Neste tópico, mostramos como ativar e ver os registros de auditoria do Microsoft AD gerenciado para um domínio. Saiba mais sobre os Registros de auditoria do Cloud para o Microsoft AD gerenciado em Geração de registros de auditoria do Microsoft AD gerenciado.
Ativar os registros de auditoria do Microsoft AD gerenciados
É possível ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizando um domínio atual.
Na criação do domínio
Para ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o seguinte comando da CLI gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Atualizar domínio
Para atualizar um domínio e ativar os registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.
Console
- Acesse a página Microsoft AD gerenciado
no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer ativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Ativado.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar o que é registrado, use exclusões de registros.
Os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os valores do Cloud Logging.
Desativar os registros de auditoria do Microsoft AD gerenciado
Para desativar os registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.
Console
- Acesse a página Microsoft AD gerenciado
no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer desativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Desativado.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificar o status da geração de registros
Para verificar se a geração de registros está ativada ou desativada, conclua as etapas a seguir e execute o comando da CLI gcloud a seguir.
gcloud active-directory domains describe DOMAIN_NAME
Na resposta, verifique o valor do campo auditLogsEnabled.
Ver registros
Os registros de auditoria do Microsoft AD gerenciados estão disponíveis apenas para domínios ativados para coletar registros.
Para ver os registros de auditoria do Microsoft AD gerenciado, você precisa ter a
permissão roles/logging.viewer do Identity and Access Management (IAM). Saiba mais sobre
como conceder permissões.
Para ver os registros de auditoria do Microsoft AD gerenciado para seu domínio, conclua as etapas a seguir.
Análise de registros
- Acesse a página
Análise de registros
no console do Google Cloud.
Acessar a página Explorador de registros No Criador de consultas, digite os seguintes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Executar filtro.
Saiba mais sobre o Explorador de registros.
Análise de registros
- Acesse a página
Análise de registros
no console do Google Cloud.
Acessar a página Explorador de registros - Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
Na caixa de texto de filtro avançado, insira os seguintes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Enviar filtro.
Saiba mais sobre o Explorador de registros.
gcloud
Execute o seguinte comando da CLI gcloud.
gcloud logging read FILTER
Em que FILTER é uma expressão que identifica um conjunto de entradas de registro.
Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as
sinalizações --folder, --billing-account ou --organization.
Para ler todos os registros do domínio, execute o comando a seguir.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Saiba mais sobre
como ler entradas de registro com a CLI gcloud
e o comando gcloud logging read.
Interpretar registros
Cada log_entry contém os campos a seguir.
- O
log_nameé o log de eventos em que este evento é registrado. - O
provider_nameé o provedor de evento que publicou o evento. - O
versioné o número da versão do evento. - O
event_idé o identificador do evento. - O
machine_nameé o computador em que o evento foi registrado; - O
xmlé a representação XML do evento. Está em conformidade com o esquema de eventos. - O
messageé uma representação legível do evento.
IDs de evento exportados
Na tabela a seguir, mostramos os IDs de evento que são exportados.
| Categoria de auditoria | IDs de evento |
|---|---|
| Segurança do login da conta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776 e 4777 |
| Segurança do gerenciamento da conta | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Segurança de acesso ao DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Segurança de login-logoff | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Segurança de acesso a objetos | 4661, 5145 |
| Segurança da mudança na política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Segurança do uso de privilégios | 4985 |
| Segurança do sistema | 4612, 4621 |
| Autenticação de NTLM | 8004 |
Se você encontrar IDs de eventos ausentes e não os vir listados na Tabela de IDs de eventos exportados, use o Issue Tracker para registrar um bug. Use o componente Rastreadores públicos > Cloud Platform > Identidade e segurança > Serviço gerenciado para o Microsoft AD.
Exportar registros
É possível exportar os registros de auditoria do Microsoft AD gerenciado para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.
Também é possível exportar registros de requisitos de conformidade, análise de segurança e acesso e para SIEMs externos, como Splunk e Datadog.