Como usar registros de auditoria do Microsoft AD gerenciado

Neste tópico, mostramos como ativar e visualizar registros de auditoria do Microsoft AD gerenciado. Para informações sobre registros de auditoria do Cloud, consulte Como usar registros de auditoria do Cloud para o Microsoft AD gerenciado.

Como ativar a geração de registros de auditoria do Microsoft AD gerenciado

É possível ativar a geração de registros de auditoria do Microsoft AD gerenciado durante a criação do domínio ou atualizando um domínio existente.

Na criação do domínio

Para ativar a geração de registros de auditoria do Microsoft AD gerenciado durante a criação do domínio, execute o seguinte comando da ferramenta gcloud.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Atualizar domínio

Para atualizar um domínio para ativar a geração de registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.

Console

  1. Acesse a página Microsoft AD gerenciado no Console do Cloud.
    Acessar a página Microsoft AD gerenciado
  2. Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer ativar os registros de auditoria.
  3. Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
  4. No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Ativado.

gcloud

Execute o seguinte comando da ferramenta gcloud.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Para limitar o que é registrado, use exclusões de registros.

Os registros armazenados no seu projeto estão sujeitos a cobrança. Saiba mais sobre os valores do Cloud Logging.

Como desativar a geração de registros de auditoria do Microsoft AD gerenciado

Para desativar a geração de registros de auditoria do Microsoft AD gerenciado, conclua as etapas a seguir.

Console

  1. Acesse a página Microsoft AD gerenciado no Console do Cloud.
    Acessar a página Microsoft AD gerenciado
  2. Na página "Microsoft AD gerenciado", na lista de instâncias, selecione o domínio em que você quer desativar os registros de auditoria.
  3. Na página de detalhes do domínio, selecione Ver registros de auditoria e, em seguida, Configurar registros na lista suspensa.
  4. No painel Configurar registros de auditoria, em Ativar/desativar registros, alterne os registros para Desativado.

gcloud

Execute o seguinte comando da ferramenta gcloud.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Como verificar o status da geração de registros

Para verificar se a geração de registros está ativada ou desativada, conclua as etapas a seguir, executando o seguinte comando da ferramenta gcloud.

gcloud active-directory domains describe DOMAIN_NAME

Na resposta, verifique o valor do campo auditLogsEnabled.

Como ver registros

Os registros de auditoria do Microsoft AD gerenciado estão disponíveis apenas para domínios que tenham a coleta registros ativada.

Para ver os registros de auditoria do Microsoft AD gerenciado, é necessário ter a permissão roles/logging.viewer do Identity and Access Management (IAM). Saiba mais sobre como conceder permissões.

Para ver os registros de auditoria do Microsoft AD gerenciado de um domínio, conclua as etapas a seguir.

Explorador de registros

  1. Acesse a página Explorador de registros no Console do Cloud:
    Acessar a página Explorador de registros
  2. No Criador de consultas, digite os seguintes valores:

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  3. Selecione Executar filtro.

Saiba mais sobre o Explorador de registros.

Visualizador de registros

  1. Acesse a página Visualizador de registros no Console do Cloud.
    Acessar a página "Visualizador de registros"
  2. Na caixa de texto do filtro, clique em e selecione Converter para filtro avançado.
  3. Na caixa de texto de filtro avançado, insira os seguintes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por IDs de evento, adicione a linha a seguir ao filtro avançado.

    jsonPayload.ID=EVENT_ID
    
  4. Selecione Enviar filtro.

Saiba mais sobre o Visualizador de registros.

gcloud

Execute o seguinte comando da ferramenta gcloud.

gcloud logging read FILTER

Em que FILTER é uma expressão que identifica um conjunto de entradas de registro. Para ler entradas de registro em pastas, contas de faturamento ou organizações, adicione as sinalizações --folder, --billing-account ou --organization.

Para ler todos os registros do domínio, execute o comando a seguir.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Saiba como ler entradas de registro com a ferramenta gcloud e o comando gcloud logging read.

Como interpretar registros

Cada log_entry contém os campos a seguir.

  • O log_name é o log de eventos em que este evento é registrado.
  • O provider_name é o provedor de evento que publicou o evento.
  • O version é o número da versão do evento.
  • O event_id é o identificador do evento.
  • O machine_name é o computador em que o evento foi registrado;
  • O xml é a representação XML do evento. Está em conformidade com o esquema de eventos.
  • O message é uma representação legível do evento.

IDs de evento exportados

Na tabela a seguir, mostramos os IDs de evento que são exportados.

Tabela 1. IDs de evento exportados.
Categoria de auditoria IDs de evento
Segurança do login da conta 4767, 4774, 4775, 4776, 4777
Segurança do gerenciamento da conta 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Segurança de acesso ao DS 5136, 5137, 5138, 5139, 5141
Segurança de login-logoff 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Segurança da mudança na política 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Segurança do uso de privilégios 4985
Segurança do sistema 4612, 4621

Se você encontrar IDs de eventos ausentes e não os vir listados na Tabela de IDs de eventos exportados, use o Issue Tracker para registrar um bug. Use o componente Rastreadores públicos > Cloud Platform > Identidade e segurança > Serviço gerenciado para o Microsoft AD.

Como exportar registros

É possível exportar os registros de auditoria do Microsoft AD gerenciado para o Pub/Sub, BigQuery ou Cloud Storage. Saiba como exportar registros para outros serviços do Google Cloud.

Também é possível exportar registros para requisitos de conformidade, análise de segurança e acesso e SIEMs externos, como Splunk, Elasticsearch e Datadog.