Análisis de registros de actividad de Azure AD con registros de Azure Monitor

Después de integrar los registros de actividad de Azure AD con los registros de Azure Monitor, puede usar la eficacia de estos últimos para obtener información sobre el entorno. También puede instalar las vistas de Log Analytics para los registros de actividad de Azure AD para acceder a informes pregenerados sobre eventos de auditoría y de inicio de sesión en el entorno.

En este artículo, aprenderá a analizar registros de actividad de Azure AD en el área de trabajo de Log Analytics.

Nota:

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.

Prerrequisitos

Para continuar, necesita:

  1. Inicie sesión en Azure Portal.

  2. Seleccione Azure Active Directory y, después, Registros en la sección Supervisión para abrir el área de trabajo de Log Analytics. Se abre el área de trabajo con una consulta predeterminada.

    Default query

Visualización del esquema para los registros de actividad de Azure AD

Los registros se insertan en las tablas AuditLogs y SigninLogs del área de trabajo. Para ver el esquema de estas tablas:

  1. En la vista de consulta predeterminada de la sección anterior, seleccione Esquema y expanda el área de trabajo.

  2. Expanda la sección Administración de registros y, a continuación, expanda AuditLogs o SignInLogs para ver el esquema de registro.

Consulta de registros de actividad de Azure AD

Ahora que tiene los registros en el área de trabajo, puede ejecutar consultas en ellas. Por ejemplo, para obtener las mejores aplicaciones usadas en la última semana, reemplace la consulta predeterminada por la siguiente y seleccione Ejecutar.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obtener unos mejores eventos de auditoría de la última semana, utilice la siguiente consulta:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Alerta sobre datos del registro de actividad de Azure AD

También puede configurar alertas en la consulta. Por ejemplo, para configurar una alerta cuando se han utilizado más de 10 aplicaciones en la última semana:

  1. En el área de trabajo, seleccione Establecer alerta para abrir la página Crear regla.

    Set alert

  2. Seleccione los criterios de alerta predeterminados creados en la alerta y actualice el umbral en la métrica predeterminada a 10.

    Alert criteria

  3. Escriba un nombre y descripción para la alerta y elija el nivel de gravedad. En nuestro ejemplo, podríamos establecerlo en Información.

  4. Seleccione el grupo de acciones al que se avisará cuando se produzca la señal. Puede elegir notificar al equipo por correo electrónico o mensaje de texto, o puede automatizar la acción mediante webhooks, funciones de Azure o aplicaciones lógicas. Obtenga más información sobre cómo crear y administrar grupos de alerta en Azure Portal.

  5. Cuando haya configurado la alerta, seleccione Crear alerta para habilitarla.

Uso de libros pregenerados para los registros de actividad de Azure AD

Los libros proporcionan varios informes relacionados con escenarios comunes que implican eventos de auditoría, inicio de sesión y aprovisionamiento. También se puede alertar sobre cualquiera de los datos proporcionados en los informes, siguiendo los pasos descritos en la sección anterior.

  • Análisis del aprovisionamiento: este libro muestra informes relacionados con la auditoría de la actividad de aprovisionamiento, como el número de nuevos usuarios aprovisionados y errores de aprovisionamiento, el número de usuarios actualizados y errores de actualización y el número de usuarios desaprovisionados y los errores correspondientes.
  • Sign-ins Events (Eventos de inicio de sesión): este libro muestra los informes más importantes relacionados con la supervisión de la actividad de inicio de sesión, como los inicios de sesión por aplicación, usuario y dispositivo, así como una vista resumida que muestra el número de inicios de sesión a lo largo del tiempo.
  • Conditional Access Insights: el libro Conditional Access insights and reporting (Información detallada e informes del acceso condicional) le permite comprender el impacto de las directivas de acceso condicional en su organización a lo largo del tiempo.

Pasos siguientes