Habilitación de auditorías de seguridad y DNS para Microsoft Entra Domain Services

  • Artículo

Las auditorías de seguridad y DNS de Azure Microsoft Entra Domain Services permiten a Azure transmitir eventos a recursos de destino. Estos recursos incluyen Azure Storage, áreas de trabajo de Azure Log Analytics o Azure Event Hubs. Después de habilitar los eventos de auditoría de seguridad, Domain Services envía todos los eventos auditados de la categoría seleccionada al recurso de destino.

Puede archivar eventos en Azure Storage y transmitir eventos a software de administración de eventos e información de seguridad (SIEM) (o equivalente) mediante Azure Event Hubs, o bien realizar sus propios análisis y usar áreas de trabajo de Azure Log Analytics en centro de administración de Microsoft Entra.

Destinos de auditorías de seguridad

Puede usar Azure Storage, Azure Event Hubs o áreas de trabajo de Azure Log Analytics como recurso de destino para las auditorías de seguridad de Domain Services. Estos destinos se pueden combinar. Por ejemplo, puede usar Azure Storage para archivar eventos de auditoría de seguridad, pero un área de trabajo de Azure Log Analytics para analizar la información a corto plazo y notificarla.

En la tabla siguiente se esbozan los escenarios para cada tipo de recurso de destino.

Importante

Debe crear el recurso de destino antes de habilitar las auditorías de seguridad de Domain Services. Puede crear estos recursos mediante el Centro de administración de Microsoft Entra, Azure PowerShell o la CLI de Azure.

Recurso de destino Escenario
Azure Storage Este destino se debe usar cuando la necesidad principal es almacenar eventos de auditoría de seguridad para fines de archivado. Se pueden usar otros destinos para fines de archivado, pero esos destinos proporcionan funcionalidades que van más allá de la principal necesidad de archivado.

Antes de habilitar eventos de auditoría de seguridad de Domain Services, cree una cuenta de Azure Storage.
Azure Event Hubs Este destino debe usarse cuando la principal necesidad es compartir eventos de auditoría de seguridad con otro software, como software de análisis de datos o software de administración de eventos e información de seguridad (SIEM).

Antes de habilitar eventos de auditoría de seguridad de Domain Services, cree un centro de eventos mediante centro de administración de Microsoft Entra
Área de trabajo de Azure Log Analytics Este destino debe usarse cuando la principal necesidad es analizar y revisar auditorías de seguridad directamente en centro de administración de Microsoft Entra.

Antes de habilitar eventos de auditoría de seguridad de Domain Services, cree un área de trabajo de Log Analytics en el centro de administración de Microsoft Entra.

Habilitación de eventos de auditoría de seguridad mediante el Centro de administración de Microsoft Entra

Para habilitar eventos de auditoría de seguridad de Domain Services mediante el centro de administración de Microsoft Entra, siga los pasos siguientes.

Importante

Las auditorías de seguridad de Domain Services no son retroactivas. No se pueden recuperar ni reproducir eventos del pasado. Domain Services solo puede enviar los eventos que se producen después de la habilitación de las auditorías de seguridad.

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

  2. Busque y seleccione Microsoft Entra Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.

  3. En la ventana de Domain Services, seleccione Configuración de diagnóstico en el lado izquierdo.

  4. No hay ningún diagnóstico configurado de forma predeterminada. Para empezar, seleccione Agregar configuración de diagnóstico.

    Add a diagnostic setting for Microsoft Entra Domain Services

  5. Escriba un nombre para la configuración de diagnóstico, como aadds-auditing.

    Active la casilla correspondiente al destino de auditoría de seguridad o DNS que desee. Puede elegir entre un área de trabajo de Log Analytics, una cuenta de Azure Storage, un centro de eventos de Azure o una solución de partner. Estos recursos de destino ya deben existir en la suscripción de Azure. No es posible crear los recursos de destino en este asistente.

    • Áreas de trabajo de Azure Log Analytics
      • Seleccione Enviar a Log Analytics y luego la Suscripción y el Área de trabajo de Log Analytics que quiere usar para almacenar los eventos de auditoría.
    • Almacenamiento de Azure
      • Seleccione Archivar en una cuenta de almacenamiento y luego Configurar.
      • Seleccione la Suscripción y la Cuenta de almacenamiento que quiere usar para archivar los eventos de auditoría de seguridad.
      • Cuando esté listo, seleccione Aceptar.
    • Azure Event Hubs
      • Seleccione Transmitir a un centro de eventos y luego Configurar.
      • Seleccione la Suscripción y el Espacio de nombres del centro de eventos. En caso necesario, seleccione también un Nombre del centro de eventos y luego un Nombre de directiva de centro de eventos.
      • Cuando esté listo, seleccione Aceptar.
    • Solución de asociado
      • Seleccione Enviar a solución del partner y luego la Suscripción y el Destino que quiere usar para almacenar los eventos de auditoría.

  6. Seleccione las categorías de registro que desee incluir para el recurso de destino determinado. Si envía los eventos de auditoría a una cuenta de Azure Storage, también puede configurar una directiva de retención que defina el número de días que se conservan los datos. Un valor predeterminado de 0 conserva todos los datos y no rota eventos tras un período de tiempo.

