Permitir auditorias de segurança para serviços de domínio de diretório ativo Azure

As auditorias de segurança Azure Ative Directory Domain Services (Azure AD DS) permitem que a Azure transmita eventos de segurança para recursos direcionados. Estes recursos incluem Azure Storage, Azure Log Analytics espaços de trabalho ou Azure Event Hub. Depois de ativar eventos de auditoria de segurança, a Azure AD DS envia todos os eventos auditados para a categoria selecionada para o recurso direcionado.

Você pode arquivar eventos em armazenamento Azure e transmitir eventos em software de informação de segurança e gestão de eventos (OU equivalente) usando Azure Event Hubs, ou fazer a sua própria análise e usando espaços de trabalho Azure Log Analytics a partir do portal Azure.

Importante

As auditorias de segurança da Azure AD DS só estão disponíveis para domínios geridos baseados no Azure Resource Manager. Para obter informações sobre como migrar, consulte o AD AD Migração Azure do modelo de rede virtual Clássico para o Gestor de Recursos.

Destinos de auditoria de segurança

Você pode usar Azure Storage, Azure Event Hubs ou Azure Log Analytics espaços de trabalho como um recurso alvo para auditorias de segurança Azure AD DS. Estes destinos podem ser combinados. Por exemplo, você poderia usar o Azure Storage para arquivar eventos de auditoria de segurança, mas um espaço de trabalho Azure Log Analytics para analisar e reportar sobre a informação a curto prazo.

A tabela seguinte descreve cenários para cada tipo de recurso de destino.

Importante

Tem de criar o recurso-alvo antes de ativar as auditorias de segurança da Azure AD DS. Pode criar estes recursos utilizando o portal Azure PowerShell ou o Azure CLI.

Recurso-alvo Scenario
Armazenamento do Azure Este alvo deve ser utilizado quando a sua necessidade principal é armazenar eventos de auditoria de segurança para fins de arquivo. Outros alvos podem ser usados para fins de arquivo, no entanto esses alvos fornecem capacidades para além da necessidade primária de arquivamento.

Antes de ativar eventos de auditoria de segurança Azure AD DS, primeiro Crie uma conta de Armazenamento Azure.
Azure Event Hubs Este alvo deve ser utilizado quando a sua necessidade principal é partilhar eventos de auditoria de segurança com software adicional, como software de análise de dados ou informações de segurança & software de gestão de eventos (SIEM).

Antes de ativar eventos de auditoria de segurança Azure AD DS, Crie um centro de eventos usando o portal Azure
Espaço de trabalho Azure Log Analytics Este alvo deve ser utilizado quando a sua necessidade principal é analisar e rever diretamente auditorias seguras do portal Azure.

Antes de ativar eventos de auditoria de segurança Azure AD DS, Crie um espaço de trabalho Log Analytics no portal Azure.

Permitir eventos de auditoria de segurança utilizando o portal Azure

Para ativar eventos de auditoria de segurança Azure AD DS utilizando o portal Azure, complete os seguintes passos.

Importante

As auditorias de segurança da AD DS do Azure não são retroativas. Não se pode recuperar ou reproduzir eventos do passado. O Azure AD DS só pode enviar eventos que ocorram após a ativação das auditorias de segurança.

  1. Inicie sessão no portal do Azure em https://portal.azure.com.

  2. No topo do portal Azure, procure e selecione serviços de domínio Azure AD. Escolha o seu domínio gerido, como aaddscontoso.com.

  3. Na janela Azure AD DS, selecione as definições de diagnóstico no lado esquerdo.

  4. Nenhum diagnóstico é configurado por defeito. Para começar, selecione Adicionar a definição de diagnóstico.

    Adicione uma definição de diagnóstico para serviços de domínio AD AZure

  5. Introduza um nome para a configuração de diagnóstico, como aadds-auditing.

    Verifique a caixa para o destino de auditoria de segurança que deseja. Você pode escolher entre uma conta de Armazenamento Azure, um centro de eventos Azure ou um espaço de trabalho Log Analytics. Estes recursos de destino já devem existir na sua assinatura Azure. Não se pode criar os recursos de destino neste feiticeiro.

