Procedimiento para acceder a los registros de actividad en Microsoft Entra ID

Los datos recopilados en los registros de Microsoft Entra le permiten evaluar muchos aspectos del inquilino de Microsoft Entra. Para cubrir una amplia gama de escenarios, Microsoft Entra ID proporciona varias opciones para acceder a los datos del registro de actividad. Como administrador de TI, debe comprender los casos de uso previstos para estas opciones, de modo que pueda seleccionar el método de acceso adecuado para su escenario.

Puede acceder a los registros de actividad e informes de Microsoft Entra mediante los métodos siguientes:

• Transmisión de registros de actividad a un centro de eventos para integrarse con otras herramientas
• Acceso a los registros de actividad a través de Microsoft Graph API
• Integración de registros de actividad con registros de Azure Monitor
• Supervisión de la actividad en tiempo real con Microsoft Sentinel
• Visualización de registros de actividad e informes en Azure Portal
• Exportación de registros de actividad para almacenamiento y consultas

Cada uno de estos métodos proporciona funcionalidades que pueden alinearse con determinados escenarios. En este artículo se describen esos escenarios, incluidas las recomendaciones y detalles sobre los informes relacionados que usan los datos de los registros de actividad. Explore las opciones de este artículo para obtener información sobre esos escenarios para que pueda elegir el método adecuado.

Requisitos previos

Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.

Registro o informe	Roles	Licencias
Auditoría	Lector de informes Lector de seguridad Administrador de seguridad Lector global	Todas las ediciones de Microsoft Entra ID
Inicios de sesión	Lector de informes Lector de seguridad Administrador de seguridad Lector global	Todas las ediciones de Microsoft Entra ID
Aprovisionamiento	Lector de informes Lector de seguridad Administrador de seguridad Lector global Operador de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube	Microsoft Entra ID P1 o P2
Registros de auditoría de atributos de seguridad personalizados*	Administrador del registro de atributos Lector de registro de atributos	Todas las ediciones de Microsoft Entra ID
Uso y conclusiones	Lector de informes Lector de seguridad Administrador de seguridad	Microsoft Entra ID P1 o P2
Protección de identidad**	Administrador de seguridad Operador de seguridad Lector de seguridad Lector global	Microsoft Entra ID Free Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2
Registros de actividad de Microsoft Graph	Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente	Microsoft Entra ID P1 o P2

*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.

**El nivel de acceso y las funcionalidades de Identity Protection varían con el rol y la licencia. Para más información, consulte los requisitos de licencia de Identity Protection.

Los registros de auditoría están disponibles para las características para las que ha adquirido una licencia. Para acceder a los registros de inicios de sesión mediante la API Microsoft Graph, el inquilino debe tener asociada una licencia Microsoft Entra ID P1 o P2.

Transmisión de registros a un centro de eventos para integrarse con herramientas de SIEM

Es necesario transmitir los registros de actividad a un centro de eventos para integrar los registros de actividad con herramientas de administración de eventos e información de seguridad (SIEM), como Splunk y SumoLogic. Para poder transmitir registros a un centro de eventos, debe configurar un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure.

Usos recomendados

Las herramientas de SIEM que puede integrar con el centro de eventos pueden proporcionar funcionalidades de análisis y supervisión. Si ya usa estas herramientas para ingerir datos de otros orígenes, puede transmitir los datos de identidad para un análisis y supervisión más completos. Se recomienda transmitir los registros de actividad a un centro de eventos para los siguientes tipos de escenarios:

• Si necesita una plataforma de flujo de datos para macrodatos y un servicio de ingesta de eventos para recibir y procesar millones de eventos por segundo.
• Si desea transformar y almacenar datos mediante un proveedor de análisis en tiempo real o adaptadores de procesamiento por lotes o almacenamiento.

Pasos rápidos

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
2. Cree un espacio de nombres de Event Hubs y un centro de eventos.
3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
4. Elija los registros que desea transmitir, seleccione la opción Transmitir a un centro de eventos y complete los campos.
   • Configure un espacio de nombres de Event Hubs y un centro de eventos
   • Más información sobre los registros de actividad de streaming a un centro de eventos

El proveedor de seguridad independiente debe proporcionarle instrucciones sobre cómo ingerir datos de Azure Event Hubs en su herramienta.

Acceda a los registros con API de Microsoft Graph

API de Microsoft Graph proporciona un modelo de programación unificado que puede usar para acceder a los datos de los inquilinos de Microsoft Entra ID P1 o P2. No requiere que un administrador o desarrollador configure una infraestructura adicional para admitir el script o la aplicación.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

Usos recomendados

Con el explorador de Microsoft Graph, puede ejecutar consultas para ayudarle con los siguientes tipos de escenarios:

• Vea las actividades de inquilino, como quién realizó un cambio en un grupo y cuándo.
• Marque un evento de inicio de sesión de Microsoft Entra como seguro o confirmado como en peligro.
• Recupere una lista de inicios de sesión de aplicación durante los últimos 30 días.

