Analisar Logs de Segurança do Azure AD: Auditoria e Monitoramento da Atividade do Azure AD. Você quer aprimorar seu conhecimento sobre o uso da segurança do Azure AD e logs de auditoria para monitorar e analisar as atividades do Azure AD?
Este artigo explica como utilizar cada log para monitorar e revisar as atividades do usuário no Azure AD.
O artigo começa explorando 4 logs e explicando as informações que fornecem. Em seguida, discute os pré-requisitos de licenciamento e função para utilizar esses logs.
Finalmente, há instruções passo a passo sobre como usar os logs para monitorar e analisar as atividades do usuário.
Logs de Segurança e Auditoria do Azure AD para Monitorar e Analisar Atividadesregistro de entrada , logs de auditoria , logs de provisionamento e relatórios de “uso e insights”.
O Azure Active Directory fornece quatro logs com vários dados que as organizações precisam monitorar e analisar as atividades do usuário no sistema. Estes incluem logs de registro de entrada, logs de auditoria, logs de provisionamento e relatórios de “uso e insights”.
Compreender os Logs de Entrada e Logs de Entrada (pré-visualização) do Azure AD
Os logs de registro de entrada do Azure AD oferecem às organizações insights poderosos sobre como os usuários acessam e utilizam aplicativos e serviços. Este tipo de log é um dos três logs de atividade.
Os administradores de TI determinam os padrões de entrada do usuário com as informações registradas no log de entrada. Além disso, este log revela o número de usuários que fizeram login em um período específico. Também exibe o status dos logins.
A partir de junho de 2023, a Microsoft lançou uma versão de pré-visualização chamada “logs de entrada (pré-visualização)”. Enquanto o log de entrada clássico registra atividades de usuário interativas, a pré-visualização acompanha isso e 3 tipos adicionais de logins (usuários não interativos, princípios de serviço e identidades gerenciadas) para logins de recursos do Azure.
Bem, o login interativo ocorre quando os usuários acessam o Azure AD com um nome de usuário e senha ou MFA. Por outro lado, os logins não interativos são de aplicativos que fazem login em nome de um usuário.
Além disso, principais de serviço fazem login em seu nome enquanto identidades gerenciadas registram logins de aplicativos com segredos armazenados com segurança no Azure Key Vault.
Além do componente “usuário”, os registros de login registram 3 componentes essenciais quando os usuários ou aplicativos acessam um recurso do Azure. O primeiro elemento crítico é “quem”.
Esse registro mostra a Identidade (usuário) que fez login. O log também registra “como”, indicando o cliente ou aplicativo usado para o login.
Finalmente, você também obtém “o que,” – que registra o recurso de destino acessado pela Identidade.
Então, sempre que vocêmonitorar e auditar a segurança do Azure AD atividade usando logs de login, observe “quem”, “como” e “o que” registrados como “usuário”, “recurso” e “aplicação” ou “aplicativo cliente.”
Entendendo os Logs de Auditoria do Azure Active Directory
O log de auditoria é outro registro de atividades do Azure AD que ajuda a monitorar e analisar as ações do usuário. O log de auditoria registra atividades dentro do diretório.
Especificamente, os logs de auditoria do Azure AD registram as alterações feitas em usuários, grupos ou aplicativos no diretório. Esses logs de atividade são frequentemente necessários para fins de conformidade.
Quando as organizações monitoram os logs de auditoria do Azure AD, podem revelar violações de segurança ou questões de conformidade que exigem correção.
O assunto do log de auditoria (usuário, grupo ou aplicativo) é registrado como “Tipo de atividade”. Além do tipo de atividade, ele também registra “Categoria”, “Status” e a pessoa que iniciou a atividade, registrada como “Iniciado por (ator)”.
Ao abrir um log de auditoria, existem três abas: “Atividade”, “Destino(s)” e “Propriedades modificadas”.
