Auditoria do Azure AD: Habilitando e Configurando Logs de Auditoria

Tutoriais

Auditoria do Azure AD: Habilitando e Configurando Logs de Auditoria. No cenário digital em constante evolução de hoje, onde violações de dados e ameaças cibernéticas continuam a aumentar, estabelecer medidas de segurança robustas tornou-se primordial para organizações. Bem, o Azure Active Directory (Azure AD) fornece uma suíte abrangente de ferramentas para reforçar a segurança, e um aspecto crucial disso é a auditoria. Ao habilitar e configurar logs de auditoria e logs de atividades do Microsoft Graph dentro do Azure AD, as empresas obtêm insights valiosos sobre atividades do usuário, vulnerabilidades potenciais e conformidade regulatória. Este artigo explora a importância de começar com a auditoria do Azure AD, destacando como esses logs contribuem para uma postura de segurança proativa e eficaz.

Também Leia Analisar Logs de Segurança do Azure AD: Auditoria e Monitoramento de Atividades do Azure AD

Auditoria do Azure AD: Habilitando e Configurando Logs de Auditoria

Quando um usuário se autentica no Azure Active Directory para acessar um serviço específico, como Office 365 ou outro aplicativo SaaS, há uma tentativa de fluxo de autenticação no Azure AD. A primeira parte é avaliar se o usuário está dentro do locatário especificado ou, caso contrário, encaminhar os usuários para o diretório de locatários correto. Em seguida, determina as associações de grupo e as senhas. Todas as tentativas de autenticação, independentemente de passarem ou falharem, serão registradas.

Em seguida, há políticas de acesso condicional que avaliamos para determinar quais tipos de configurações estão em vigor antes de conceder acesso ao usuário ou se ele deve ser bloqueado. Dentro do Azure Active Directory, alguns logs de auditoria são armazenados por padrão em um banco de dados local do Azure AD. Um registro de log para o Azure AD Sign-in se parece com isto.

OBSERVAÇÃO: Uma atividade de entrada no Azure AD também está relacionada a dois outros atributos, que sãoinformações do dispositivoepolíticas de acesso condicional.

Entrada de Log

Desde que este registro indica que um usuário específico fez login no Azure usando o cliente Azure PowerShell e não tinha nenhuma política de Acesso Condicional que aplicamos. As coisas mais importantes a considerar são:

1. O tráfego provém de locais e dispositivos conhecidos se autenticado com sucesso?
2. Se a autenticação falhou, qual é o motivo da falha?

Estes eventos são registrados pelo sistema, e podemos verificar através da atividade. No entanto, notamos que, por padrão, armazenamos todos esses logs no banco de dados do Azure AD, e a retenção desses logs depende do tipo de licenças que temos para o Azure AD (P1 ou P2). No entanto, também temos a opção de definir diagnósticos, exportando os logs do Azure AD para um Espaço de Trabalho de Análise de Logs.

OBSERVAÇÃO:Nossa organização precisa de uma licença Azure AD P1 ou P2 para exportar dados de login.

Leia também Experimente as Ferramentas de Monitoramento e Auditoria do InfraSOS para Azure AD

Fontes de Log do Azure AD

No cenário de segurança digital em constante evolução, garantir a proteção de dados sensíveis e manter uma postura robusta de cibersegurança tornou-se um objetivo primordial para as organizações. Os diferentes registros de log registram outros conjuntos de dados:

  • Logs de Auditoria: Esses logs fornecem um registro de várias ações administrativas e alterações feitas dentro do Azure AD, como gerenciamento de usuários e grupos, atribuições de aplicativos e modificações de políticas, oferecendo insights para gerenciar seu diretório.

  • Logs de Login: eles rastreiam atividades de autenticação, capturando detalhes sobre tentativas de login bem-sucedidas e malsucedidas por usuários, aplicativos e princípios de serviço, auxiliando na detecção de acesso não autorizado ou comportamento suspeito.</diy11

  • Registros de login de usuário não interativo: esses registros se concentram em logins não interativos (programáticos) por usuários, muitas vezes vistos em processos automatizados ou scripts, fornecendo visibilidade para contas de serviço e atividades automatizadas.

  • Registros de login de princípio de serviço: eles rastreiam especificamente as atividades de login por princípios de serviço, que são identidades usadas por aplicativos para acessar recursos. Monitorar esses registros ajuda a identificar comportamentos incomuns ou uso indevido potencial de identidades de aplicativos.

