Neste tópico, mostramos como ativar e visualizar registros de auditoria do Microsoft AD gerenciado para um domínio. Para informações sobre os registros de auditoria do Cloud para o Microsoft AD gerenciado, consulte Registro de auditoria do Microsoft AD gerenciado.
Ativar os registros de auditoria do Microsoft AD gerenciado
É possível ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizando um domínio existente.
Na criação do domínio
Para ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o seguinte comando da CLI gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Atualizar domínio
Para atualizar um domínio e ativar os registros de auditoria do Microsoft AD gerenciado, siga estas etapas.
Console
- Acesse a página Microsoft AD gerenciado no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer ativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Ativado.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar o que é registrado, use exclusões de registros.
Os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os valores do Cloud Logging.
Desativar registros de auditoria do Microsoft AD gerenciado
Para desativar os registros de auditoria do Microsoft AD gerenciado, siga estas etapas.
Console
- Acesse a página Microsoft AD gerenciado
no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer desativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Desativado.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificar o status da geração de registros
Para verificar se a geração de registros está ativada ou desativada, conclua as etapas a seguir e execute o comando da CLI gcloud abaixo.
gcloud active-directory domains describe DOMAIN_NAME
Na resposta, verifique o valor do campo auditLogsEnabled.
Ver registros
Os registros de auditoria do Microsoft AD gerenciado estão disponíveis apenas para domínios que têm a coleta de registros ativada.
Para acessar os registros de auditoria do Microsoft AD gerenciado, é necessário ter a
permissão roles/logging.viewer do Identity and Access Management (IAM). Saiba mais sobre
como conceder permissões.
Para conferir os registros de auditoria do Microsoft AD gerenciado de um domínio, siga estas etapas.
Explorador de registros
- Acesse a página do Explorador de registros no console do Google Cloud.
Acessar a página Explorador de registros No Criador de consultas, digite os seguintes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Executar filtro.
Saiba mais sobre o Explorador de registros.
Explorador de registros
- Acesse a página do Explorador de registros no console do Google Cloud.
Acessar a página Explorador de registros - Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
Na caixa de texto de filtro avançado, insira os seguintes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Enviar filtro.
Saiba mais sobre o Explorador de registros.
gcloud
Execute o comando da CLI gcloud a seguir.
gcloud logging read FILTER
Em que FILTER é uma expressão que identifica um conjunto de entradas de registro.
Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as
sinalizações --folder, --billing-account ou --organization.
Para ler todos os registros do domínio, execute o comando a seguir.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Saiba como
ler entradas de registro com a CLI gcloud
e o comando gcloud logging read.
Interpretar registros
Cada log_entry contém os campos a seguir.
- O
log_nameé o log de eventos em que este evento é registrado. - O
provider_nameé o provedor de evento que publicou o evento. - O
versioné o número da versão do evento. - O
event_idé o identificador do evento. - O
machine_nameé o computador em que o evento foi registrado; - O
xmlé a representação XML do evento. Está em conformidade com o esquema de eventos. - O
messageé uma representação legível do evento.
IDs de evento exportados
Na tabela a seguir, mostramos os IDs de evento que são exportados.
| Categoria de auditoria | IDs de evento |
|---|---|
| Segurança do login da conta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Segurança do gerenciamento da conta | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Segurança de acesso ao DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Segurança de login-logoff | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Segurança de acesso a objetos | 4661, 5145 |
| Segurança da mudança na política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Segurança do uso de privilégios | 4985 |
| Segurança do sistema | 4612, 4621 |
| Autenticação NTLM | 8004 |
Se você encontrar IDs de eventos ausentes e não os vir listados na Tabela de IDs de eventos exportados, use o Issue Tracker para registrar um bug. Use o componente Rastreadores públicos > Cloud Platform > Identidade e segurança > Serviço gerenciado para o Microsoft AD.
Exportar registros
É possível exportar os registros de auditoria do Microsoft AD gerenciado para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.
Também é possível exportar registros para requisitos de conformidade, análise de segurança e acesso e para SIEMs externas, como
SIEMs, como o Splunk e o Datadog.