Nota:

Microsoft Graph permite acceder a los datos de varios servicios que imponen sus propios límites. Para obtener más información sobre la limitación del registro de actividad, consulte Límites de limitación específicos del servicio Microsoft Graph.

Pasos rápidos

1. Configurar los requisitos previos.
2. Inicie sesión en Probador de Graph.
3. Establezca el método HTTP y la versión de la API.
4. Agregue la consulta siguiente y, luego, seleccione el botón Ejecutar consulta.
   • Familiarícese con las propiedades de Microsoft Graph para las auditorías de directorios
   • Complete la guía de inicio rápido de MS Graph

Integrar registros con registros de Azure Monitor

Con la integración de registros de Azure Monitor, puede habilitar visualizaciones enriquecidas, supervisión y alertas sobre los datos conectados. Log Analytics proporciona funcionalidades de análisis y consulta mejoradas para los registros de actividad de Microsoft Entra. Para integrar los registros de actividad de Microsoft Entra con los registros de Azure Monitor, necesita un área de trabajo de Log Analytics. Desde allí, puede ejecutar consultas a través de Log Analytics.

Usos recomendados

La integración de registros de Microsoft Entra con registros de Azure Monitor proporciona una ubicación centralizada para consultar registros. Se recomienda integrar registros con Azure Monitor para los siguientes tipos de escenarios:

• Compare los registros de inicio de sesión de Microsoft Entra con los registros publicados por otros servicios de Azure.
• Correlacione los registros de inicio de sesión con las conclusiones de la aplicación de Azure.
• Consulta de registros mediante parámetros de búsqueda específicos.

Pasos rápidos

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
2. Crear un área de trabajo de Log Analytics.
3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
4. Elija los registros que desea transmitir, seleccione la opción Enviar al área de trabajo de Log Analytics y complete los campos.
5. Vaya a Identidad>Supervisión y estado>Log Analytics y empiece a consultar los datos.
   • Integración de los registros de Microsoft Entra con los registros de Azure Monitor
   • Obtenga información sobre cómo realizar consultas con Log Analytics

Supervisión de eventos con Microsoft Sentinel

El envío de registros de inicio de sesión y auditoría a Microsoft Sentinel proporciona su centro de operaciones de seguridad con detección de seguridad casi en tiempo real y búsqueda de amenazas. El término búsqueda de amenazas hace referencia a un enfoque proactivo para mejorar la posición de seguridad de su entorno. A diferencia de la protección clásica, la búsqueda de subprocesos intenta identificar proactivamente las amenazas potenciales que podrían dañar su sistema. Los datos del registro de actividad pueden formar parte de la solución de búsqueda de amenazas.

Usos recomendados

Se recomienda usar las funcionalidades de detección de seguridad en tiempo real de Microsoft Sentinel si su organización necesita análisis de seguridad e inteligencia sobre amenazas. Use Microsoft Sentinel si necesita:

• Recopile datos de seguridad en toda la empresa.
• Detecte amenazas con gran inteligencia sobre amenazas.
• Investigue incidentes críticos guiados por la inteligencia artificial.
• Responda rápidamente y automatice la protección.

Pasos rápidos

1. Obtenga información sobre los Requisitos previos, roles y permisos.
2. Estimar los costes potenciales.
3. Incorporación a Microsoft Azure Sentinel.
4. Recopilación de datos de Microsoft Entra.
5. Comenzar a buscar amenazas.

Visualización de registros a través del Centro de administración de Microsoft Entra

Para investigaciones únicas con un ámbito limitado, el Centro de administración de Microsoft Entra suele ser la manera más fácil de encontrar los datos que necesita. La interfaz de usuario de cada uno de estos informes le ofrece opciones de filtrado que le permiten encontrar las entradas que necesita para resolver su escenario.

Los datos capturados en los registros de actividad de Microsoft Entra se usan en muchos informes y servicios. Puede revisar los registros de inicio de sesión, auditoría y aprovisionamiento para escenarios puntuales o utilizar informes para observar patrones y tendencias. Los datos de los registros de actividad ayudan a rellenar los informes de Identity Protection, que proporcionan detecciones de riesgo relacionadas con la seguridad de la información en las que Microsoft Entra ID puede detectar e informar. Los registros de actividad de Microsoft Entra también rellenan los informes de uso e información, que proporcionan detalles de uso para las aplicaciones del inquilino.

