Este tópico mostra-lhe como ativar e ver os registos de auditoria do Microsoft AD gerido para um domínio. Para ver informações sobre os registos de auditoria do Cloud para o Microsoft AD gerido, consulte o artigo Registo de auditoria do Microsoft AD gerido.
Ative os registos de auditoria do Microsoft AD gerido
Pode ativar os registos de auditoria do Microsoft AD gerido durante a criação do domínio ou atualizando um domínio existente.
Na criação do domínio
Para ativar os registos de auditoria do Microsoft AD gerido durante a criação do domínio, execute o seguinte comando da CLI gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Atualize o domínio existente
Para atualizar um domínio de modo a ativar os registos de auditoria do Microsoft AD gerido, conclua os passos seguintes.
Consola
- Aceda à página Managed Microsoft AD na Google Cloud consola.
Aceda à página do Microsoft AD gerido - Na página Managed Microsoft AD, na lista de instâncias, selecione o domínio onde quer ativar os registos de auditoria.
- Na página de detalhes do domínio, selecione Ver registos de auditoria e, de seguida, selecione Configurar registos no menu pendente.
- No painel Configurar registos de auditoria, em Ativar/desativar registos, ative os registos.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar o que é registado, pode usar exclusões de registos.
Tenha em atenção que os registos armazenados no seu projeto são cobrados. Saiba mais sobre os preços do Cloud Logging.
Desative os registos de auditoria do Microsoft AD gerido
Para desativar os registos de auditoria do Microsoft AD gerido, conclua os passos seguintes.
Consola
- Aceda à página Managed Microsoft AD na Google Cloud consola.
Aceda à página do Microsoft AD gerido - Na página Managed Microsoft AD, na lista de instâncias, selecione o domínio onde quer desativar os registos de auditoria.
- Na página de detalhes do domínio, selecione Ver registos de auditoria e, de seguida, selecione Configurar registos no menu pendente.
- No painel Configurar registos de auditoria, em Ativar/desativar registos, ative/desative os registos para Desativado.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Valide o estado do registo
Para verificar se o registo está ativado ou desativado, conclua os passos seguintes e execute o seguinte comando da CLI gcloud.
gcloud active-directory domains describe DOMAIN_NAME
Na resposta, valide o valor do campo auditLogsEnabled.
Ver registos
Os registos de auditoria do Microsoft AD gerido só estão disponíveis para domínios que estão ativados para recolher registos.
Para ver os registos de auditoria do Microsoft AD gerido, tem de ter a autorização de
roles/logging.viewer gestão de identidade e de acesso (IAM). Saiba como
conceder autorizações.
Para ver os registos de auditoria do Microsoft AD gerido para o seu domínio, conclua os passos seguintes.
Logs Explorer
- Aceda à página
Explorador de registos
na Google Cloud consola.
Aceda à página Explorador de registos No criador de consultas, introduza os seguintes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de eventos, adicione a seguinte linha ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Executar filtro.
Saiba mais sobre o Explorador de registos.
Logs Explorer
- Aceda à página
Explorador de registos
na Google Cloud consola.
Aceda à página Explorador de registos - Na caixa de texto do filtro, clique em e, de seguida, selecione Converter em filtro avançado.
Na caixa de texto do filtro avançado, introduza os seguintes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de eventos, adicione a seguinte linha ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Enviar filtro.
Saiba mais sobre o Explorador de registos.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud logging read FILTER
Onde FILTER é uma expressão para identificar um conjunto de entradas de registo.
Para ler entradas de registo em pastas, contas de faturação ou organizações, adicione as flags
--folder, --billing-account ou --organization.
Para ler todos os registos do seu domínio, pode executar o seguinte comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Saiba como
ler entradas de registo com a CLI gcloud
e o comando gcloud logging read.
Interprete registos
Cada log_entry contém os seguintes campos.
- O
log_nameé o registo de eventos onde este evento é registado. - O
provider_nameé o fornecedor de eventos que publicou este evento. - O elemento
versioné o número da versão do evento. - O
event_idé o identificador deste evento. - O
machine_nameé o computador no qual este evento foi registado. - O
xmlé a representação XML do evento. Está em conformidade com o esquema de eventos. - O elemento
messageé uma representação legível do evento.
IDs de eventos exportados
A tabela seguinte mostra os IDs de eventos que são exportados.
| Categoria de auditoria | IDs de eventos |
|---|---|
| Segurança de início de sessão na conta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Segurança da gestão de contas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Segurança de acesso do DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Segurança de início e fim de sessão | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Segurança de acesso a objetos | 4661, 5145 |
| Segurança de alteração da política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Segurança de utilização de privilégios | 4985 |
| Segurança do sistema | 4612, 4621 |
| Autenticação NTLM | 8004 |
Se encontrar IDs de eventos em falta e não os vir listados na tabela de IDs de eventos exportados, pode usar o Issue Tracker para registar um erro. Use o componente Rastreios públicos > Plataforma Cloud > Identidade e segurança > Serviço gerido para o Microsoft AD.
Exportar registos
Pode exportar registos de auditoria do Microsoft AD gerido para o Pub/Sub, o BigQuery ou o Cloud Storage. Saiba como exportar registos para outros Google Cloud serviços.
Também pode exportar registos para requisitos de conformidade, estatísticas de segurança e acesso e para
SIEMs, como o Splunk e o Datadog.