Microsoft Entra Sign-in Logs

Microsoft

Trilha de auditoria de autenticação do Entra ID (Azure AD) — toda tentativa de login em M365 e SaaS.

Identidade, Nuvem e Acesso Comercial Plataforma / Suíte Em Estudo saas

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O Microsoft Entra ID (novo nome do Azure Active Directory) é o provedor de identidade por trás do Microsoft 365 e da maior parte das empresas federadas a SaaS. Seus Sign-in Logs capturam toda tentativa de autenticação interativa, não-interativa, de service principal e de managed identity — com a política de Conditional Access que permitiu ou bloqueou, o risk level (Identity Protection) e contexto de device/localização/app.

Para um SOC, são a fonte primária de detecção de:

Password spraying / credential stuffing.
Impossible travel / localização atípica.
MFA fatigue e prompt-bombing.
Roubo e replay de token (mesmo session ID em IPs diferentes).

Costumam ser enviados ao Microsoft Sentinel ou SIEM 3rd-party via stream de diagnostic-settings.

Casos de uso

Investigação de tomada de conta em M365
Detecção de password spray contra um tenant
Ajuste de Conditional Access com base em falhas reais

Exemplo

// KQL — risky sign-ins blocked by Conditional Access
SigninLogs
| where ResultType != 0
| where RiskLevelDuringSignIn in ('high','medium')
| summarize attempts=count() by UserPrincipalName,
                                IPAddress,
                                ConditionalAccessStatus
| order by attempts desc