiskyUsers.
      • Para enviar informações dos eventos de risco do usuário, marque a caixa de seleção UserRiskEvents.

      Observação

      Algumas categorias de entrada contêm grandes volumes de dados de log, dependendo da configuração do locatário. Em geral, as entradas de usuário não interativas e as entradas de entidade de serviço podem ser de 5 a 10 vezes maiores que as entradas de usuário interativas.

    3. Clique em Salvar para salvar a configuração.

  6. Após cerca de 15 minutos, verifique se esses eventos são exibidos no hub de eventos. Para fazer isso, navegue até o hub de eventos no portal e verifique se a contagem de mensagens de entrada é maior que zero.

    Logs de auditoria

Acessar dados de seu hub de eventos

Depois que os dados são exibidos no hub de eventos, você pode acessar e ler os dados de duas maneiras:

Próximas etapas