  • Registos de Entrada com Identidade Gerida: são utilizados por recursos do Azure para autenticar com o Azure AD. Estes registos documentam as atividades de entrada com identidades geridas, contribuindo para a compreensão dos padrões de acesso ao nível do recurso.

  • Registos de Provisionamento: oferecem insights sobre as atividades de sincronização de utilizadores e grupos entre diretórios locais e o Azure AD, ajudando a garantir a consistência e precisão dos dados.

  • Registos de Entrada com ADFS: Os registos de Serviços de Federação do Active Directory (ADFS) acompanham as tentativas de entrada via federação, fornecendo informações sobre os utilizadores que acedem a recursos num ambiente federado e auxiliando na monitorização de padrões de acesso externo.

A Importância dos Registros de Auditoria

Cada tipo de registro desempenha um papel distinto em melhorar a segurança, monitorar atividades e manter a conformidade dentro do ambiente do Azure AD. Se movemos os registros para o Log Analytics com Sentinel, também temos a opção de criar consultas analíticas que automaticamente disparam um alerta em caso de comportamento suspeito.

NOTA: Você também tem a opção de exportar dados para uma Conta de Armazenamento do Azure e um Hub de Eventos do Azure. Por exemplo, podemos definir múltiplos fluxos de exportação para enviar dados para diversos espaços de trabalho. Primeiro, precisamos entender os diferentes IDs de Evento que registramos.Leia Também Get-AzureADAuditSignInLogs – Encontrar Registros de Entrada dos Últimos 30 Dias via PowerShell

Também leia Get-AzureADAuditSignInLogs – Encontrar logs de login nos últimos 30 dias PowerShell

Melhores práticas ao monitorar o Azure AD

O Log Analytics e o Azure Sentinel usam consultas Kusto para analisar os dados. Kusto é uma linguagem de consulta somente leitura com um visualizador surpreendentemente bom como parte do portal. Existem algumas regras diferentes que criamos. Usamos regras de caça para explorar (mas não executar regularmente); a segunda são regras de análise executadas em um cronograma predefinido. 

Um exemplo de regras de caça que costumamos usar é uma simples para determinar as localizações de login a partir de nossos logins.

SigninLogs
| summarize count() by Location

Outro bom exemplo é mostrar tentativas de login falhadas no Azure AD, onde o código de erro é 50126 ou 50020.

SigninLogs
| where ResultType in ("50126", "50020")
| extend OS = DeviceDetail.operatingSystem, Browser = DeviceDetail.browser
| extend StatusCode = tostring(Status.errorCode), StatusDetails = tostring(Status.additionalDetails)
| extend State = tostring(LocationDetails.state), City = tostring(LocationDetails.city)
| summarize StartTime = min(TimeGenerated), EndTime = max(TimeGenerated), IPAddresses = makeset(IPAddress), DistinctIPCount = dcount(IPAddress),
makeset(OS), makeset(Browser), makeset(City), AttemptCount = count()
by UserDisplayName, UserPrincipalName, AppDisplayName, ResultType, ResultDescription, StatusCode, StatusDetails, Location, State
| extend timestamp = StartTime, AccountCustomEntity = UserPrincipalName
| Sort by AttemptCount

Aqui, um exemplo diferente é olhar para os usuários que falharam nas tentativas de autenticação de MFA.

SigninLogs
| where TimeGenerated &gt;= ago(31d)
| where ResultType == "50074"

E outro exemplo é olhar para os usuários convidados externos e as alterações feitas na Política de Acesso Condicional.

AuditLogs
| where Category == "UserManagement"
| where OperationName == "Invite external user" or OperationName == "Redeem external user invite"
AuditLogs | where Category == "Policy" |
 project ActivityDateTime, ActivityDisplayName , TargetResources[0].displayName, InitiatedBy.user.userPrincipalName

Observe que essas não são as únicas consultas que executamos por meio do Kusto.

Leia também Verificar Logs de Auditoria do Azure AD para Entradas de Usuários (Sucesso Falhas)

Novos Logs de Auditoria do Azure AD Usando Logs de Atividade do Microsoft Graph

O Microsoft introduziu novos Logs de Auditoria do Azure AD. Utilizamos o espaço de trabalho de análise de log para armazenar esses logs no espaço de trabalho de análise de log. Novos Logs de Atividade do Microsoft Graph no Azure Active Directory Diagnostic Settings em 14 de março de 2023 introduziram um novo log chamado MicrosoftGraphActivityLogs, juntamente com outros arquivos de log listados.

