Como usar os registros de auditoria gerenciados do Microsoft AD

Este tópico mostra como ativar e ver os registros de auditoria gerenciados do Microsoft AD. Para informações sobre registros de auditoria do Cloud, consulte Como usar o registro de auditoria do Cloud para o Microsoft AD gerenciado.

Como ativar a geração de registros de auditoria do Microsoft AD gerenciado

É possível ativar o registro de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizar um domínio existente.

Na criação do domínio

Para ativar a geração de registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o seguinte comando da ferramenta gcloud.

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

Atualizar domínio

Para atualizar um domínio para ativar a geração de registros de auditoria do Microsoft AD gerenciado, execute o seguinte comando da ferramenta gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

Para limitar o que é registrado, use exclusões de registros.

Observe que os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os preços do Cloud Logging.

Como desativar a geração de registros de auditoria do Microsoft AD gerenciados

Para desativar a geração de registros de auditoria do Microsoft AD gerenciados, execute o seguinte comando da ferramenta gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Como verificar o status do registro

Para verificar se a geração de registros está ativada ou desativada, execute o comando da ferramenta gcloud a seguir.

gcloud beta active-directory domains describe DOMAIN_NAME

Na resposta, verifique o valor do campo auditLogsEnabled.

Como ver registros

Os registros de auditoria gerenciados do Microsoft AD estão disponíveis apenas para domínios que estão ativados para coletar registros.

Para visualizar os registros de auditoria gerenciados do Microsoft AD, você precisa ter a permissão de roles/logging.viewer gerenciamento de identidade e acesso (IAM, na sigla em inglês). Saiba mais sobre a concessão de permissões.

Para visualizar os registros de auditoria gerenciados do Microsoft AD do seu domínio, conclua as etapas a seguir.

Explorador de registros

  1. Acesse a página Explorador de registros no Console do Cloud.
    Acessar a página "Explorador de registros"
  2. No Criador de consultas, insira os seguintes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a seguinte linha ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  3. Selecione Executar filtro.

Saiba mais sobre o Explorador de registros.

Visualizador de registros

  1. Acesse a página Visualizador de registros no Console do Cloud.
    Acessar a página "Visualizador de registros"
  2. Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
  3. Na caixa de texto do filtro avançado, insira os seguintes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a seguinte linha ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  4. Selecione Enviar filtro.

Saiba mais sobre o Visualizador de registros.

gcloud

Execute o seguinte comando da ferramenta gcloud.

gcloud logging read FILTER

Em que FILTER é uma expressão para identificar um conjunto de entradas de registro. Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as sinalizações --folder, --billing-account ou --organization.

Para ler todos os registros do seu domínio, execute o comando a seguir.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Saiba mais sobre como ler entradas de registro com a ferramenta gcloud e o comando gcloud logging read.

Como interpretar registros

Cada log_entry contém os campos a seguir.

  • O log_name é o log de eventos no qual esse evento é registrado.
  • O provider_name é o provedor que publicou o evento.
  • O version é o número da versão do evento.
  • O event_id é o identificador desse evento.
  • O machine_name é o computador em que o evento foi registrado.
  • O xml é a representação XML do evento. Ele está em conformidade com o esquema de evento.
  • O message é uma representação legível do evento.

Códigos de eventos exportados

A tabela a seguir mostra os códigos dos eventos que são exportados.

Tabela 1. Códigos de eventos exportados
Categoria de auditoria Códigos de eventos
Segurança de logon da conta 4767, 4774, 4775, 4776, 4777
Segurança de gerenciamento de contas 4720, 4722, 4323, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 447, 432, 4 4, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756 , 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Segurança de acesso do DS 5136, 5137, 5138, 5139, 5141
Segurança de logotipos 4624, 4625, 4634, 4647, 4648, 4467, 4675, 949
Segurança de mudança na política 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 9412
Segurança de uso de privilégios 4985
Segurança do sistema 4612, 4621

Se os IDs de evento estiverem ausentes e você não os encontrar na tabela de IDs de eventos exportados, use o Issue Tracker{101. }para registrar um bug. Use o componente Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.

Como exportar registros

É possível exportar registros de auditoria do Microsoft AD gerenciados para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.

Também é possível exportar registros de requisitos de conformidade .análise de segurança e acesso e SIEMs externos, comoSplunk ,Elasticsearch e Datadog para criar um anexo da VLAN de monitoramento.

Como receber suporte

Para receber suporte durante o Preview, você pode enviar perguntas paragoogle-cloud-managed-microsoft-ad-discuss@googlegroups.com ou registrar um bug no Rastreador de problemas para criar um anexo da VLAN de monitoramento.