Revisar los eventos de auditoría de seguridad en Microsoft Entra Domain Services mediante libros de trabajo de Azure Monitor

Para ayudarle a comprender el estado del dominio administrado de Microsoft Entra Domain Services, puede habilitar eventos de auditoría de seguridad. Estos eventos de auditoría de seguridad se pueden revisar mediante los Workbooks de Azure Monitor, que combinan texto, consultas de análisis y parámetros en informes interactivos detallados. Domain Services incluye plantillas de libros de trabajo para visión general de seguridad y actividad de cuenta, que le permiten profundizar en eventos de auditoría y administrar su entorno.

En este artículo se muestra cómo usar los Libros de trabajo de Azure Monitor para revisar los eventos de auditoría de seguridad en Servicios de dominio.

Antes de empezar

Para completar este artículo, necesita los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el cliente de Microsoft Entra.
  • Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
• Eventos de auditoría de seguridad habilitados para el dominio administrado que transmiten datos a un área de trabajo de Log Analytics.
  • Si es necesario, habilite las auditorías de seguridad para Domain Services.

Descripción general de los libros de trabajo de Azure Monitor

Cuando los eventos de auditoría de seguridad están activados en Domain Services, puede ser difícil analizar e identificar problemas en el dominio administrado. Azure Monitor permite agregar estos eventos de auditoría de seguridad y consultar los datos. Con los libros de trabajo de Azure Monitor, podrás visualizar estos datos para que sea más rápido y fácil identificar problemas.

Las plantillas de libro de trabajo son informes curados diseñados para una reutilización flexible por parte de varios usuarios y equipos. Al abrir una plantilla de libro, se cargan los datos del entorno de Azure Monitor. Puede usar plantillas sin afectar a otros usuarios de su organización y puede guardar sus propios libros en función de la plantilla.

Domain Services incluye las dos plantillas de libro siguientes:

• Informe de información general de seguridad
• Informe de actividad de la cuenta

Para obtener más información sobre cómo editar y administrar los libros de trabajo, consulte la visión general de Azure Monitor Workbooks.

Utilice el libro de trabajo del informe de visión general de seguridad

Para ayudarle a comprender mejor el uso e identificar posibles amenazas de seguridad, el informe de información general de seguridad resume los datos de inicio de sesión e identifica las cuentas que puede que desee comprobar. Puede ver eventos en un intervalo de fechas determinado y explorar en profundidad eventos de inicio de sesión específicos, como intentos de contraseña incorrectos o donde se deshabilitó la cuenta.

Para acceder a la plantilla de la hoja de cálculo para el informe general de seguridad, siga estos pasos:

1. Busque y seleccione Microsoft Entra Domain Services en Azure Portal.

2. Seleccione el dominio administrado, como aaddscontoso.com

3. En el menú de la izquierda, elija Supervisión > Libros

   

4. Elija el Informe de información general de seguridad.

5. En los menús desplegables de la parte superior del libro, seleccione la suscripción de Azure y, a continuación, un área de trabajo de Azure Monitor.

   Elija un intervalo de tiempo, como Los últimos 7 días, como se muestra en la captura de pantalla de ejemplo siguiente:

   

   También se pueden cambiar las opciones de vista en mosaico y vista de gráfico para analizar y visualizar los datos como se desee.

6. Para explorar en profundidad un tipo de evento específico, seleccione una de las tarjetas de resultados de inicio de sesión, como Cuenta bloqueada, como se muestra en el ejemplo siguiente:

   

7. La parte inferior del informe de información general de seguridad debajo del gráfico desglosa el tipo de actividad seleccionado. Puede filtrar por nombres de usuario implicados en el lado derecho, como se muestra en el siguiente informe de ejemplo:

   

Uso del libro Informe de actividad de la cuenta

Para ayudarle a solucionar problemas de una cuenta de usuario específica, el informe de actividad de la cuenta desglosa la información detallada del registro de eventos de auditoría. Puede revisar cuándo se proporcionó un nombre de usuario o una contraseña incorrectos durante el inicio de sesión y el origen del intento de inicio de sesión.

Para acceder a la plantilla de hoja de cálculo del informe de actividad de cuenta, complete los siguientes pasos:

1. Busque y seleccione Microsoft Entra Domain Services en Azure Portal.

2. Seleccione el dominio administrado, como aaddscontoso.com

3. En el menú de la izquierda, elija Supervisión > Libros

4. Elija el informe de actividad de la cuenta.

5. En los menús desplegables de la parte superior del libro, seleccione la suscripción de Azure y, a continuación, un área de trabajo de Azure Monitor.

   Elija un intervalo de tiempo, como Los últimos 30 días y, a continuación, cómo desea que la vista Icono represente los datos.

   Puede filtrar por nombre de usuario de cuenta, como félix, como se muestra en el siguiente informe de ejemplo:

   

   El área debajo del gráfico muestra eventos de inicio de sesión individuales junto con información como el resultado de la actividad y la estación de trabajo de origen. Esta información puede ayudar a determinar orígenes repetidos de eventos de inicio de sesión que pueden provocar bloqueos de cuenta o indicar un posible ataque.

Al igual que con el informe de información general de seguridad, puede explorar en profundidad los distintos iconos de la parte superior del informe para visualizar y analizar los datos según sea necesario.

Guardar y editar libros

Los dos libros de plantilla proporcionados por Domain Services son un buen lugar para empezar con su propio análisis de datos. Si necesita profundizar más en las consultas de datos e investigaciones, puede guardar sus propios libros de trabajo y editar sus consultas.

1. Para guardar una copia de una de las plantillas de libro, seleccione Editar > guardar como > informes compartidos y, a continuación, proporcione un nombre y guárdelo.
2. En su propia copia de la plantilla, seleccione Editar para entrar en el modo de edición. Puede elegir el botón de edición azul situado junto a cualquier parte del informe y cambiarlo.

Todos los gráficos y tablas de los cuadernos de Azure Monitor se generan mediante consultas de Kusto. Para más información sobre cómo crear sus propias consultas, consulte consultas de registro de Azure Monitor y el tutorial de consultas de Kusto.

Pasos siguientes

Si necesita ajustar las directivas de bloqueo y contraseña, consulte Directivas de bloqueo de cuentas y contraseñas en dominios administrados.

Para problemas relacionados con los usuarios, aprenda cómo solucionar problemas de inicio de sesión de cuenta o problemas de bloqueo de cuentas.