Analise os Registos de Segurança do Azure AD: Audite e Monitore a Atividade do Azure AD. Você deseja aprimorar seu conhecimento sobre o uso da segurança do Azure AD e registos de auditoria para monitorar e analisar as atividades do Azure AD?
Este artigo explica como utilizar cada registro para monitorar e revisar as atividades do usuário no Azure AD.
O artigo começa explorando 4 registros e explicando as informações que fornecem. Em seguida, discute os pré-requisitos de licenciamento e funções para utilizar esses registros.
Finalmente, há instruções passo a passo sobre como usar os registros para monitorar e analisar as atividades do usuário.
Registos de Segurança e Auditoria do Azure AD para Monitorar e Analisar Atividadeslogin , registros de auditoria , registros de provisionamento e relatórios de “uso e insights”.
Compreender os Logs de Login e Logs de Login do Azure AD
Os logs de login do Azure AD fornecem às organizações insights poderosos sobre como os usuários acessam e utilizam aplicativos e serviços. Este tipo de log é um dos três logs de atividade.
Os administradores de TI determinam padrões de login do usuário com as informações registradas no log de login. Além disso, este log revela o número de usuários que fizeram login em um período específico. Também exibe o status dos logins.
A partir de junho de 2023, a Microsoft lançou uma versão de pré-visualização chamada “logs de login (pré-visualização)”. Enquanto o log de login clássico registra atividades de usuário interativas, a pré-visualização rastreia isso e três tipos adicionais de logins (usuários não interativos, princípios de serviço e identidades gerenciadas) para logins de recursos do Azure.
Bem, o login interativo ocorre quando os usuários acessam o Azure AD com um nome de usuário e senha ou MFA. Por outro lado, os logins não interativos são de aplicativos que fazem login em nome de um usuário.
Além disso, os principais serviços fazem login em seu nome enquanto as identidades gerenciadas registram logins de aplicativos com segredos armazenados com segurança no Azure Key Vault.
Além do componente “usuário”, os logs de login registram 3 componentes essenciais quando os usuários ou aplicativos acessam um recurso Azure. O primeiro elemento crítico é “quem”.
Este registro mostra a Identidade (usuário) que fez login. O log também registra “como”, indicando o cliente ou aplicativo usado para o login.
Finalmente, você também obtém “what,” – que registra o recurso de destino acessado pela Identidade.
Portanto, sempre que você monitorar e auditar a segurança do Azure AD atividade usando logs de entrada, fique atento ao “quem”, “como” e “o que” registrados como “usuário”, “recurso” e “aplicativo” ou “aplicativo cliente”.
Compreendendo os Logs de Auditoria do Azure Active Directory
O log de auditoria é outro log de atividades do Azure AD que ajuda a monitorar e analisar as ações do usuário. O log de auditoria registra atividades dentro do diretório.
Especificamente, os logs de auditoria do Azure AD registram as alterações feitas em usuários, grupos ou aplicativos no diretório. Esses logs de atividades são frequentemente necessários para conformidade propósitos.
Quando as organizações monitoram os logs de auditoria do Azure AD, podem revelar violações de segurança ou problemas de conformidade que requerem correção.
O assunto do registro de auditoria (usuário, grupo ou aplicativo) é registrado como “Tipo de Atividade”. Além do tipo de atividade, ele também registra a “Categoria”, “Status” e a pessoa que iniciou a atividade, registrada como “Iniciada por (ator)”.
Ao abrir um registro de auditoria, ele possui três abas: “Atividade”, “Alvo(s)” e “Propriedades Modificadas”.
A aba Atividade exibe o “Tipo de Atividade”, que registra se a alteração foi feita em um grupo, usuário ou aplicativo. Além disso, a aba registra a categoria do registro e seu status.
Também registra as informações de “Iniciada por (ator)”, que incluem o usuário que fez as alterações, o endereço IP e o UPN do usuário.
A aba “Alvo(s)” registra detalhes do objeto modificado. Se disponível, registra o nome do objeto, nome de exibição, ID e UPN.
Por fim, a aba “Propriedades Modificadas” mostra as propriedades do objeto modificado, incluindo os valores antigos e novos.
Compreensão dos Logs de Provisionamento do Azure Active Directory
O Azure Active Directory integra-se com aplicações de terceiros que provisionam utilizadores no diretório. Regista as suas atividades em registos de provisionamento para os administradores de TI resolverem problemas ou acompanharem as alterações que estas aplicações fazem.
Em relação aos registos, os registos de provisionamento acompanham informações como utilizadores criados com sucesso ou modificados por um serviço de terceiros como o ServiceNow. Além disso, acompanha as alterações de grupo e qual serviço fez a alteração.
Estes registos ajudam com informações de segurança, auditoria e conformidade.
Compreensão dos Relatórios “Utilização e Insights” do Azure AD
Os relatórios de “uso e insights” são um repositório central onde o Azure AD registra as atividades de entrada de outras aplicações do Microsoft 365. É um local único onde as atividades de entrada são visualizadas.
A página registra entradas bem-sucedidas e falhas, o número de cada uma e a taxa de sucesso. Não apenas isso, mas também exibe um link para visualizar a atividade de entrada para cada aplicação.
Como mostrado na captura de tela acima, a página de “uso e insights” fornece informações sobre as aplicações mais usadas em uma organização, aplicações com a menor taxa de sucesso de entrada e os principais erros de entrada.
Ao clicar no link “visualizar atividade de entrada” de uma aplicação, são exibidos erros de entrada. Além disso, a página de detalhes exibe os códigos de erro, ocorrências e a última data em que o erro ocorreu.
Antes de prosseguir a partir de “uso & insights”, quero destacar outros relatórios críticos aqui. Anteriormente, mencionei que os registros de entrada rastreiam as entradas de principal de serviço.
