Compartir a través de


Procedimiento para acceder a los registros de actividad en Microsoft Entra ID

Los datos recopilados en los registros de Microsoft Entra le permiten evaluar muchos aspectos del suscriptor de Microsoft Entra. Para cubrir una amplia gama de escenarios, Microsoft Entra ID proporciona varias opciones para acceder a los datos del registro de actividad. Como administrador de TI, debe comprender los casos de uso previstos para estas opciones, de modo que pueda seleccionar el método de acceso adecuado para su escenario.

Puede acceder a los registros de actividad e informes de Microsoft Entra mediante los métodos siguientes:

Cada uno de estos métodos proporciona funcionalidades que pueden alinearse con determinados escenarios. En este artículo se describen esos escenarios, incluidas las recomendaciones y detalles sobre los informes relacionados que usan los datos de los registros de actividad. Explore las opciones de este artículo para obtener información sobre esos escenarios para que pueda elegir el método adecuado.

Requisitos previos

Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Registro o informe Roles Licencias
Registros de auditoría Lector de informes
Lector de seguridad
Administrador de seguridad
Todas las ediciones de Microsoft Entra ID
Registros de inicio de sesión Lector de informes
Lector de seguridad
Administrador de seguridad
Todas las ediciones de Microsoft Entra ID
Registros de aprovisionamiento Lector de informes
Lector de seguridad
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Microsoft Entra ID P1 o P2
Registros de auditoría de atributos de seguridad personalizados* Administrador del registro de atributos
Lector de registro de atributos
Todas las ediciones de Microsoft Entra ID
Estado Lector de informes
Lector de seguridad
Administrador del departamento de soporte técnico
Microsoft Entra ID P1 o P2
Protección de id. de Microsoft Entra** Administrador de seguridad
Operador de seguridad
Lector de seguridad
Lector global
Microsoft Entra ID Gratis
Aplicaciones de Microsoft 365
Microsoft Entra ID P1 o P2
Registros de actividad de Microsoft Graph Administrador de seguridad
Permisos para acceder a los datos en el destino de registro correspondiente
Microsoft Entra ID P1 o P2
Uso y conclusiones Lector de informes
Lector de seguridad
Administrador de seguridad
Microsoft Entra ID P1 o P2

*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.

**El nivel de acceso y las funcionalidades de Protección de id. de Microsoft Entra varían con el rol y la licencia. Para más información, vea los requisitos de licencia de Protección de id..

Los registros de auditoría están disponibles para las características para las que ha adquirido una licencia. Para acceder a los registros de inicios de sesión mediante la API Microsoft Graph, el suscriptor debe tener asociada una licencia Microsoft Entra ID P1 o P2.

Visualización de registros a través del Centro de administración Microsoft Entra

Para investigaciones únicas con un ámbito limitado, el Centro de administración Microsoft Entra suele ser la manera más fácil de encontrar los datos que necesita. La interfaz de usuario de cada uno de estos informes le ofrece opciones de filtrado que le permiten encontrar las entradas que necesita para resolver su escenario.

Los datos capturados en los registros de actividad de Microsoft Entra se usan en muchos informes y servicios. Puede revisar los registros de inicio de sesión, auditoría y aprovisionamiento para escenarios puntuales o utilizar informes para observar patrones y tendencias. Los datos de los registros de actividad ayudan a rellenar los informes de Identity Protection, que proporcionan detecciones de riesgo relacionadas con la seguridad de la información en las que Microsoft Entra ID puede detectar e informar. Los registros de actividad de Microsoft Entra también rellenan los informes de uso e información, que proporcionan detalles de uso para las aplicaciones del suscriptor.

Los informes disponibles en Azure Portal proporcionan una amplia gama de funcionalidades para supervisar las actividades y la utilización en el suscriptor. La siguiente lista de usos y escenarios no es exhaustiva. Explore los informes según sus necesidades.