    Permitir o destino e tipo de eventos de auditoria necessários para capturar

    • Armazenamento azul
      • Selecione Archive para uma conta de armazenamento e, em seguida, escolha Configurar.
      • Selecione a Subscrição e a conta de Armazenamento que pretende utilizar para arquivar eventos de auditoria de segurança.
      • Quando estiver pronto, escolha OK.
    • Hubs de eventos Azure
      • Selecione Stream para um centro de eventos e, em seguida, escolha Configurar.
      • Selecione a Subscrição e o espaço de nomes do centro do evento. Se necessário, escolha também um nome de hub de Evento e, em seguida, nome de política do centro de eventos.
      • Quando estiver pronto, escolha OK.
    • Espaços de trabalho Azure Log Analytic
      • Selecione Enviar para Registar Analytics, em seguida, escolha o espaço de trabalho subscrição e log analytics que pretende utilizar para armazenar eventos de auditoria de segurança.
  6. Selecione as categorias de registo que deseja incluídas para o recurso-alvo específico. Se enviar os eventos de auditoria para uma conta de Armazenamento Azure, também pode configurar uma política de retenção que define o número de dias para reter dados. Uma definição predefinitiva de 0 retém todos os dados e não gira eventos após um período de tempo.

    Pode selecionar diferentes categorias de registo para cada recurso direcionado numa única configuração. Esta capacidade permite-lhe escolher quais as categorias de registos que pretende guardar para o Log Analytics e quais as categorias que pretende arquivar, por exemplo.

  7. Quando terminar, selecione Guardar para cometer as suas alterações. Os recursos-alvo começam a receber eventos de auditoria de segurança Azure AD DS logo após a configuração ser guardada.

Permitir eventos de auditoria de segurança usando a Azure PowerShell

Para ativar eventos de auditoria de segurança Azure AD DS utilizando a Azure PowerShell, complete os seguintes passos. Se necessário, instale primeiro o módulo Azure PowerShell e ligue-se à sua subscrição Azure.

Importante

As auditorias de segurança da AD DS do Azure não são retroativas. Não se pode recuperar ou reproduzir eventos do passado. O Azure AD DS só pode enviar eventos que ocorram após a ativação das auditorias de segurança.

  1. Autenticar a sua assinatura Azure utilizando o cmdlet Connect-AzAccount. Quando solicitado, insira as credenciais da sua conta.

    Connect-AzAccount
    
  2. Crie o recurso-alvo para os eventos de auditoria de segurança.

  3. Obtenha o ID de recurso para o seu domínio gerido Azure AD DS utilizando o cmdlet Get-AzResource. Criar uma variável chamada $aadds. ResourceId para manter o valor:

    $aadds = Get-AzResource -name aaddsDomainName
    
  4. Configure as definições de Diagnóstico Azure utilizando o cmdlet Set-AzDiagnosticSetting para utilizar o recurso-alvo para eventos de auditoria de segurança dos Serviços de Domínio Azure AD. Nos exemplos seguintes, a variável $aadds. O ResourceId é utilizado a partir do passo anterior.

    • Armazenamento Azure - Substitua o armazenamentoAccountId pelo nome da sua conta de armazenamento:

      Set-AzDiagnosticSetting `
          -ResourceId $aadds.ResourceId `
          -StorageAccountId storageAccountId `
          -Enabled $true
      
    • Hubs de eventos Azure - Substitua o eventHubName pelo nome do seu centro de eventos e eventoHubRuleId com a sua regra de autorização ID:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
          -EventHubName eventHubName `
          -EventHubAuthorizationRuleId eventHubRuleId `
          -Enabled $true
      
    • Azure Log Espaços de trabalho analíticos - Substitua o espaço de trabalhoId pelo ID do espaço de trabalho Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
          -WorkspaceID workspaceId `
          -Enabled $true
      

Consultar e ver eventos de auditoria de segurança usando o Azure Monitor

Log Espaços de trabalho analíticos permite-lhe ver e analisar os eventos de auditoria de segurança usando o Azure Monitor e a linguagem de consulta Kusto. Esta linguagem de consulta é projetada para uso apenas de leitura que possui capacidades analíticas de poder com uma sintaxe fácil de ler. Para obter mais informações para começar com as línguas de consulta de Kusto, consulte os seguintes artigos:

As seguintes consultas de amostra podem ser usadas para começar a analisar eventos de auditoria de segurança a partir de Azure AD DS.

