Registro y auditoría de seguridad de Azure
Azure proporciona una amplia gama de opciones de registro y auditoría de seguridad configurables para ayudarle a identificar vacíos en las directivas y mecanismos de seguridad. Este artículo describe la generación, recopilación y análisis de los registros de seguridad provenientes de los servicios hospedados en Azure.
Nota:
Algunas de las recomendaciones de este artículo pueden provocar un aumento del uso de datos, de la red o de los recursos de proceso, lo que podría incrementar los costos de las licencias o las suscripciones.
Tipos de registros de Azure
Las aplicaciones de nube son complejas y tienen muchas partes móviles. Los datos de registro pueden proporcionar información detallada sobre las aplicaciones y ayudarle a:
- Solucionar problemas pasados o impedir posibles problemas
- Mejorar el rendimiento o el mantenimiento de la aplicación
- Automatizar acciones que, de otro modo, requerirían intervención manual
Los registros de Azure se clasifican en los tipos siguientes:
Los registros de control y administración proporcionan información sobre las operaciones CREATE, UPDATE y DELETE de Azure Resource Manager. Para más información, consulte Registros de actividad de Azure.
Los registros del plano de datos proporcionan información sobre los eventos desencadenados como parte del uso de los recursos de Azure. Ejemplos de este tipo de registro son los registros de eventos del sistema de Windows, de seguridad y de aplicaciones en una máquina virtual, así como los registros de diagnóstico que se han configurado mediante Azure Monitor.
Los eventos procesados proporcionan información sobre eventos y alertas analizados que se han procesado en su nombre. Ejemplos de este tipo son las alertas de Microsoft Defender for Cloud, donde Microsoft Defender for Cloud ha procesado y analizado su suscripción, y proporciona unas alertas de seguridad concisas.
En la tabla siguiente se enumeran los tipos más importante de registros disponibles en Azure.
| Categoría del registro | Tipo de registro | Uso | Integración |
|---|---|---|---|
| Registros de actividad | Eventos de plano de control de los recursos de Azure Resource Manager | Proporciona información detallada sobre las operaciones que se realizaron en los recursos de la suscripción. | API REST y Azure Monitor |
| Registros de recursos de Azure | Datos frecuentes acerca del funcionamiento de los recursos de Azure Resource Manager de la suscripción | Proporciona información detallada sobre las operaciones que el mismo recurso realiza. | Azure Monitor |
| Informes de Microsoft Entra ID | Registros e informes | Informa sobre las actividades de inicio de sesión de usuario e información de actividades del sistema acerca de la administración de grupos y usuarios. | Microsoft Graph |
| Máquinas virtuales y servicios en la nube | Servicio de Registro de eventos de Windows y Syslog de Linux | Captura los datos del sistema y los datos de registro en las máquinas virtuales, y transfiere estos datos a la cuenta de almacenamiento que elija. | Windows (con el almacenamiento de Azure Diagnostics]) y Linux en Azure Monitor |
| Análisis de Azure Storage | El registro de almacenamiento proporciona datos de métricas de una cuenta de almacenamiento | Proporciona información detallada sobre seguimiento de solicitudes, análisis de tendencias de uso y diagnóstico de problemas con la cuenta de almacenamiento. | API de REST o biblioteca de cliente |
| Registros de flujo de los grupos de seguridad de red (NSG) | Tiene formato JSON y muestra flujos entrantes y salientes por cada regla | Muestra información sobre el tráfico IP de entrada y salida a través de un grupo de seguridad de red. | Azure Network Watcher |
| Application Insights | Registros, excepciones y diagnósticos personalizados | Proporciona un servicio de supervisión de rendimiento de aplicaciones (APM) para desarrolladores web en varias plataformas. | API de REST, Power BI |
| Datos de proceso y alertas de seguridad | Alertas de Microsoft Defender for Cloud, alertas de registros de Azure Monitor | Proporciona información y alertas de seguridad. | API de REST, JSON |
Integración de registros con sistemas locales de SIEM
En Integración de alertas de Defender for Cloud se trata cómo sincronizar las alertas de Defender for Cloud, los eventos de seguridad de máquina virtual que recopilan los registros de diagnóstico de Azure y los registros de auditoría de Azure, con los registros de Azure Monitor o una solución SIEM.
Pasos siguientes
Auditoría y registro: proteja los datos mediante el mantenimiento de la visibilidad y la rápida respuesta a las alertas de seguridad puntuales
Configuración de auditoría para una colección de sitios: si es el administrador de una colección de sitios, recupere el historial de las acciones de un usuario individua y el historial de las acciones realizadas durante un intervalo de fechas concreto.
Busque el registro de auditoría en el Portal de Microsoft Defender: use el Portal de Microsoft Defender para buscar en el registro de auditoría unificado y ver la actividad de usuario y administrador en su organización.