Configurar o registro de auditoria de um domínio

Neste tópico, mostramos como ativar e acessar os registros de auditoria do Microsoft AD gerenciado em um domínio. Para informações sobre os registros de auditoria do Cloud para o Microsoft AD gerenciado, consulte Registro de auditoria do Microsoft AD gerenciado.

Ativar os registros de auditoria do Microsoft AD gerenciado

É possível ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizando um domínio existente.

Na criação do domínio

Para ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o comando da CLI gcloud.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Atualizar domínio

Para atualizar um domínio e ativar os registros de auditoria do Microsoft AD gerenciado, conclua o etapas a seguir.

Console

  1. Acesse o Microsoft AD gerenciado. no console do Google Cloud.
    Acessar a página Microsoft AD gerenciado
  2. Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer ativar os registros de auditoria.
  3. Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
  4. No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Ativado.

gcloud

Execute o comando da CLI gcloud a seguir.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Para limitar o que é registrado, use exclusões de registros.

Os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os valores do Cloud Logging.

Desativar os registros de auditoria do Microsoft AD gerenciado

Para desativar os registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.

Console

  1. Acesse o Microsoft AD gerenciado. no console do Google Cloud.
    Acessar a página Microsoft AD gerenciado
  2. Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer desativar os registros de auditoria.
  3. Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
  4. No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Desativado.

gcloud

Execute o comando da CLI gcloud a seguir.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Verificar o status da geração de registros

Para verificar se a geração de registros está ativada ou desativada, conclua as etapas a seguir e execute o comando da CLI gcloud abaixo.

gcloud active-directory domains describe DOMAIN_NAME

Na resposta, verifique o valor do campo auditLogsEnabled.

Ver registros

Os registros de auditoria do Microsoft AD gerenciado estão disponíveis apenas para domínios que têm a coleta de registros ativada.

Para acessar os registros de auditoria do Microsoft AD gerenciado, é necessário ter a permissão roles/logging.viewer do Identity and Access Management (IAM). Saiba mais sobre como conceder permissões.

Para acessar os registros de auditoria do Microsoft AD gerenciado do seu domínio, conclua o etapas a seguir.

Explorador de registros

  1. Acesse o Análise de registros no console do Google Cloud.
    Acessar a página Explorador de registros
  2. No Criador de consultas, digite os seguintes valores:

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  3. Selecione Executar filtro.

Saiba mais sobre o Explorador de registros.

Explorador de registros

  1. Acesse a página do Explorador de registros no console do Google Cloud.
    Acessar a página Explorador de registros
  2. Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
  3. Na caixa de texto de filtro avançado, insira os seguintes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  4. Selecione Enviar filtro.

Saiba mais sobre o Explorador de registros.

gcloud

Execute o comando da CLI gcloud a seguir.

gcloud logging read FILTER

Em que FILTER é uma expressão que identifica um conjunto de entradas de registro. Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as sinalizações --folder, --billing-account ou --organization.

Para ler todos os registros do domínio, execute o comando a seguir.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Saiba como ler entradas de registro com a CLI gcloud e o comando gcloud logging read.

Interpretar registros

Cada log_entry contém os campos a seguir.

  • O log_name é o log de eventos em que este evento é registrado.
  • O provider_name é o provedor de evento que publicou o evento.
  • O version é o número da versão do evento.
  • O event_id é o identificador do evento.
  • O machine_name é o computador em que o evento foi registrado;
  • O xml é a representação XML do evento. Está em conformidade com o esquema de eventos.
  • O message é uma representação legível do evento.

IDs de evento exportados

Na tabela a seguir, mostramos os IDs de evento que são exportados.

Tabela 1. IDs de evento exportados.
Categoria de auditoria IDs de evento
Segurança do login da conta 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777
Segurança do gerenciamento da conta 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Segurança de acesso ao DS 4662, 5136, 5137, 5138, 5139, 5141
Segurança de login-logoff 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964
Segurança de acesso a objetos 4661, 5145
Segurança da mudança na política 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Segurança do uso de privilégios 4985
Segurança do sistema 4612, 4621
Autenticação NTLM 8004

Se você encontrar IDs de eventos ausentes e não os vir listados na Tabela de IDs de eventos exportados, use o Issue Tracker para registrar um bug. Use o componente Rastreadores públicos > Cloud Platform > Identidade e segurança > Serviço gerenciado para o Microsoft AD.

Exportar registros

É possível exportar os registros de auditoria do Microsoft AD gerenciado para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.

Também é possível exportar registros para requisitos de conformidade, análise de segurança e acesso e para SIEMs externas, como

SIEMs como Splunk e o Datadog.