Procedimiento para acceder a los registros de actividad en Microsoft Entra ID

Los datos recopilados en los registros de Microsoft Entra le permiten evaluar muchos aspectos del inquilino de Microsoft Entra. Para cubrir una amplia gama de escenarios, Microsoft Entra ID proporciona varias opciones para acceder a los datos del registro de actividad. Como administrador de TI, debe comprender los casos de uso previstos para estas opciones, de modo que pueda seleccionar el método de acceso adecuado para su escenario.

Puede acceder a los registros de actividad e informes de Microsoft Entra mediante los métodos siguientes:

Cada uno de estos métodos proporciona funcionalidades que pueden alinearse con determinados escenarios. En este artículo se describen esos escenarios, incluidas las recomendaciones y detalles sobre los informes relacionados que usan los datos de los registros de actividad. Explore las opciones de este artículo para obtener información sobre esos escenarios para que pueda elegir el método adecuado.

Requisitos previos

Las licencias necesarias varían en función de la funcionalidad de supervisión y mantenimiento.

Funcionalidad Microsoft Entra ID Gratis Microsoft Entra ID P1 o P2 / Conjunto de aplicaciones de Microsoft Entra
Registros de auditoría
Registros de inicio de sesión
Registros de aprovisionamiento No
Atributos de seguridad personalizados
Estado No
Registros de actividad de Microsoft Graph No
Uso y conclusiones No

Visualización de registros a través del Centro de administración Microsoft Entra

Para investigaciones únicas con un ámbito limitado, el Centro de administración de Microsoft Entra suele ser la manera más fácil de encontrar los datos que necesita. La interfaz de usuario de cada uno de estos informes le ofrece opciones de filtrado que le permiten encontrar las entradas que necesita para resolver su escenario.

Los datos capturados en los registros de actividad de Microsoft Entra se usan en muchos informes y servicios. Puede revisar los registros de inicio de sesión, auditoría y aprovisionamiento para escenarios puntuales o utilizar informes para observar patrones y tendencias. Los datos de los registros de actividad ayudan a rellenar los informes de Identity Protection, que proporcionan detecciones de riesgo relacionadas con la seguridad de la información en las que Microsoft Entra ID puede detectar e informar. Los registros de actividad de Microsoft Entra también rellenan los informes de uso e información, que proporcionan detalles de uso para las aplicaciones del inquilino.

Los informes disponibles en el Azure Portal proporcionan una amplia gama de funcionalidades para supervisar las actividades y el uso en el inquilino. La siguiente lista de usos y escenarios no es exhaustiva, así que explore los informes según sus necesidades.

  • Investigue la actividad de inicio de sesión de un usuario o realice un seguimiento del uso de una aplicación.
  • Revise los detalles sobre los cambios de nombre del grupo, el registro de dispositivos y los restablecimientos de contraseña con los registros de auditoría.
  • Use los informes de Identity Protection para supervisar usuarios de riesgo, identidades de carga de trabajo de riesgo e inicios de sesión de riesgo.
  • Revise la tasa de éxito de inicio de sesión en el informe de actividad de aplicaciones de Microsoft Entra (versión preliminar) de Uso e información para asegurarse de que los usuarios puedan acceder a las aplicaciones que están en uso en el suscriptor.
  • Compare los distintos métodos de autenticación que prefieren los usuarios con el informe Métodos de autenticación de Uso e información.

Pasos rápidos

Siga estos pasos básicos para acceder a los informes del Centro de administración de Microsoft Entra.

  1. Vaya a Identidad>Supervisión y estado>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento.
  2. Ajuste el filtro según sus necesidades.

Se puede acceder a los registros de auditoría directamente desde el área del Centro de administración de Microsoft Entra donde está trabajando. Por ejemplo, si está en la sección Grupos o Licencias de Microsoft Entra ID, puede acceder a los registros de auditoría de esas actividades específicas directamente desde esa área. Al acceder a los registros de auditoría de esta manera, las categorías de filtro se establecen automáticamente. Si está en Grupos, la categoría de filtro de registro de auditoría se establece en GroupManagement.

Transmisión de registros a un centro de eventos para integrarse con herramientas de SIEM

Es necesario transmitir los registros de actividad a un centro de eventos para integrar los registros de actividad con herramientas de administración de eventos e información de seguridad (SIEM), como Splunk y SumoLogic. Para poder transmitir registros a un centro de eventos, debe configurar un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure.

Las herramientas de SIEM que puede integrar con el centro de eventos pueden proporcionar funcionalidades de análisis y supervisión. Si ya usa estas herramientas para ingerir datos de otros orígenes, puede transmitir los datos de identidad para un análisis y supervisión más completos. Se recomienda transmitir los registros de actividad a un centro de eventos para los siguientes tipos de escenarios:

  • Necesita una plataforma de flujo de datos para macrodatos y un servicio de ingesta de eventos para recibir y procesar millones de eventos por segundo.
  • Busca transformar y almacenar datos mediante un proveedor de análisis en tiempo real o adaptadores de almacenamiento o procesamiento por lotes.

Pasos rápidos

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
  2. Cree un espacio de nombres de Event Hubs y un centro de eventos.
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Transmitir a un centro de eventos y complete los campos.

El proveedor de seguridad independiente debe proporcionarle instrucciones sobre cómo ingerir datos de Azure Event Hubs en su herramienta.