Usos recomendados

Los informes disponibles en el Azure Portal proporcionan una amplia gama de funcionalidades para supervisar las actividades y el uso en el inquilino. La siguiente lista de usos y escenarios no es exhaustiva, así que explore los informes según sus necesidades.

• Investigue la actividad de inicio de sesión de un usuario o realice un seguimiento del uso de una aplicación.
• Revise los detalles sobre los cambios de nombre del grupo, el registro de dispositivos y los restablecimientos de contraseña con los registros de auditoría.
• Use los informes de Identity Protection para supervisar usuarios de riesgo, identidades de carga de trabajo de riesgo e inicios de sesión de riesgo.
• Puede revisar la tasa de éxito de inicio de sesión en el informe de actividad de aplicaciones de Microsoft Entra (versión preliminar) de Uso e información para asegurarse de que los usuarios puedan acceder a las aplicaciones que están en uso en el inquilino.
• Compare los distintos métodos de autenticación que prefieren los usuarios con el informe Métodos de autenticación de Uso e información.

Pasos rápidos

Siga estos pasos básicos para acceder a los informes del Centro de administración de Microsoft Entra.

Registros de actividad de Microsoft Entra

1. Vaya a Identidad>Supervisión y estado>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento.
2. Ajuste el filtro según sus necesidades.
   • Obtenga información sobre cómo filtrar los registros de actividad
   • Exploración de las categorías y actividades del registro de auditoría de Microsoft Entra
   • Obtenga información sobre la información básica en los registros de inicio de sesión de Microsoft Entra

Se puede acceder a los registros de auditoría directamente desde el área del Centro de administración de Microsoft Entra donde está trabajando. Por ejemplo, si está en la sección Grupos o Licencias de Microsoft Entra ID, puede acceder a los registros de auditoría de esas actividades específicas directamente desde esa área. Al acceder a los registros de auditoría de esta manera, las categorías de filtro se establecen automáticamente. Si está en Grupos, la categoría de filtro de registro de auditoría se establece en GroupManagement.

Informes de Microsoft Entra ID Protection

1. Vaya a Protection>Protección de identidad.
2. Explore los informes disponibles.
   • Más información sobre Identity Protection
   • Obtenga información sobre cómo investigar riesgos

Informes de uso e informe

1. Vaya a Identidad>Supervisión y estado>Uso e información.
2. Explore los informes disponibles.
   • Obtenga más información sobre el informe de uso e información

Exportación de registros para almacenamiento y consultas

La solución adecuada para el almacenamiento a largo plazo depende del presupuesto y de lo que planea hacer con los datos. Tiene tres opciones:

• Archivar registros en Azure Storage
• Descargar los registros para el almacenamiento manual
• Integrar registros con registros de Azure Monitor

Azure Storage es la solución adecuada si no tiene previsto consultar sus datos con frecuencia. Para más información, consulte Archivado de registros de Azure AD en una cuenta de Azure Storage.

Si tiene previsto consultar los registros con frecuencia para ejecutar informes o realizar análisis de los registros almacenados, debe integrar sus datos con los registros de Azure Monitor.

Si su presupuesto es ajustado y necesita un método barato para crear una copia de seguridad a largo plazo de sus registros de actividad, puede descargar manualmente sus registros. La interfaz de usuario de los registros de actividad en el portal le ofrece una opción para descargar los datos como JSON o CSV. Una de las contracciones de la descarga manual es que requiere más interacción manual. Si busca una solución más profesional, use Azure Storage o Azure Monitor.

Usos recomendados

Se recomienda configurar una cuenta de almacenamiento para archivar los registros de actividad para esos escenarios de gobernanza y cumplimiento en los que se requiere almacenamiento a largo plazo.

Si desea almacenamiento a largo plazo y desea ejecutar consultas contra los datos, revise la sección sobre la integración de sus registros de actividad con Registros de Azure Monitor.

Se recomienda descargar y almacenar manualmente los registros de actividad si tiene restricciones presupuestarias.

Pasos rápidos

Siga estos pasos básicos para archivar o descargar los registros de actividad.

Archivado de registros de actividad en una cuenta de almacenamiento

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
2. Cree una cuenta de almacenamiento.
3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
4. Elija los registros que desea transmitir, seleccione la opción Archivar en una cuenta de almacenamiento y complete los campos.
   • Revisión de las directivas de retención de datos

Descargar manualmente los registros de actividad

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Identidad>Supervisión y estado>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento en el menú Supervisión.
3. Seleccione Descargar.
   • Obtenga más información sobre cómo descargar registros.

Pasos siguientes

• Transmitir registros a un centro de eventos
• Archivo de registros en una cuenta de almacenamiento
• Integrar registros con registros de Azure Monitor