Neste tópico, mostramos como ativar e acessar os registros de auditoria do Microsoft AD gerenciado em um domínio. Para informações sobre os registros de auditoria do Cloud para o Microsoft AD gerenciado, consulte Registro de auditoria do Microsoft AD gerenciado.
Ativar os registros de auditoria do Microsoft AD gerenciado
É possível ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizando um domínio existente.
Na criação do domínio
Para ativar os registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o comando da CLI gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Atualizar domínio
Para atualizar um domínio e ativar os registros de auditoria do Microsoft AD gerenciado, conclua o etapas a seguir.
Console
- Acesse o Microsoft AD gerenciado.
no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer ativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Ativado.
gcloud
Execute o comando da CLI gcloud a seguir.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar o que é registrado, use exclusões de registros.
Os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os valores do Cloud Logging.
Desativar os registros de auditoria do Microsoft AD gerenciado
Para desativar os registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.
Console
- Acesse o Microsoft AD gerenciado.
no console do Google Cloud.
Acessar a página Microsoft AD gerenciado - Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer desativar os registros de auditoria.
- Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
- No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Desativado.
gcloud
Execute o comando da CLI gcloud a seguir.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificar o status da geração de registros
Para verificar se a geração de registros está ativada ou desativada, conclua as etapas a seguir e execute o comando da CLI gcloud abaixo.
gcloud active-directory domains describe DOMAIN_NAME
Na resposta, verifique o valor do campo auditLogsEnabled.
Ver registros
Os registros de auditoria do Microsoft AD gerenciado estão disponíveis apenas para domínios que têm a coleta de registros ativada.
Para acessar os registros de auditoria do Microsoft AD gerenciado, é necessário ter a
permissão roles/logging.viewer do Identity and Access Management (IAM). Saiba mais sobre
como conceder permissões.
Para acessar os registros de auditoria do Microsoft AD gerenciado do seu domínio, conclua o etapas a seguir.
Explorador de registros
- Acesse o
Análise de registros
no console do Google Cloud.
Acessar a página Explorador de registros No Criador de consultas, digite os seguintes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Executar filtro.
Saiba mais sobre o Explorador de registros.
Explorador de registros
- Acesse a página do Explorador de registros no console do Google Cloud.
Acessar a página Explorador de registros - Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
Na caixa de texto de filtro avançado, insira os seguintes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.
jsonPayload.ID=EVENT_ID
Selecione Enviar filtro.
Saiba mais sobre o Explorador de registros.
gcloud
Execute o comando da CLI gcloud a seguir.
gcloud logging read FILTER
Em que FILTER é uma expressão que identifica um conjunto de entradas de registro.
Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as
sinalizações --folder, --billing-account ou --organization.
Para ler todos os registros do domínio, execute o comando a seguir.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Saiba como
ler entradas de registro com a CLI gcloud
e o comando gcloud logging read.
Interpretar registros
Cada log_entry contém os campos a seguir.
- O
log_nameé o log de eventos em que este evento é registrado. - O
provider_nameé o provedor de evento que publicou o evento. - O
versioné o número da versão do evento. - O
event_idé o identificador do evento. - O
machine_nameé o computador em que o evento foi registrado; - O
xmlé a representação XML do evento. Está em conformidade com o esquema de eventos. - O
messageé uma representação legível do evento.
IDs de evento exportados
Na tabela a seguir, mostramos os IDs de evento que são exportados.
| Categoria de auditoria | IDs de evento |
|---|---|
| Segurança do login da conta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Segurança do gerenciamento da conta | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Segurança de acesso ao DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Segurança de login-logoff | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Segurança de acesso a objetos | 4661, 5145 |
| Segurança da mudança na política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Segurança do uso de privilégios | 4985 |
| Segurança do sistema | 4612, 4621 |
| Autenticação NTLM | 8004 |
Se você encontrar IDs de eventos ausentes e não os vir listados na Tabela de IDs de eventos exportados, use o Issue Tracker para registrar um bug. Use o componente Rastreadores públicos > Cloud Platform > Identidade e segurança > Serviço gerenciado para o Microsoft AD.
Exportar registros
É possível exportar os registros de auditoria do Microsoft AD gerenciado para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.
Também é possível exportar registros para requisitos de conformidade, análise de segurança e acesso e para SIEMs externas, como
SIEMs como Splunk e o Datadog.