Dependencias de implementación de supervisión y mantenimiento de Microsoft Entra
La solución de supervisión e informes de Microsoft Entra depende de los requisitos legales, de seguridad y operativos, así como de los procesos del entorno. Use las siguientes secciones para obtener información sobre las opciones de diseño y la estrategia de implementación.
Ventajas de informes y supervisión de Microsoft Entra
Los informes de Microsoft Entra ID proporcionan una vista y registros de la actividad de Microsoft Entra en su entorno: eventos de inicio de sesión y auditoría, y cambios en el directorio.
Use la salida de datos para:
- determinar cómo se utilizan las aplicaciones y servicios,
- detectar posibles riesgos que afectan al estado del entorno,
- solucionar problemas que impiden a los usuarios finalizar su trabajo,
- obtener conclusiones tras ver los eventos de auditoría de los cambios en su directorio de Microsoft Entra.
La supervisión de Microsoft Entra permite enrutar los registros que generan los informes de Microsoft Entra ID a diferentes sistemas de destino. A continuación, puede conservarlo para su uso a largo plazo o integrarlo con herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para obtener información sobre su entorno.
Con la supervisión de Microsoft Entra, puede enrutar los registros a:
- una cuenta de Azure Storage con fines de archivo,
- Registros de Azure Monitor, en los que puede analizar los datos, crear paneles y alertar acerca de eventos específicos.
- un centro de eventos de Azure en el que puede realizar la integración con sus herramientas de SIEM existentes, como Splunk, Sumologic o QRadar.
Requisitos previos
Necesitará una licencia Microsoft Entra ID P1 o P2 para acceder a los registros de inicio de sesión de Microsoft Entra.
Para más información acerca de las características y licencias, consulte la guía de precios de Microsoft Entra.
Para implementar supervisión y mantenimiento de Microsoft Entra, necesitará un usuario que sea administrador global o administrador de seguridad para el inquilino de Microsoft Entra.
- Plataforma de datos de Azure Monitor
- Cambios de nomenclatura y terminología de Azure Monitor
- ¿Durante cuánto tiempo almacena Microsoft Entra ID los datos de los informes?
- Una cuenta de almacenamiento de Azure, para la que tenga permisos
ListKeys
. Le recomendamos utilizar una cuenta de almacenamiento general y no de almacenamiento de blobs. Para más información sobre precios de almacenamiento, consulte la Calculadora de precios de Azure Storage. - Un espacio de nombres de Azure Event Hubs para la integración con soluciones SIEM de terceros.
- Un área de trabajo de Azure Log Analytics para enviar registros a registros de Azure Monitor.
Planeamiento e implementación de un proyecto de implementación de supervisión y mantenimiento de Microsoft Entra
Los informes y la supervisión se usan para cumplir los requisitos empresariales, obtener información acerca de los patrones de uso y aumentar la postura de seguridad de la organización. En este proyecto, definirá las audiencias que consumirán y supervisarán los informes, y definirá la arquitectura de supervisión de Microsoft Entra.
Partes interesadas, comunicaciones y documentación
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con su efecto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas. Asegúrese también de que los roles de las partes interesadas en el proyecto se entienden bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.
Las partes interesadas necesitan acceder a los registros de Microsoft Entra para obtener una visión de las operaciones. Entre los posibles usuarios se incluyen miembros del equipo de seguridad, auditores internos o externos, y el equipo de operaciones de administración de identidades y acceso.
Los roles de Microsoft Entra le permiten delegar la capacidad de configurar y ver los informes de Microsoft Entra en función de su rol. Identifique qué usuarios de la organización necesitan permiso para leer informes de Microsoft Entra y qué rol sería adecuado para ellos.
Los siguientes roles pueden leer informes de Microsoft Entra:
- Administrador global
- Administrador de seguridad
- Lector de seguridad
- Lector de informes
Obtenga más información sobre Roles administrativos de Microsoft Entra. Aplique siempre el concepto de privilegios mínimos para reducir el riesgo de que una cuenta esté en peligro. Considere la posibilidad de implementar Privileged Identity Management para aumentar la protección de su organización.
Participación de las partes interesadas
Los proyectos exitosos alinean las expectativas, los resultados y las responsabilidades. Consulte Planes de implementación de Microsoft Entra. Documente y comunique los roles de las partes interesadas que requieren aportaciones y responsabilidad.
Plan de comunicación
Indique a los usuarios cuándo y cómo cambiará su experiencia. Proporcione información de contacto para obtener soporte técnico.
- Cuáles son las herramientas SIEM que usa, en caso de que use alguna.
- La infraestructura de Azure, incluidas las cuentas de almacenamiento existentes y la supervisión que se está usando.
- Las directivas de retención de la organización para los registros, incluidos los marcos de cumplimiento aplicables necesarios.
Casos de uso empresarial
Para priorizar mejor los casos de uso y las soluciones, organice las opciones por "Se requiere para que la solución cumpla las necesidades empresariales", "Conviene tenerlo para satisfacer las necesidades empresariales" y "no aplicable".
Consideraciones
- Retención - retención de registros: almacene los registros de auditoría y los registros de inicio de sesión de Microsoft Entra durante más de 30 días
- Análisis: se puede realizar búsquedas en los registros con herramientas de análisis.
- Información operativa y de seguridad: proporcione acceso al uso de la aplicación, a los errores de inicio de sesión, al uso de autoservicio, a tendencias, etc.
- Integración de SIEM: integre y transmita registros de inicio de sesión y registros de auditoría de Microsoft Entra a sistemas de SIEM
Arquitectura de soluciones de supervisión
Con la supervisión de Microsoft Entra, puede enrutar los registros de actividad de Microsoft Entra y conservarlos para informes y análisis a largo plazo para obtener información sobre el entorno e integrarlo con las herramientas de SIEM. Use el siguiente gráfico de flujo de decisión para ayudarlo a seleccionar una arquitectura.
Archivo de registros en una cuenta de almacenamiento
Puede conservar los registros durante más tiempo que el período de retención predeterminado si los enruta a una cuenta de Azure Storage.
Importante
Use este método de archivado si no necesita integrar los registros con un sistema de SIEM o no necesita realizar consultas y análisis continuos. Puede realizar búsquedas a petición.
Más información:
- ¿Durante cuánto tiempo almacena Microsoft Entra ID los datos de los informes?
- Tutorial: Archivo de los registros de Microsoft Entra en una cuenta de almacenamiento de Azure
Transmisión de registros a herramientas de almacenamiento y SIEM
- Integración de los registros de Microsoft Entra con los registros de Azure Monitor.
- Análisis de registros de actividad de Microsoft Entra con registros de Azure Monitor.
- Aprenda cómo transmitir registros a un centro de eventos.
- Obtenga información sobre Archivo de los registros de Microsoft Entra en una cuenta de almacenamiento de Azure.
- Enrutamiento de los registros de Microsoft Entra a un centro de eventos
Pasos siguientes
- Considere la posibilidad de implementar Privileged Identity Management
- Considere la posibilidad de implementar el control de acceso basado en rol de Azure
- Más información sobre las directivas de retención de informes.
- Análisis de registros de actividad de Microsoft Entra con registros de Azure Monitor