¿Qué es la supervisión de Azure Active Directory?

Con la supervisión de Azure Active Directory (Azure AD), ahora puede enrutar los registros de actividad de Azure AD a diferentes puntos de conexión. A continuación, puede conservarlo para su uso a largo plazo o integrarlo con herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para obtener información sobre su entorno.

Actualmente, puede enrutar los registros a:

  • Una cuenta de almacenamiento de Azure.
  • Un centro de eventos de Azure, para que pueda integrarlo con sus instancias de Splunk y Sumologic.
  • Un área de trabajo de Azure Log Analytics, donde puede analizar los datos, crear un panel y alertar sobre eventos específicos.

Rol necesario: Administrador global

Nota:

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.

Licencias y requisitos previos para los informes y la supervisión de Azure AD

Necesitará una licencia de Azure AD Premium para acceder a los registros de inicio de sesión de Azure AD.

Para más información acerca de las características y licencias, consulte la guía de precios de Azure Active Directory.

Para implementar la supervisión y los informes de Azure AD, necesitará un usuario que sea administrador global o administrador de seguridad del inquilino de Azure AD.

Según el destino final de los datos de registro, necesitará una de las opciones siguientes:

  • Una cuenta de almacenamiento de Azure, para la que tenga permisos ListKeys. Le recomendamos utilizar una cuenta de almacenamiento general y no de almacenamiento de blobs. Para más información sobre precios de almacenamiento, consulte la Calculadora de precios de Azure Storage.

  • Un espacio de nombres de Azure Event Hubs para la integración con soluciones SIEM de terceros.

  • Un área de trabajo de Azure Log Analytics para enviar registros a registros de Azure Monitor.

Configuración de opciones de diagnóstico

Para configurar los valores de supervisión de los registros de actividad de Azure AD, primero inicie sesión en Azure Portal y, después, seleccione Azure Active Directory. Desde aquí, puede acceder a la página de configuración de los ajustes de diagnóstico de dos maneras:

  • Seleccione Configuración de diagnóstico en la sección Supervisión.

    Diagnostics settings

  • Seleccione Registros de auditoría o Inicios de sesión y, después, seleccione Exportar configuración.

    Export settings

Enrutamiento de registros a la cuenta de almacenamiento

Al enrutar los registros a una cuenta de almacenamiento de Azure, puede retenerlos durante más tiempo que el período de retención predeterminado que se describe en las directivas de retención. Obtenga información sobre cómo enrutar datos a la cuenta de almacenamiento.

Transmisión en secuencias de registros a un centro de eventos

Enrutar los registros a un centro de eventos de Azure le permite integrarse con herramientas SIEM de terceros como Sumologic y Splunk. Esta integración le permite combinar los datos de registro de actividad de Azure AD con otros datos administrados por el SIEM, a fin de proporcionar una mejor comprensión del entorno. Aprenda cómo transmitir registros a un centro de eventos.

Envío de registros a registros de Azure Monitor

Registros de Azure Monitor es una solución que consolida la supervisión de los datos de diferentes orígenes y proporciona un lenguaje de consulta y un motor de análisis que ofrece información sobre el funcionamiento de las aplicaciones y los recursos. Al enviar los registros de actividad de Azure AD a los registros de Azure Monitor, puede recuperar, supervisar y alertar rápidamente sobre los datos recopilados. Aprenda a enviar datos a los registros de Azure Monitor.

También puede instalar las vistas pregeneradas de los registros de actividad de Azure AD para supervisar escenarios comunes que incluyen inicios de sesión y eventos de auditoría. Aprenda a instalar y utilizar las vistas de Log Analytics para los registros de actividad de Azure AD.

Pasos siguientes