  • Investigue la actividad de inicio de sesión de un usuario o realice un seguimiento del uso de una aplicación.
  • Revise los detalles sobre los cambios de nombre del grupo, el registro de dispositivos y los restablecimientos de contraseña con los registros de auditoría.
  • Use los informes de Identity Protection para supervisar usuarios de riesgo, identidades de carga de trabajo de riesgo e inicios de sesión de riesgo.
  • Revise la tasa de éxito de inicio de sesión en el informe de actividad de aplicaciones de Microsoft Entra (versión preliminar) de Uso e información para asegurarse de que los usuarios puedan acceder a las aplicaciones que están en uso en el suscriptor.
  • Compare los distintos métodos de autenticación que prefieren los usuarios con el informe Métodos de autenticación de Uso e información.

Pasos rápidos

Siga estos pasos básicos para acceder a los informes del Centro de administración Microsoft Entra.

  1. Vaya a Identidad>Supervisión y estado>Registros de auditoría/Registros de inicio de sesión/Registros de aprovisionamiento.
  2. Ajuste el filtro según sus necesidades.

Se puede acceder a los registros de auditoría directamente desde el área del Centro de administración Microsoft Entra donde está trabajando. Por ejemplo, si está en la sección Grupos o Licencias de Microsoft Entra ID, puede acceder a los registros de auditoría de esas actividades específicas directamente desde esa área. Al acceder a los registros de auditoría de esta manera, las categorías de filtro se establecen automáticamente. Si está en Grupos, la categoría de filtro de registro de auditoría se establece en GroupManagement.

Transmisión de registros a un centro de eventos para integrarse con herramientas de SIEM

Es necesario transmitir los registros de actividad a un centro de eventos para integrar los registros de actividad con herramientas de administración de eventos e información de seguridad (SIEM), como Splunk y SumoLogic. Para poder transmitir registros a un centro de eventos, debe configurar un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure.

Las herramientas de SIEM que puede integrar con el centro de eventos pueden proporcionar funcionalidades de análisis y supervisión. Si ya usa estas herramientas para ingerir datos de otros orígenes, puede transmitir los datos de identidad para un análisis y supervisión más completos. Se recomienda transmitir los registros de actividad a un centro de eventos para los siguientes tipos de escenarios:

  • Necesita una plataforma de flujo de datos para macrodatos y un servicio de ingesta de eventos para recibir y procesar millones de eventos por segundo.
  • Busca transformar y almacenar datos mediante un proveedor de análisis en tiempo real o adaptadores de almacenamiento o procesamiento por lotes.

Pasos rápidos

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.
  2. Cree un espacio de nombres de Event Hubs y un centro de eventos..
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Transmitir a un centro de eventos y complete los campos.

El proveedor de seguridad independiente debe proporcionarle instrucciones sobre cómo ingerir datos de Azure Event Hubs en su herramienta.

Acceso a los registros con la API de Microsoft Graph

La API de Microsoft Graph proporciona un modelo de programación unificado que puede usar para acceder a los datos de los suscriptores de Microsoft Entra ID P1 o P2. No requiere que un administrador o desarrollador configure una infraestructura adicional para admitir la secuencia de comandos o la aplicación.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comience.

Con el explorador de Microsoft Graph, puede ejecutar consultas para ayudarle con los siguientes tipos de escenarios:

  • Vea las actividades de suscriptor, como quién realizó un cambio en un grupo y cuándo.
  • Marque un evento de inicio de sesión de Microsoft Entra como seguro o confirmado como en peligro.
  • Recupere una lista de inicios de sesión de aplicación durante los últimos 30 días.

Nota

Microsoft Graph permite acceder a los datos de varios servicios que imponen sus propios límites. Para obtener más información sobre la limitación del registro de actividad, consulte Límites de limitación específicos del servicio de Microsoft Graph.

Pasos rápidos

  1. Configurar los requisitos previos.
  2. Inicie sesión en Probador de Graph.
  3. Establezca el método HTTP y la versión de la API.
  4. Agregue la consulta siguiente y, luego, seleccione el botón Ejecutar consulta.

Integrar registros con registros de Azure Monitor

Con la integración de registros de Azure Monitor, puede habilitar visualizaciones enriquecidas, supervisión y alertas sobre los datos conectados. Log Analytics proporciona funcionalidades de análisis y consulta mejoradas para los registros de actividad de Microsoft Entra. Para integrar los registros de actividad de Microsoft Entra con los registros de Azure Monitor, necesita un área de trabajo de Log Analytics. Desde allí, puede ejecutar consultas a través de Log Analytics.