Especialmente, esses arquivos de log oferecem detalhes das solicitações de API feitas ao Microsoft Graph para recursos no locatário.EnrichedOffice365AuditLogs é outro arquivo de log emocionante que é muito útil para solução de problemas. Felizmente, Azure Active Directory (Azure AD) as configurações de diagnóstico nos permitem configurar logs e métricas para monitorar e analisar a atividade no Azure AD locatário.

Ao criarmos uma configuração de diagnóstico, especificamos o tipo de dados que queremos coletar, como registros de auditoria, registros de logins, ou logs de diretório, e para onde queremos enviar os dados, como uma conta de armazenamento, Event Hub, ou espaço de trabalho do Log Analytics. Os Logs de Atividade do Microsoft Graph registram de forma abrangente todas as solicitações de API para o Microsoft Graph de recursos dentro de um inquilino do Azure AD. Portanto, esses registros fornecem informações detalhadas sobre a natureza das solicitações, incluindo o usuário ou aplicativo  que fez a solicitação, o recurso que acessamos e a ação específica tomada.

Visão geral dos Novos Logs de Auditoria do Azure AD

Os Logs de Atividade do Microsoft Graph permitem que administradores e desenvolvedores monitorem e analisem os padrões de uso do Microsoft Graph dentro de seus locatários. Além disso, ajudamos a identificar possíveis problemas ou anomalias, rastrear o desempenho de aplicativos e usuários e otimizar o uso de recursos.

A Microsoft introduziu novos logs do Azure AD, conforme listado abaixo. Enviamos esses dados para o espaço de trabalho de Log Analytics de nossa escolha. Nossa organização precisa de uma licença Azure AD P1 ou P2 para exportar dados de login:

  1. NetworkAccessTrafficLogs
  2. RiskyServicePrincipals
  3. ServicePrincipalRiskEvents
  4. EnrichedOffice365AuditLogs
  5. MicrosoftGraphActivityLogs

Leia também Por que Monitorar a Atividade do Usuário do Azure AD é Essencial para a Segurança?

Registros de Atividade do Microsoft Graph

Em geral, os Registros de Atividade do Microsoft Graph servem como uma ferramenta poderosa de diagnóstico para gerenciar e monitorar o uso do Microsoft Graph. As categorias e as soluções dos Registros de Atividade do Microsoft Graph que mostramos na lista e na captura de tela abaixo:

  • Categorias
    • Categoria de Auditoria: Registra alterações de administração, conformidade.
    • Categoria de Segurança: Monitora logins e acesso, auxiliando na detecção de ameaças.
  • Soluções
    • Soluções de Gerenciamento de Log: Simplifique as práticas de segurança, permitindo respostas proativas.

Consulte a lista completa de colunas e atributos dos Logs de Atividade do Microsoft Graph nesta documentação oficial da Microsoft.

Logs de Atividade do Microsoft Graph no Azure Active Directory (Azure AD)

A exportação em fluxo dos logs e métricas da plataforma para um recurso que configuramos usando as configurações de diagnóstico. Crie até cinco configurações de diagnóstico para enviar logs e métricas para destinos independentes.

  • Navegue até a lâmina Azure AD no portal do Azure
  • Selecione Configurações de Diagnóstico no menu esquerdo
  • As Configurações de Diagnóstico mostram os novos Logs de Atividade do Microsoft Graph

Configurações de Diagnóstico para Logs de Atividade do Microsoft Graph

Clique no Adicionar Configuração de Diagnóstico acima da captura de tela para configurar os Logs de Atividades do Microsoft Graph. Os Logs de Atividades do Microsoft Graph são combinados com outras ferramentas de diagnóstico do Azure AD para garantir a segurança e confiabilidade do nosso ambiente do Azure AD.

Também Leia Experimente a Plataforma de Relatórios e Auditorias do Office 365 InfraSOS

Auditoria do Azure AD: Habilitando e Configurando os Logs de Auditoria Conclusão

Em conclusão, abraçar a auditoria do Azure AD habilitando e configurando logs de auditoria e logs de atividades do Microsoft Graph é fundamental para organizações que buscam segurança e conformidade elevadas. Estes logs oferecem insights valiosos para rastrear atividades de usuários, detectar ameaças e atender às normas regulatórias. Ao aproveitar esses logs juntos, as organizações aprimoram proativamente suas estratégias de segurança, embora o monitoramento constante e a atualização das funcionalidades do Azure AD permaneçam imperativos para uma eficácia sustentada.

Source:
https://infrasos.com/azure-ad-auditing-enabling-and-configuring-audit-logs/