Índice
Introdução à Análise de Sign-in Logs
Os logs de autenticação (sign-in logs) no Microsoft Entra ID são essenciais para entender os padrões de acesso, detectar atividades anômalas e melhorar a postura de segurança da organização. Este artigo explora métodos e práticas recomendadas para análise eficaz desses logs.
Consulta de Sign-in Logs via Microsoft Graph
Utilizando a API do Microsoft Graph, é possível consultar e analisar logs de autenticação:
# Conectar ao Microsoft Graph
Connect-MgGraph -Scopes "AuditLog.Read.All"
# Consultar logs de autenticação dos últimos 7 dias
$date = (Get-Date).AddDays(-7).ToString("yyyy-MM-dd")
$signInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime ge $date" -Top 100
# Analisar resultados
$signInLogs | Select-Object CreatedDateTime, UserPrincipalName, AppDisplayName, IpAddress, Status | Format-TableDetecção de Anomalias
Alguns padrões anômalos importantes para monitorar:
- Múltiplas falhas de autenticação em sequência
- Autenticações de locais geográficos incomuns
- Acessos fora do horário de trabalho normal
- Padrões de acesso incomuns a aplicações
Análise Avançada e Automatização
Para uma análise mais avançada, considere exportar os logs para ferramentas como:
- Microsoft Sentinel
- PowerBI
- Soluções de SIEM (Security Information and Event Management)
Estas ferramentas permitem criar dashboards, alertas automáticos e relatórios detalhados sobre os padrões de autenticação.
Conclusão
A análise sistemática dos logs de autenticação é uma prática fundamental para a segurança de identidade. Implementando um processo contínuo de monitoramento e análise, as organizações podem identificar proativamente ameaças potenciais e melhorar suas políticas de segurança.