Você pode usar o conector integrado do Microsoft Sentinel para coletar dados do Azure Active Directory e transmitir para o Microsoft Sentinel. O conector permite transmitir os seguintes tipos de log:
- Sign-in logs, que contêm informações sobre as conexões interativas do usuário nas quais um usuário fornece um fator de autenticação.O conector do Azure AD agora inclui as três seguintes categorias adicionais de logs de entrada.
- Non-interactive user sign-in logs, que contêm informações sobre as logins executadas por um cliente em nome de um usuário sem nenhuma interação ou fator de autenticação do usuário.
- Service principal sign-in logs, que contêm informações sobre os logins por aplicativos e entidades de serviço que não envolvem nenhum usuário. Nessas entradas, o aplicativo ou serviço fornece uma credencial em nome de si para autenticar ou acessar recursos.
- Managed Identity sign-in logs, que contêm informações sobre os logins pelos recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure?
- Audit logs, fornece informações da atividade do sistema sobre o gerenciamento de usuários e grupos, além de aplicativos gerenciados e atividades de diretório.
- Provisioning logs, que contêm informações de atividade do sistema sobre usuários, grupos e funções provisionados pelo serviço de provisionamento do Azure AD.
Pré-requisitos
- Uma licença P1 ou P2 do Azure Active Directory é necessária para ingerir logs de entrada no Microsoft Sentinel. Qualquer licença do Azure AD (gratuito/O365/P1/P2) é suficiente para ingerir os outros tipos de log. Encargos adicionais por gigabyte podem ser aplicados ao Azure Monitor (Log Analytics) e ao Microsoft Sentinel.
- Deve ser atribuída ao usuário a função de Microsoft Sentinel Contributor no workspace.
- Ao seu usuário, devem ser atribuídas as funções de Global Administrator ou de Security Administrator no tenant do qual você deseja transmitir os logs.
- Seu usuário deve ter permissões de leitura e gravação em relação às configurações de diagnóstico do Azure AD para poder ver o status da conexão.
Passo a passo
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Azure Active Directory.
03 – Na tela Diretório Padrão | Overview em Manage clique em Licenses.
04 – Na tela Licenses | Overview clique em All products.
05 – Na tela Licenses | All products percebam que já temos a licença Azure Active Directory Premium P2 associada ao tenant.
06 – No portal do Azure pesquise por Microsoft Sentinel.
07 – Na tela Microsoft Sentinel selecione o workspace-sentinel.
08 – Na tela Microsoft Sentinel | Overview em Configuration clique em Data connectors.
09 – Na tela Microsoft Sentinel | Data connectors selecione Azure Active Directory, a tela Azure Active Directory será aberta clique em Open connector page.
10 – Na tela Azure Active Directory em Configuration selecione Sign-In Logs, Audit Logs, Non-Interactive User Sign-In Log (Preview), Service Principal Sign-In Logs (Preview), Managed Identity Sign-In Logs (Preview), Provisioning Logs (Preview), User Risk Events (Preview), Risky Users (Preview), em seguida clique em Apply Changes.
11 – Como podemos observar o Data Connector foi configurado, clique em Next steps, na opção Next steps temos algumas informações sobre workbooks associados ao Azure Active Directory, query de exemplo e Relevant analytics templates, clique em Close.
12 – Na tela Microsoft Sentinel | Overview percebam que temos SIGNINLOGS e AADNONINTERACTIVEUSERSIGNINLOGS, clique em SIGNINLOGS.
16 – A tela Logs será aberta e a query com todos os eventos de SigninLogs será executada.
17 – De volta a tela Microsoft Sentinel | Overview em Threat management clique em Workbooks.
18 – Na tela Microsoft Sentinel | Workbooks pesquise por Azure AD, percebam que temos alguns workbooks para Azure AD, selecione o Azure AD Sign-in logs e clique em View temaplte.
19 – Na tela Azure AD Sign-in logs temos as informações relacionadas ao login dos usuários no portal do Azure.
20 – De volta a tela Microsoft Sentinel | Workbooks também podemos salvar o workbook, clique em Save, selecione a região e clique em OK.
21 – Como podemos observar o workbook foi salvo, podemos visualizar o template clicando em View template.
22 – No resource group que o Microsoft Sentinel foi criado podemos visualizar o workbook Azure AD Sign-in logs que salvamos.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.