A aba Atividade exibe o “Tipo de atividade”, que registra se a alteração foi feita em um grupo, usuário ou aplicativo. Além disso, a aba registra a categoria do log e seu status.
Também registra as informações “Iniciado por (ator)”, que inclui o usuário que fez as alterações, o endereço IP e o UPN do usuário.
A aba “Destino(s)” registra detalhes do objeto modificado. Se disponível, registra o nome do objeto, nome de exibição, id e UPN.
Por fim, a aba “Propriedades modificadas” mostra as propriedades do objeto modificado, incluindo os valores antigos e novos.
Entendendo os Logs de Provisionamento do Azure Active Directory
O Azure Active Directory integra-se com aplicativos de terceiros que provisionam usuários no diretório. Ele registra suas atividades em logs de provisionamento para os administradores de TI solucionarem problemas ou rastrearem alterações feitas por esses aplicativos.
Em relação aos registros, os logs de provisionamento rastreiam informações como usuários criados ou modificados com sucesso por um serviço de terceiros como o ServiceNow. Além disso, ele rastreia alterações de grupo e qual serviço fez a alteração.
Esses registros auxiliam nas informações de segurança, auditoria e conformidade.
Compreensão dos Relatórios “Uso e Insights” do Azure AD
Os relatórios de “uso e insights” são um repositório central onde o Azure AD registra as atividades de login de outras aplicações Microsoft 365. É um local único onde as atividades de login são visualizadas.
A página registra logins bem-sucedidos e falhos, o número de cada um e a taxa de sucesso. Não apenas isso, mas também exibe um link para visualizar a atividade de login para cada aplicação.
Como mostrado na captura de tela acima, a página de “uso e insights” fornece informações sobre as aplicações mais utilizadas em uma organização, aplicações com a menor taxa de sucesso de login e erros de login principais.
Ao clicar no link “visualizar atividade de login” para um aplicativo, são exibidos erros de login. Além disso, a página de detalhes exibe os códigos de erro, ocorrências e a última data em que ocorreu o erro.
Antes de prosseguir do “uso & insights”, quero destacar outros relatórios críticos aqui. Anteriormente, mencionei que os logs de login rastreiam logins de entidades de serviço.
Esta informação está disponível no “uso & insights” como “Atividade de login de entidade de serviço (Preview)”. Ao clicar nisso, são exibidas as entidades de serviço que o Azure Active Directory autenticou.
Este relatório inclui o nome da entidade de serviço, a última vez que ela efetuou login e um link para “visualizar mais detalhes”.
Antes de chegarmos a isso, gostaria de mencionar outros logs valiosos na página de “uso & insights”, começando com “Atividades de métodos de autenticação”.
Registros de “atividades de métodos de autenticação” métodos de autenticação que os usuários de uma organização utilizam para registrar no Azure AD.
A página possui 2 abas: Registro e Uso. A aba de Registro registra usuários inscritos nos métodos de autenticação disponíveis.
Por outro lado, a aba de Uso detalha como os métodos de autenticação foram utilizados.
O último registro que você precisa em sua caixa de ferramentas é o relatório “Atividade de credencial de aplicação (Visualização)”. Este relatório fornece a última data em que uma credencial de aplicação foi utilizada.
Além disso, este relatório registra o id da aplicação, tipo de certificado e um link para visualizar os detalhes do registro.
Também leia Usar Relatórios de Usuários do Office 365
Monitore e Analise a Atividade do Azure AD com Logs de Segurança e Auditoria do Azure AD
Nesta seção, faça login no portal do Azure através de portal.azure.com. Em seguida, procure e abra “Azure Active Directory”.
Usando Logs de Login para Monitorar e Analisar Atividades do Usuário.
Para acessar os registros de login, abra-os no menu Monitor do portal do Azure Active Directory.
Após abrir os registros de login do Azure AD, personalize as colunas de acordo com suas necessidades.
