Fala pessoal tudo bem com vcs!
Neste tutorial, iremos aprender a definir as configurações de diagnóstico do Azure Monitor para encaminhar logs do Azure AD (Active Directory) para uma conta de armazenamento do Azure.
Em algumas organizações, encontramos em sua política de segurança, a necessidade de armazenar os logs por mais tempo, por exemplo, 1 ano, 5 anos, como administradores do ambiente, iremos precisar ajustar o padrão de armazenamento do Azure AD.
Quando o Azure AD inicia a coleção de dados?
| Edição do Azure AD | Início da Coleta |
|---|---|
| Azure AD Premium P1 Azure AD Premium P2 | Quando você se inscrever para uma assinatura |
| AD do Azure Gratuito | Na primeira vez que você abrir o Azure Active Directory ou usar as APIs de relatório |
Se você já tiver dados de atividades com sua licença gratuita, poderá vê-los imediatamente ao atualizar. Se você não tiver nenhum dado, serão necessários até três para os dados serem exibidos nos relatórios depois de atualizar para uma licença premium. Para sinais de segurança, o processo de coleção é iniciado quando você aceita usar a Central do Identity Protection.
Por quanto tempo o Azure AD armazena os dados?
Relatórios de atividades
| Relatório | AD do Azure Gratuito | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|
| Logs de auditoria | Sete dias | 30 dias | 30 dias |
| Entradas | Sete dias | 30 dias | 30 dias |
| Uso do MFA do Azure AD | 30 dias | 30 dias | 30 dias |
É possível manter os dados da atividade de entrada e de auditoria por mais tempo que o período de retenção padrão descrito na tabela anterior, roteando-os para uma conta de armazenamento do Azure usando o Azure Monitor.
Sinais de Segurança
| Relatório | AD do Azure Gratuito | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|
| Usuários de risco | Sem limite | Sem limite | Sem limite |
| Entradas de risco | 7 dias | 30 dias | 90 dias |
Então vamos lá.
1 – No Portal do Azure, pesquise por Azure Active Directory, clique para acessar.
2 – Role o menu lateral até Monitoring, e em seguida clique em Sign-in logs.
3 – Ao clicar em Date:, percebemos que só podemos buscar informações de 30 dias.
4 – Para aumentarmos o período, iremos clicar em Export Data Settings.
5 – Na tela Diagnostic settings, iremos clicar em + Add diagnostic setting.
6 – Agora precisamos configurar nosso ambiente, então iremos seguir os passos;
Diagnostic setting name = De um nome de seu controle
Selecione, Archive to a storage account – Selecione a assinatura e a Storage account
Em Categories – Iremos selecionar o que precisamos e definir a Retention (days)
Obs. Tenha disponível uma conta de armazenamento para habilitar os logs, sugiro ter uma conta específica para logs.
7 – Iremos perceber uma informação:
A retenção só se aplica à conta de armazenamento. A política de retenção varia de 1 a 365 dias. Se você não deseja aplicar nenhuma política de retenção e reter os dados para sempre, defina a retenção (dias) como 0.
💡 Dica
Se mantermos como 0, podemos aplicar o ciclo de vida dos na conta de armazenamento por 1830 dias, assim nossos logs ficarão armazenados por 5 anos.
8 – Definido a configuração podemos clicar em Save.
Conclusão
Neste post, aprendemos a habilitar uma storage para armazenar por maior período os logs do Azure AD, como boa prática, recomendo no mínimo 365 dias de guarda de logs em vez de mantermos o padrão de 7 ou 30 dias, como administradores, teremos um maior período de consulta em caso de necessidade.
Documentação oficial
Retenção de dados do Azure Active Directory – Microsoft Entra | Microsoft Learn
Configurações de diagnóstico no Azure Monitor – Azure Monitor | Microsoft Learn
Seja o primeiro a comentar em "Arquivando logs do Azure AD em uma conta de armazenamento do Azure"