Essa informação está disponível em “uso & insights” como “Atividade de entrada de principal de serviço (Pré-visualização).” Ao clicar, são exibidos os principais de serviço que o Azure Active Directory autenticou.
Este relatório inclui o nome do principal de serviço, a última vez que ele entrou e um link para “ver mais detalhes”.
Antes de chegarmos a isso, gostaria de mencionar outros registros valiosos na página de “uso & insights”, começando com “Atividades dos métodos de autenticação.”
Os registros de “atividades de métodos de autenticação” registram os métodos de autenticação que os usuários em uma organização usam para se registrar no Azure AD.
A página possui 2 abas: Registro e Uso. A aba de Registro registra os usuários inscritos nos métodos de autenticação disponíveis.
Por outro lado, a aba de Uso detalha como os métodos de autenticação foram utilizados.
O último registro que você precisa em sua caixa de ferramentas é o relatório “Atividade de credencial de aplicativo (Visualização)”. Este relatório fornece a última data em que uma credencial de aplicativo foi utilizada.
Além disso, este relatório registra o ID do aplicativo, o tipo de certificado e um link para visualizar os detalhes do registro.
Também leia Usar Relatórios de Usuários do Office 365
Monitore e Analise a Atividade do Azure AD com Logs de Segurança e Auditoria do Azure AD
Nesta seção, faça login no portal do Azure via portal.azure.com. Em seguida, procure e abra “Azure Active Directory”.
Usando Logs de Login para Monitorar e Analisar Atividades do Usuário
Para acessar os logs de entrada, abra-o a partir do menu Monitor do portal do Azure Active Directory.
Após abrir os logs de entrada do Azure AD, personalize as colunas de acordo com suas necessidades.
Em seguida, marque as colunas que você precisa no menu “Colunas” e desmarque as que você não precisa. Recomendamos verificar as colunas na minha captura de tela abaixo.
Adicione filtros ao log após definir as colunas de sua preferência para exibir as informações que deseja analisar.
Para adicionar um filtro, clique em “Adicionar filtros”, selecione um filtro e clique em Aplicar. Repita isso para quantos filtros você precisar.
A seguir, clique em um filtro e adicione uma condição. Na captura de tela abaixo, filtrei meus logs de entrada para retornar apenas logs com usuários contendo “victor”.
Esse filtro reduziu o número de logs para o que eu quero visualizar. Dependendo do que estamos solucionando, adicionamos filtros adicionais.
Ao abrir uma entrada de log, são fornecidos relatórios detalhados sobre ela. A aba “Informações básicas” revela informações críticas sobre o login, como a data, “Requisito de autenticação”, informações sobre o usuário, o aplicativo acessado e a ferramenta de Diagnóstico de Entrada.
A ferramenta de diagnóstico de login é usada para realizar soluções de problemas adicionais relacionados ao login e obter ações recomendadas para corrigir problemas.
A entrada de log tem outras abas.
Bem, a aba “Location” registra a localização e o endereço IP de onde o usuário tentou autenticação.
A aba “Device info” também registra o sistema operacional do usuário, o navegador e se o dispositivo é compatível.
Finalmente, use as informações nas abas “Acesso Condicional” e “Somente Relatório” para visualizar o acesso condicional e outras políticas que podem ou não ter sido aplicadas ao login.
Usando os Logs de Auditoria do Azure AD para Analisar Atividades de Usuários
Para abrir o log de auditoria, clique nele no menu do Azure Active Directory.
Em seguida, siga as etapas descritas no último subseção para personalizar a coluna de acordo com suas necessidades.
Semelhante aos registros de login, os logs de auditoria têm capacidades de filtragem. Felizmente, a Microsoft adiciona as condições de filtragem – Serviço, Atividade e Categoria – que você mais precisa.
No entanto, o log de auditoria fornece a opção de adicionar filtros personalizados. Para adicionar um filtro, clique em “Adicionar filtros”, selecione um filtro e clique em Aplicar.
Uma vez que você adicionou um filtro, ele é exibido e pode ser usado para determinar os resultados exibidos pelo log de auditoria. Na captura de tela abaixo, eu filtrei o log por Data e Iniciado por (ator).
O próximo passo é aprofundar clicando em uma entrada. Uma vez que a entrada do log é aberta, revise as informações nas abas de Atividade, Destino(s) e “Propriedades Modificadas”.
Siga os passos nas duas últimas subseções e as informações nas seções anteriores para configurar, analisar e monitorar os logs de provisionamento e os relatórios de “Uso e insights”.
Analisar Logs de Segurança do Azure AD: Conclusão da Atividade de Auditoria e Monitoramento do Azure AD
Monitorar e analisar logs de auditoria é tão crucial quanto configurar a Proteção de Identidade do Azure, Acesso Condicional, Gerenciamento de Identidade Privilegiada e outros recursos de segurança. Ao analisar os logs no Azure Active Directory, os administradores de TI detectam e mitigam proativamente possíveis incidentes de segurança.
Felizmente, o Azure AD possui todos os logs necessários para alcançar esse objetivo. Especificamente, ele oferece às organizações logs de entrada, logs de entrada (pré-visualização) e logs de auditoria.
Além disso, essa robusta ferramenta de gerenciamento de identidade na nuvem também apresenta logs de provisionamento e relatórios de “uso e insights”. Esses logs fornecem vários dados de registro para ajudar a determinar a saúde de segurança de uma infraestrutura do Azure AD.
Para ajudar as organizações a utilizar os logs de forma eficaz, este artigo explica os dados que os logs do Azure AD fornecem e como usá-los para monitorar e analisar a postura de segurança do Azure AD.
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/