Dependencias de implementación de supervisión y mantenimiento de Microsoft Entra

La solución de supervisión e informes de Microsoft Entra depende de los requisitos legales, de seguridad y operativos, así como de los procesos del entorno. Use las siguientes secciones para obtener información sobre las opciones de diseño y la estrategia de implementación.

Ventajas de informes y supervisión de Microsoft Entra

Los informes de Microsoft Entra ID proporcionan una vista y registros de la actividad de Microsoft Entra en su entorno: eventos de inicio de sesión y auditoría, y cambios en el directorio.

Use la salida de datos para:

  • determinar cómo se utilizan las aplicaciones y servicios,
  • detectar posibles riesgos que afectan al estado del entorno,
  • solucionar problemas que impiden a los usuarios finalizar su trabajo,
  • obtener conclusiones tras ver los eventos de auditoría de los cambios en su directorio de Microsoft Entra.

La supervisión de Microsoft Entra permite enrutar los registros que generan los informes de Microsoft Entra ID a diferentes sistemas de destino. A continuación, puede conservarlo para su uso a largo plazo o integrarlo con herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para obtener información sobre su entorno.

Con la supervisión de Microsoft Entra, puede enrutar los registros a:

  • una cuenta de Azure Storage con fines de archivo,
  • Registros de Azure Monitor, en los que puede analizar los datos, crear paneles y alertar acerca de eventos específicos.
  • un centro de eventos de Azure en el que puede realizar la integración con sus herramientas de SIEM existentes, como Splunk, Sumologic o QRadar.

Requisitos previos

Necesitará una licencia Microsoft Entra ID P1 o P2 para acceder a los registros de inicio de sesión de Microsoft Entra.

Para más información acerca de las características y licencias, consulte la guía de precios de Microsoft Entra.

Para implementar supervisión y mantenimiento de Microsoft Entra, necesitará un usuario que sea administrador global o administrador de seguridad para el inquilino de Microsoft Entra.

Planeamiento e implementación de un proyecto de implementación de supervisión y mantenimiento de Microsoft Entra

Los informes y la supervisión se usan para cumplir los requisitos empresariales, obtener información acerca de los patrones de uso y aumentar la postura de seguridad de la organización. En este proyecto, definirá las audiencias que consumirán y supervisarán los informes, y definirá la arquitectura de supervisión de Microsoft Entra.

Partes interesadas, comunicaciones y documentación

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con su efecto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas. Asegúrese también de que los roles de las partes interesadas en el proyecto se entienden bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.

Las partes interesadas necesitan acceder a los registros de Microsoft Entra para obtener una visión de las operaciones. Entre los posibles usuarios se incluyen miembros del equipo de seguridad, auditores internos o externos, y el equipo de operaciones de administración de identidades y acceso.

Los roles de Microsoft Entra le permiten delegar la capacidad de configurar y ver los informes de Microsoft Entra en función de su rol. Identifique qué usuarios de la organización necesitan permiso para leer informes de Microsoft Entra y qué rol sería adecuado para ellos.

Los siguientes roles pueden leer informes de Microsoft Entra:

  • Administrador global
  • Administrador de seguridad
  • Lector de seguridad
  • Lector de informes

Obtenga más información sobre Roles administrativos de Microsoft Entra. Aplique siempre el concepto de privilegios mínimos para reducir el riesgo de que una cuenta esté en peligro. Considere la posibilidad de implementar Privileged Identity Management para aumentar la protección de su organización.

Participación de las partes interesadas

Los proyectos exitosos alinean las expectativas, los resultados y las responsabilidades. Consulte Planes de implementación de Microsoft Entra. Documente y comunique los roles de las partes interesadas que requieren aportaciones y responsabilidad.

Plan de comunicación

Indique a los usuarios cuándo y cómo cambiará su experiencia. Proporcione información de contacto para obtener soporte técnico.

  • Cuáles son las herramientas SIEM que usa, en caso de que use alguna.
  • La infraestructura de Azure, incluidas las cuentas de almacenamiento existentes y la supervisión que se está usando.
  • Las directivas de retención de la organización para los registros, incluidos los marcos de cumplimiento aplicables necesarios.

Casos de uso empresarial

Para priorizar mejor los casos de uso y las soluciones, organice las opciones por "Se requiere para que la solución cumpla las necesidades empresariales", "Conviene tenerlo para satisfacer las necesidades empresariales" y "no aplicable".

Consideraciones

  • Retención - retención de registros: almacene los registros de auditoría y los registros de inicio de sesión de Microsoft Entra durante más de 30 días
  • Análisis: se puede realizar búsquedas en los registros con herramientas de análisis.
  • Información operativa y de seguridad: proporcione acceso al uso de la aplicación, a los errores de inicio de sesión, al uso de autoservicio, a tendencias, etc.
  • Integración de SIEM: integre y transmita registros de inicio de sesión y registros de auditoría de Microsoft Entra a sistemas de SIEM

Arquitectura de soluciones de supervisión

Con la supervisión de Microsoft Entra, puede enrutar los registros de actividad de Microsoft Entra y conservarlos para informes y análisis a largo plazo para obtener información sobre el entorno e integrarlo con las herramientas de SIEM. Use el siguiente gráfico de flujo de decisión para ayudarlo a seleccionar una arquitectura.

Decision matrix for business-need architecture.

Archivo de registros en una cuenta de almacenamiento

Puede conservar los registros durante más tiempo que el período de retención predeterminado si los enruta a una cuenta de Azure Storage.

Importante

Use este método de archivado si no necesita integrar los registros con un sistema de SIEM o no necesita realizar consultas y análisis continuos. Puede realizar búsquedas a petición.

Más información:

Transmisión de registros a herramientas de almacenamiento y SIEM

Pasos siguientes