Acceso a los registros con la API de Microsoft Graph

La API de Microsoft Graph proporciona un modelo de programación unificado que puede usar para acceder a los datos de los suscriptores de Microsoft Entra ID P1 o P2. No requiere que un administrador o desarrollador configure una infraestructura adicional para admitir el script o la aplicación.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

Con el explorador de Microsoft Graph, puede ejecutar consultas para ayudarle con los siguientes tipos de escenarios:

  • Vea las actividades de inquilino, como quién realizó un cambio en un grupo y cuándo.
  • Marque un evento de inicio de sesión de Microsoft Entra como seguro o confirmado como en peligro.
  • Recupere una lista de inicios de sesión de aplicación durante los últimos 30 días.

Nota:

Microsoft Graph permite acceder a los datos de varios servicios que imponen sus propios límites. Para obtener más información sobre la limitación del registro de actividad, consulte Límites de limitación específicos del servicio Microsoft Graph.

Pasos rápidos

  1. Configurar los requisitos previos.
  2. Inicie sesión en Probador de Graph.
  3. Establezca el método HTTP y la versión de la API.
  4. Agregue la consulta siguiente y, luego, seleccione el botón Ejecutar consulta.

Integrar registros con registros de Azure Monitor

Con la integración de registros de Azure Monitor, puede habilitar visualizaciones enriquecidas, supervisión y alertas sobre los datos conectados. Log Analytics proporciona funcionalidades de análisis y consulta mejoradas para los registros de actividad de Microsoft Entra. Para integrar los registros de actividad de Microsoft Entra con los registros de Azure Monitor, necesita un área de trabajo de Log Analytics. Desde allí, puede ejecutar consultas a través de Log Analytics.

La integración de registros de Microsoft Entra con registros de Azure Monitor proporciona una ubicación centralizada para consultar registros. Se recomienda integrar registros con Azure Monitor para los siguientes tipos de escenarios:

  • Compare los registros de inicio de sesión de Microsoft Entra con los registros publicados por otros servicios de Azure.
  • Correlacione los registros de inicio de sesión con las conclusiones de la aplicación de Azure.
  • Consulta de registros mediante parámetros de búsqueda específicos.

Pasos rápidos

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
  2. Crear un área de trabajo de Log Analytics.
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Enviar al área de trabajo de Log Analytics y complete los campos.
  5. Vaya a Identidad>Supervisión y estado>Log Analytics y empiece a consultar los datos.

Supervisión de eventos con Microsoft Sentinel

El envío de registros de inicio de sesión y auditoría a Microsoft Sentinel proporciona su centro de operaciones de seguridad con detección de seguridad casi en tiempo real y búsqueda de amenazas. El término búsqueda de amenazas hace referencia a un enfoque proactivo para mejorar la posición de seguridad de su entorno. A diferencia de la protección clásica, la búsqueda de subprocesos intenta identificar proactivamente las amenazas potenciales que podrían dañar su sistema. Los datos del registro de actividad pueden formar parte de la solución de búsqueda de amenazas.

Se recomienda usar las funcionalidades de detección de seguridad en tiempo real de Microsoft Sentinel si su organización necesita análisis de seguridad e inteligencia sobre amenazas. Use Microsoft Sentinel si necesita:

  • Recopile datos de seguridad en toda la empresa.
  • Detecte amenazas con gran inteligencia sobre amenazas.
  • Investigue incidentes críticos guiados por la inteligencia artificial.
  • Responda rápidamente y automatice la protección.

Pasos rápidos

  1. Obtenga información sobre los Requisitos previos, roles y permisos.
  2. Estimar los costes potenciales.
  3. Incorporación a Microsoft Azure Sentinel.
  4. Recopilación de datos de Microsoft Entra.
  5. Comenzar a buscar amenazas.

Exportación de registros para almacenamiento y consultas

La solución adecuada para el almacenamiento a largo plazo depende del presupuesto y de lo que planea hacer con los datos. Tiene tres opciones:

  • Archivar registros en Azure Storage
  • Descargar los registros para el almacenamiento manual
  • Integrar registros con registros de Azure Monitor

Azure Storage es la solución adecuada si no tiene previsto consultar sus datos con frecuencia. Para más información, consulte Archivado de registros de Azure AD en una cuenta de Azure Storage.

Si tiene previsto consultar los registros con frecuencia para ejecutar informes o realizar análisis de los registros almacenados, debe integrar sus datos con los registros de Azure Monitor.

Si su presupuesto es ajustado y necesita un método barato para crear una copia de seguridad a largo plazo de sus registros de actividad, puede descargar manualmente sus registros. La interfaz de usuario de los registros de actividad en el portal le ofrece una opción para descargar los datos como JSON o CSV. Una de las contracciones de la descarga manual es que requiere más interacción manual. Si busca una solución más profesional, use Azure Storage o Azure Monitor.

Se recomienda configurar una cuenta de almacenamiento para archivar los registros de actividad para esos escenarios de gobernanza y cumplimiento en los que se requiere almacenamiento a largo plazo.

Si desea almacenamiento a largo plazo y desea ejecutar consultas contra los datos, revise la sección sobre la integración de sus registros de actividad con Registros de Azure Monitor.

Se recomienda descargar y almacenar manualmente los registros de actividad si tiene restricciones presupuestarias.

Pasos rápidos

Siga estos pasos básicos para archivar o descargar los registros de actividad.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
  2. Cree una cuenta de almacenamiento.
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Archivar en una cuenta de almacenamiento y complete los campos.

Pasos siguientes