La integración de registros de Microsoft Entra con registros de Azure Monitor proporciona una ubicación centralizada para consultar registros. Se recomienda integrar los registros con Azure Monitor para los siguientes tipos de escenarios:

  • Compare los registros de inicio de sesión de Microsoft Entra con los registros publicados por otros servicios de Azure.
  • Correlacione los registros de inicio de sesión con Azure Application Insights.
  • Consulte los registros mediante parámetros de búsqueda específicos.

Pasos rápidos

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.
  2. Cree un área de trabajo de Log Analytics.
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Enviar al área de trabajo de Log Analytics y complete los campos.
  5. Vaya a Identidad>Supervisión y estado>Log Analytics y empiece a consultar los datos.

Supervisión de eventos con Microsoft Sentinel

El envío de registros de inicio de sesión y auditoría a Microsoft Sentinel proporciona su centro de operaciones de seguridad con detección de seguridad casi en tiempo real y búsqueda de amenazas. El término búsqueda de amenazas hace referencia a un enfoque proactivo para mejorar la posición de seguridad de su entorno. A diferencia de la protección clásica, la búsqueda de subprocesos intenta identificar proactivamente las amenazas potenciales que podrían dañar su sistema. Los datos del registro de actividad pueden formar parte de la solución de búsqueda de amenazas.

Se recomienda usar las funcionalidades de detección de seguridad en tiempo real de Microsoft Sentinel si su organización necesita análisis de seguridad e inteligencia contra amenazas. Use Microsoft Sentinel si necesita:

  • Recopilar datos de seguridad en toda la empresa.
  • Detectar amenazas con gran inteligencia contra amenazas.
  • Investigar incidentes críticos guiados por la inteligencia artificial.
  • Responde rápidamente y automatizar la protección.

Pasos rápidos

  1. Obtenga información sobre los Requisitos previos, roles y permisos.
  2. Cotizar los costes potenciales.
  3. Incorporación a Microsoft Azure Sentinel.
  4. Recopilar datos de Microsoft Entra.
  5. Comenzar a buscar amenazas.

Exportación de registros para almacenamiento y consultas

La solución adecuada para el almacenamiento a largo plazo depende del presupuesto y de lo que planea hacer con los datos. Tiene tres opciones:

  • Archivar registros en Azure Storage
  • Descargar los registros para el almacenamiento manual
  • Integrar registros con registros de Azure Monitor

Azure Storage es la solución adecuada si no tiene previsto consultar sus datos con frecuencia. Para más información, consulte Archivado de registros de Azure AD en una cuenta de almacenamiento.

Si tiene previsto consultar los registros con frecuencia para ejecutar informes o realizar análisis de los registros almacenados, debe integrar sus datos con los registros de Azure Monitor.

Si su presupuesto es ajustado y necesita un método barato para crear una copia de seguridad a largo plazo de sus registros de actividad, puede descargar manualmente sus registros. La interfaz de usuario de los registros de actividad en el portal le ofrece una opción para descargar los datos como JSON o CSV. Una de las contracciones de la descarga manual es que requiere más interacción manual. Si busca una solución más profesional, use Azure Storage o Azure Monitor.

Se recomienda configurar una cuenta de almacenamiento para archivar los registros de actividad para esos escenarios de gobernanza y cumplimiento en los que se requiere almacenamiento a largo plazo.

Si desea almacenamiento a largo plazo y desea ejecutar consultas contra los datos, revise la sección sobre la integración de sus registros de actividad con Registros de Azure Monitor.

Se recomienda descargar y almacenar manualmente los registros de actividad si tiene restricciones presupuestarias.

Pasos rápidos

Siga estos pasos básicos para archivar o descargar los registros de actividad.

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.
  2. Cree una cuenta de almacenamiento.
  3. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
  4. Elija los registros que desea transmitir, seleccione la opción Archivar en una cuenta de almacenamiento y complete los campos.

Pasos siguientes