Esquema de registros de actividad de Microsoft Entra

En este artículo se describe la información contenida en los registros de actividad de Microsoft Entra y cómo ese esquema usa otros servicios. En este artículo se describen los esquemas del Centro de administración de Microsoft Entra y Microsoft Graph. Se proporcionan descripciones de algunos campos clave.

Requisitos previos

• Para conocer los requisitos de licencia y rol, vea Licencias de monitorización y estado de Microsoft Entra.
• La opción para descargar registros está disponible en todas las ediciones de Microsoft Entra ID.
• La descarga de registros mediante programación con Microsoft Graph requiere una licencia Premium.
• El Lector de informes es el rol con menos privilegios necesario para ver los registros de actividad de Microsoft Entra.
• Los registros de auditoría están disponibles para las características para las que ha adquirido una licencia.
• Los resultados de un registro descargado pueden mostrar hidden para algunas propiedades si no tiene la licencia necesaria.

¿Qué es un esquema de registros?

La supervisión y el mantenimiento de Microsoft Entra ofrecen registros, informes y herramientas de supervisión que se pueden integrar con Azure Monitor, Microsoft Sentinel y otros servicios. Estos servicios deben asignar las propiedades de los registros a las configuraciones de su servicio. El esquema es el mapa de las propiedades, los valores posibles y cómo los usa el servicio. Comprender el esquema de registro es útil para obtener una solución de problemas y una interpretación de datos eficaces.

Microsoft Graph es la forma principal de acceder a los registros de Microsoft Entra mediante programación. La respuesta de una llamada de Microsoft Graph está en formato JSON e incluye las propiedades y los valores del registro. El esquema de los registros se define en la documentación de Microsoft Graph.

Hay dos puntos de conexión para Microsoft Graph API. El punto de conexión V1.0 es el más estable y se usa normalmente para entornos de producción. La versión beta suele contener más propiedades, pero están sujetas a cambios. Por este motivo, no se recomienda usar la versión beta del esquema en entornos de producción.

El cliente de Microsoft Entra puede configurar flujos de registro de actividad que se enviarán a cuentas de almacenamiento de Azure Monitor. Esta integración permite la conectividad de Administración de eventos e información de seguridad (SIEM), el almacenamiento a largo plazo y las funcionalidades de consulta mejoradas con análisis de registros. Los esquemas de registro de Azure Monitor pueden diferir de los esquemas de Microsoft Graph.

Para obtener más información sobre estos esquemas, vea los siguientes artículos:

• Registros de auditoría de Azure Monitor
• Registros de inicio de sesión de Azure Monitor
• Registros de aprovisionamiento de Azure Monitor
• Registros de auditoría de Microsoft Graph
• Registros de inicio de sesión de Microsoft Graph
• Registros de aprovisionamiento de Microsoft Graph

Procedimientos para interpretar el esquema

Al buscar las definiciones de un valor, preste atención a la versión que usa. Puede haber diferencias entre las versiones V1.0 y beta del esquema.

Valores encontrados en todos los esquemas de registro

Algunos valores son comunes en todos los esquemas de registro.

• correlationId: este identificador único ayuda a correlacionar las actividades que abarcan varios servicios y se usa para solucionar problemas. La presencia de este valor en varios registros no indica la capacidad de unir registros entre servicios.
• status o result: este valor importante indica el resultado de la actividad. Los valores posibles son: success, failure, timeout, unknownFutureValue.
• Fecha y hora: la fecha y hora en que se produjo la actividad; la última se expresa en hora universal coordinada (UTC).
• Algunas características de informes requieren una licencia P2 de Microsoft Entra ID. Si no tiene las licencias correctas, se devuelve el valor hidden.

Registros de auditoría

• activityDisplayName: indica el nombre de la actividad o el nombre de la operación (ejemplos: "Crear usuario" y "Agregar miembro al grupo"). Para más información, vea Actividades de registro de auditoría.
• category: indica qué categoría de recursos tiene como destino la actividad. Por ejemplo: UserManagement, GroupManagement, ApplicationManagement, RoleManagement. Para más información, vea Actividades de registro de auditoría.
• initiatedBy: indica información sobre el usuario o la aplicación que inició la actividad.
• targetResources: proporciona información sobre qué recurso se cambió. Los posibles valores incluyen: User, Device, Directory, App, Role, Group, Policy o Other.

Registros de inicio de sesión

• Valores de identificador: hay identificadores únicos para usuarios, inquilinos, aplicaciones y recursos. Algunos ejemplos son los siguientes:
  • resourceId: recurso en el que el usuario inició sesión.
  • resourceTenantId: el inquilino que posee el recurso al que se accede. Puede ser el mismo que homeTenantId.
  • homeTenantId: el inquilino que posee la cuenta de usuario que inicia sesión.
• Detalles de riesgo: proporciona la razón detrás de un estado específico de un usuario de riesgo, un inicio de sesión o una detección de riesgo.
  • riskState: informa del estado del usuario de riesgo, el inicio de sesión o un evento de riesgo.
  • riskDetail: proporciona la razón detrás de un estado específico de un usuario de riesgo, un inicio de sesión o una detección de riesgo. El valor none significa que no se ha realizado hasta el momento ninguna acción sobre el usuario o el inicio de sesión.
  • riskEventTypes_v2: tipos de detecciones de riesgo asociadas con el inicio de sesión.
  • riskLevelAggregated: nivel de riesgo agregado. El valor hidden significa que el usuario o el inicio de sesión no se habilitaron para la protección de id. de Microsoft Entra.
• crossTenantAccessType: describe el tipo de acceso entre inquilinos utilizado para acceder al recurso. Por ejemplo, los inicios de sesión B2B, Soporte técnico de Microsoft y de transferencia se capturan aquí.
• status: el estado de inicio de sesión que incluye el código de error y la descripción del error (si se produce un error de inicio de sesión).

Directivas de acceso condicional aplicadas

En la subsección appliedConditionalAccessPolicies se enumeran las directivas de acceso condicional relacionadas con ese evento de inicio de sesión. La sección se denomina directivas de acceso condicional aplicadas; pero las directivas que no se aplicaron también aparecen en esta sección. Se crea una entrada independiente para cada directiva. Para más información, vea Tipo de recurso conditionalAccessPolicy.