Em seguida, marque as colunas que você precisa na aba “Colunas” e desmarque aquelas que não precisa. Recomendamos marcar as colunas conforme a captura de tela abaixo.
Adicione filtros ao registro após configurar as colunas de acordo com sua preferência para exibir as informações que deseja analisar.
Para adicionar um filtro, clique em “Adicionar filtros”, selecione um filtro e clique em Aplicar. Repita isso para quantos filtros precisar.
Em seguida, clique em um filtro e adicione uma condição. Na captura de tela abaixo, filtrei meus registros de login para retornar apenas logs com usuários contendo “victor”.
Esse filtro reduziu o número de logs para o que desejo visualizar. Dependendo do que estamos solucionando, adicionamos filtros adicionais.
Abrir uma entrada de log fornece relatórios detalhados sobre ela. A aba “Informações básicas” revela informações críticas sobre o login, como a data, “Requisito de autenticação”, informações sobre o usuário, o aplicativo acessado e a ferramenta de Diagnóstico de Login.
A ferramenta de diagnóstico de login é usada para realizar solução de problemas adicionais em relação ao login e obter ações recomendadas para corrigir problemas.
A entrada de log possui outras abas.
Bem, a aba “Localização” registra a localização e o endereço IP de onde o usuário tentou autenticação.
A aba “Informações do dispositivo” também registra o Sistema Operacional, navegador e se o dispositivo está em conformidade.
Por fim, use as informações nas abas “Acesso Condicional” e “Somente Relatório” para visualizar o acesso condicional e outras políticas que podem ou não ter sido aplicadas ao login.
Usando Logs de Auditoria do Azure AD para Analisar Atividades do Usuário
Para abrir o log de auditoria, clique nele no menu do Azure Active Directory.
Em seguida, siga as etapas descritas na última subseção para personalizar as colunas de acordo com suas necessidades.
Similar aos registros de entrada, os registros de auditoria possuem capacidades de filtragem. Felizmente, a Microsoft adiciona as condições de filtragem – Serviço, Atividade e Categoria – que você mais precisa.
No entanto, o registro de auditoria fornece a opção de adicionar filtros personalizados. Para adicionar um filtro, clique em “Adicionar filtros”, selecione um filtro e clique em Aplicar.
Depois de adicionar um filtro, ele é exibido e pode ser usado para determinar os resultados exibidos pelo registro de auditoria. Na captura de tela abaixo, eu filtrei o log por Data e Iniciado por (ator).
O próximo passo é aprofundar clicando em uma entrada. Depois que a entrada do log abrir, revise as informações nas guias Atividade, Destino(s) e “Propriedades Modificadas”.
Siga os passos nas duas últimas subseções e as informações nas seções anteriores para configurar, analisar e monitorar os logs de provisionamento e os relatórios de “Uso e insights”.
Analisar Registros de Segurança do Azure AD: Conclusão da Atividade de Auditoria e Monitoramento do Azure AD
Monitorar e analisar logs de auditoria é tão crucial quanto configurar o Azure Proteção de Identidade, Acesso Condicional, Gerenciamento de Identidade Privilegiada e outras funcionalidades de segurança. Ao analisar logs no Azure Active Directory, os administradores de TI detectam e mitigam proativamente possíveis incidentes de segurança.
Felizmente, o Azure AD possui todos os logs necessários para alcançar esse objetivo. Especificamente, oferece registros de entrada, entrada (visualização) e auditoria para organizações.
Além disso, essa robusta ferramenta de gerenciamento de identidade em nuvem também apresenta logs de provisionamento e relatórios de “uso e insights”. Esses logs fornecem diversos dados para ajudar a determinar a saúde de segurança de uma infraestrutura do Azure AD.
Para ajudar as organizações a utilizar os logs de forma eficaz, este artigo explica os dados fornecidos pelos logs do Azure AD e como usá-los para monitorar e analisar a postura de segurança do Azure AD.
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/