Consulta de amostra 1

Veja todos os eventos de bloqueio de conta nos últimos sete dias:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Consulta de amostra 2

Veja todos os eventos de bloqueio de conta (4740) entre 3 de junho de 2020 às 9.m. e 10 de junho de 2020 meia-noite, classificado subindo pela data e hora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Consulta de amostra 3

Ver eventos de inscrição de conta há sete dias (a partir de agora) para a conta nomeada utilizador:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Consulta de amostra 4

Ver eventos de inscrição de conta há sete dias para a conta nomeada utilizador que tentou iniciar sposição através de uma má senha (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Consulta de amostra 5

Ver eventos de inscrição de conta há sete dias para a conta nomeada utilizador que tentou iniciar sposição enquanto a conta estava bloqueada (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Consulta de amostra 6

Veja o número de eventos de inscrição de conta há sete dias para todas as tentativas de inscrição que ocorreram para todos os utilizadores bloqueados:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| summarize count()

Categorias de eventos de auditoria

As auditorias de segurança Azure AD DS alinham-se com a auditoria tradicional para controladores de domínio AD DS tradicionais. Em ambientes híbridos, pode reutilizar os padrões de auditoria existentes para que a mesma lógica possa ser usada na análise dos eventos. Dependendo do cenário que precisa para resolver problemas ou analisar, as diferentes categorias de eventos de auditoria precisam de ser direcionadas.

Estão disponíveis as seguintes categorias de eventos de auditoria:

Nome da categoria de auditoria Description
Início de conta As auditorias tentam autenticar dados de conta num controlador de domínio ou num Gestor de Contas de Segurança local (SAM).

As definições de políticas de logon e logoff rastreiam as tentativas de acesso a um determinado computador. As configurações e eventos desta categoria concentram-se na base de dados de conta que é utilizada. Esta categoria inclui as seguintes subcategorias:
Gestão de Contas Auditorias alterações nas contas e grupos de utilizadores e computadores. Esta categoria inclui as seguintes subcategorias:
Rastreio de detalhes Audita atividades de aplicações individuais e utilizadores nesse computador, e para entender como um computador está sendo usado. Esta categoria inclui as seguintes subcategorias:
Acesso de Serviços diretórios As auditorias tentam aceder e modificar objetos em Serviços de Domínio de Diretório Ativo (DS AD). Estes eventos de auditoria são registados apenas em controladores de domínio. Esta categoria inclui as seguintes subcategorias:
Logon-Logoff As auditorias tentam iniciar sessão num computador de forma interativa ou sobre uma rede. Estes eventos são úteis para rastrear a atividade do utilizador e identificar potenciais ataques a recursos de rede. Esta categoria inclui as seguintes subcategorias:
Acesso a Objetos As auditorias tentam aceder a objetos ou tipos de objetos específicos numa rede ou computador. Esta categoria inclui as seguintes subcategorias:
Mudança de Política Auditorias alterações a políticas de segurança importantes num sistema ou rede local. As políticas são tipicamente estabelecidas por administradores para ajudar a garantir os recursos da rede. Monitorizar alterações ou tentativas de alteração destas políticas pode ser um aspeto importante da gestão da segurança de uma rede. Esta categoria inclui as seguintes subcategorias:
Uso de Privilégios Audita a utilização de determinadas permissões num ou mais sistemas. Esta categoria inclui as seguintes subcategorias:
Sistema Auditoria alterações ao nível do sistema a um computador não incluído noutras categorias e que têm potenciais implicações de segurança. Esta categoria inclui as seguintes subcategorias:

IDs de evento por categoria

As auditorias de segurança da Azure AD DS registam os seguintes IDs de evento quando a ação específica desencadeia um evento auditável:

Nome da categoria de evento IDs do evento
Segurança de logon conta 4767, 4774, 4775, 4776, 4777
Segurança de gestão de conta 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Segurança de rastreio de detalhes Nenhum
Segurança de acesso DS 5136, 5137, 5138, 5139, 5141
segurança Logon-Logoff 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Segurança de acesso a objetos Nenhum
Segurança de mudança de política 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Segurança de uso de privilégios 4985
Segurança do sistema 4612, 4621

Passos seguintes

Para obter informações específicas sobre Kusto, consulte os seguintes artigos: