Coletar registros de atividades do Microsoft Azure e do Entra ID

Compatível com:

Este documento explica como coletar registros de atividade do Microsoft Azure e do Entra ID configurando feeds do Google Security Operations usando o armazenamento de Blobs do Microsoft Azure.

Os registros de atividades do Azure fornecem insights sobre operações no nível da assinatura realizadas em recursos do Azure, como criação de contas de armazenamento, exclusão de hubs de eventos ou modificação de máquinas virtuais. Os registros do Microsoft Entra ID (antigo Azure Active Directory) capturam eventos de gerenciamento de identidade e acesso, incluindo logins de usuários, registros de auditoria, atividades de provisionamento e detecções de risco de segurança.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Acesso privilegiado ao portal do Microsoft Azure com permissões para:
    • Criar contas de armazenamento
    • Configurar as configurações de diagnóstico para o Azure Monitor e o Entra ID
    • Gerenciar chaves de acesso
  • Função de administrador de segurança ou superior no Entra ID (para configurações de diagnóstico do Entra ID)

Configurar a conta de armazenamento do Azure

Criar conta de armazenamento

  1. No portal do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Assinatura Selecione sua assinatura do Azure
    Grupo de recursos Selecionar ou criar
    Nome da conta de armazenamento Insira um nome exclusivo (por exemplo, secops-azure-logs).
    Região Selecione a região (por exemplo, East US).
    Desempenho Padrão (recomendado)
    Redundância GRS (armazenamento com redundância geográfica) ou LRS (armazenamento com redundância local)

  4. Clique em Revisar + criar.

  5. Revise a visão geral da conta e clique em Criar.

  6. Aguarde até que a implantação seja concluída.

Receber credenciais da conta de armazenamento

  1. Acesse a Conta de armazenamento que você acabou de criar.
  2. Na navegação à esquerda, selecione Chaves de acesso em Segurança e rede.
  3. Clique em Mostrar chaves.
  4. Copie e salve o seguinte para uso posterior:
    • Nome da conta de armazenamento: o nome da sua conta de armazenamento (por exemplo, secops-azure-logs)
    • Chave 1 ou Chave 2: a chave de acesso compartilhado (uma string aleatória de 512 bits na codificação base-64).

Receber endpoint do serviço de blob

  1. Na mesma conta de armazenamento, selecione Endpoints na navegação à esquerda.
  2. Copie e salve o URL do endpoint do serviço de blob.
    • Exemplo: https://secops-azure-logs.blob.core.windows.net/

Configurar as configurações de diagnóstico dos registros de atividades do Azure

Para exportar os registros de atividades do Azure para a conta de armazenamento:

  1. No portal do Azure, pesquise Monitor.
  2. Clique em Registro de atividades na navegação à esquerda.
  3. Clique em Exportar registros de atividade na parte de cima da janela.
  4. Clique em Adicionar configuração de diagnóstico.
  5. Informe os seguintes detalhes de configuração:
    • Nome da configuração de diagnóstico: insira um nome descritivo (por exemplo, activity-logs-to-secops).
    • Na seção Registros, selecione as seguintes categorias:
      • Administrativo
      • Segurança
      • Service Health
      • Alerta
      • Recomendação
      • Política
      • Escalonamento automático
      • Resource Health
    • Na seção Detalhes do destino, marque a caixa de seleção Arquivar em uma conta de armazenamento.
    • Assinatura: selecione a assinatura que contém sua conta de armazenamento.
    • Conta de armazenamento: selecione a conta de armazenamento criada anteriormente (por exemplo, secops-azure-logs).
  6. Clique em Salvar.

Configurar as configurações de diagnóstico do Entra ID

Para exportar os registros do Entra ID para a conta de armazenamento:

  1. No portal do Azure, pesquise ID do Microsoft Entra ou Azure Active Directory.
  2. No painel de navegação à esquerda, acesse Monitoramento e integridade > Configurações de diagnóstico.
  3. Clique em Adicionar configuração de diagnóstico.
  4. Informe os seguintes detalhes de configuração:
    • Nome da configuração de diagnóstico: insira um nome descritivo (por exemplo, entraid-logs-to-secops).
    • Na seção Registros, selecione as categorias de registros que você quer exportar:
      • SignInLogs: logins interativos de usuários
      • NonInteractiveUserSignInLogs: logins de usuários não interativos (principais de serviço, identidades gerenciadas agindo em nome dos usuários)
      • ServicePrincipalSignInLogs: logins de principais de serviço e aplicativos
      • ManagedIdentitySignInLogs: logins de identidade gerenciada
      • AuditLogs: trilha de auditoria de todas as mudanças no Entra ID (criação de usuários, atribuições de função etc.)
      • ProvisioningLogs: eventos de provisionamento de usuários e grupos.
      • RiskyUsers: usuários sinalizados pelo Identity Protection
      • UserRiskEvents: detecções de risco para contas de usuário
      • MicrosoftGraphActivityLogs: registros de atividade da API Microsoft Graph
    • Na seção Detalhes do destino, marque a caixa de seleção Arquivar em uma conta de armazenamento.
    • Assinatura: selecione a assinatura que contém sua conta de armazenamento.
    • Conta de armazenamento: selecione a conta de armazenamento criada anteriormente (por exemplo, secops-azure-logs).

  5. Clique em Salvar.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu Armazenamento de Blobs do Azure. Você precisa conceder a essa conta de serviço acesso à sua conta de armazenamento.

Receber o e-mail da conta de serviço

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome temporário.
  5. Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
  6. Selecione qualquer tipo de registro (você pode mudar isso depois).

  7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copie esse endereço de e-mail para usar na próxima etapa.

  9. Clique em Cancelar para sair da criação de feeds. Você vai criar os feeds reais mais tarde.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa da função Leitor de dados de blob de armazenamento na sua conta de armazenamento.

  1. No portal do Azure, acesse Contas de armazenamento.
  2. Clique no nome da sua conta de armazenamento (por exemplo, secops-azure-logs).
  3. Acesse a guia Controle de acesso (IAM).
  4. Clique em + Adicionar > Adicionar atribuição de função.
  5. Na guia Papel, pesquise e selecione Leitor de dados de blob do Storage.
  6. Clique em Próxima.
  7. Na guia Membros, clique em + Selecionar membros.
  8. Na caixa de pesquisa, cole o e-mail da conta de serviço do Google SecOps.
  9. Selecione a conta de serviço nos resultados.
  10. Clique em Selecionar.
  11. Clique em Revisar + atribuir.
  12. Revise a atribuição e clique em Revisar + atribuir novamente.

Configurar feeds no Google SecOps

É necessário criar um feed separado para cada tipo de registro e contêiner. A tabela a seguir mostra o mapeamento entre contêineres do Azure e tipos de registros do Google SecOps:

Nome do contêiner Tipo de registro do Chronicle Fonte de dados
insights-activity-logs Atividade do Azure Registros de atividades do Azure
insights-logs-signinlogs Azure AD Entra ID Interactive Sign-ins
insights-logs-noninteractiveusersigninlogs Azure AD Logons não interativos do Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Logons do principal de serviço do Entra ID
insights-logs-managedidentitysigninlogs Azure AD Logins de identidade gerenciada do Entra ID
insights-logs-auditlogs Auditoria do Azure AD Registros de auditoria do Entra ID
insights-logs-provisioninglogs Azure AD Registros de provisionamento do Entra ID
insights-logs-riskyusers Azure AD Usuários de risco do Entra ID
insights-logs-userriskevents Azure AD Eventos de risco do usuário do Entra ID
insights-logs-microsoftgraphactivitylogs Registros de atividades do Microsoft Graph Atividade do Microsoft Graph

Criar feed para os registros de atividades do Azure

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira Azure Activity Logs.
  5. Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
  6. Selecione Atividade do Azure como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure: insira o URL do endpoint do serviço de blobs com o caminho do contêiner:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Substitua secops-azure-logs pelo nome da sua conta de armazenamento do Azure.

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências.
      • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.

      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Chave compartilhada: insira o valor da chave compartilhada (chave de acesso) que você capturou da conta de armazenamento anteriormente.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Criar feeds para registros do Entra ID

Repita as etapas a seguir para cada tipo de registro do Entra ID configurado nas configurações de diagnóstico:

Para registros de login interativos:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira Azure AD Interactive Sign-in Logs.
  5. Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
  6. Selecione Azure AD como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Opção de exclusão de fonte: selecione de acordo com sua preferência.
    • Idade máxima do arquivo: 180 dias (padrão).
    • Chave compartilhada: insira o valor da chave compartilhada.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado.

  9. Clique em Próxima e em Enviar.

Para registros de login não interativos:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Non-interactive Sign-in Logs
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Para registros de login de entidade de serviço:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Service Principal Sign-in Logs
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Para registros de login de identidade gerenciada:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Managed Identity Sign-in Logs
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Para registros de auditoria:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Audit Logs
  • Tipo de registro: Azure AD Audit
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Para registros de provisionamento:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Provisioning Logs
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Para usuários em risco:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD Risky Users
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Para eventos de risco do usuário:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Azure AD User Risk Events
  • Tipo de registro: Azure AD
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Para registros de atividades do Microsoft Graph:

Crie outro feed com as seguintes configurações:

  • Nome do feed: Microsoft Graph Activity Logs
  • Tipo de registro: Microsoft Graph Activity Logs
  • URI do Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.