    Puede seleccionar diferentes categorías de registro para cada recurso de destino dentro de una única configuración. Esto le permite elegir qué categorías de registros de Log Analytics quiere conservar y qué categorías de registros quiere archivar, por ejemplo.

  7. Cuando termine, seleccione Guardar para confirmar los cambios. Los recursos de destino empiezan a recibir eventos de auditoría de seguridad de Domain Services poco después de que se guarda la configuración.

Habilitar eventos de auditoría de seguridad y DNS con Azure PowerShell

Para habilitar eventos de auditoría de seguridad y DNS de Domain Services mediante Azure PowerShell, siga estos pasos. Si es necesario, primero instale el módulo Azure PowerShell y conéctese a la suscripción de Azure.

Importante

Las auditorías de Domain Services no son retroactivas. No se pueden recuperar ni reproducir eventos del pasado. Domain Services solo puede enviar los eventos que se producen después de la habilitación de las auditorías.

  1. Autentíquese en la suscripción de Azure con el cmdlet Connect-AzAccount. Cuando se le solicite, escriba las credenciales de la cuenta.

    Connect-AzAccount

  2. Cree el recurso de destino para los eventos de auditoría.

  3. Obtenga el identificador de recurso del dominio administrado de Domain Services con el cmdlet Get-AzResource. Cree una variable denominada $aadds.ResourceId para conservar el valor:

    $aadds = Get-AzResource -name aaddsDomainName

  4. Establezca la configuración de diagnóstico de Azure con el cmdlet Set-AzDiagnosticSetting para usar el recurso de destino para los eventos de auditoría de Microsoft Entra Domain Services. En los ejemplos siguientes, se usa la variable $aadds.ResourceId del paso anterior.

    • Azure Storage: reemplace storageAccountId por el nombre de la cuenta de almacenamiento:

      Set-AzDiagnosticSetting `
    -ResourceId $aadds.ResourceId `
    -StorageAccountId storageAccountId `
    -Enabled $true

    • Azure Event Hubs: reemplace eventHubName por el nombre del centro de eventos y eventHubRuleId por el identificador de la regla de autorización:

      Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId `
    -EventHubName eventHubName `
    -EventHubAuthorizationRuleId eventHubRuleId `
    -Enabled $true

    • Áreas de trabajo de Azure Log Analytics: reemplace workspaceId por el identificador del área de trabajo de Log Analytics:

      Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId `
    -WorkspaceID workspaceId `
    -Enabled $true

Consultar y ver eventos de auditoría de seguridad y DNS con Azure Monitor

Las áreas de trabajo de Log Analytics permiten ver y analizar los eventos de auditoría de seguridad y DNS mediante Azure Monitor y el lenguaje de consulta Kusto. Este lenguaje de consulta está diseñado para un uso de solo lectura que ofrece eficaces funcionalidades analíticas con una sintaxis fácil de leer. Para obtener más información para empezar a usar el lenguaje de consulta Kusto, vea los siguientes artículos:

Las consultas de ejemplo siguientes se pueden usar para empezar a analizar eventos de auditoría de Domain Services.

Consulta de ejemplo 1

Vea todos los eventos de bloqueo de cuentas de los últimos siete días:

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

Consulta de ejemplo 2

Vea todos los eventos de bloqueo de cuentas (4740) entre el 3 de junio de2020 a las 09.00 h y la medianoche del 10 de junio de 2020, ordenados de forma ascendente por la fecha y hora:

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc

Consulta de ejemplo 3

Vea eventos de inicio de sesión de cuenta de hace siete días (a partir de ahora) de la cuenta denominada user:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

Consulta de ejemplo 4

Vea eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de la cuenta denominada user que ha intentado iniciar sesión con una contraseña incorrecta (0xC0000006a):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Consulta de ejemplo 5

Vea eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de la cuenta denominada user que ha intentado iniciar sesión mientras la cuenta estaba bloqueada (0xC0000234):

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))

Consulta de ejemplo 6

Vea el número de eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de todos los intentos de inicio de sesión que se han producido por parte de todos los usuarios bloqueados:

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()

Auditoría de las categorías de eventos de seguridad y DNS

Las auditorías de seguridad y DNS de Domain Services se alinean con las auditorías tradicionales de los controladores de dominio de AD DS tradicionales. En entornos híbridos, puede reutilizar patrones de auditoría existentes para que se pueda usar la misma lógica al analizar los eventos. En función del escenario que deba analizar o cuyos problemas deba solucionar, es necesario establecer como destino las distintas categorías de eventos de auditoría.

Hay disponibles las siguientes categorías de eventos de auditoría:

Nombre de categoría de auditoría Descripción
Inicio de sesión de la cuenta Audita los intentos para autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local.
-Configuración de la directiva de inicio y cierre de sesión e intentos de seguimiento de eventos para acceder a un equipo determinado. La configuración y los eventos de esta categoría se centran en la base de datos de cuenta que se está utilizando. Esta categoría incluye las subcategorías siguientes:
-Auditar validación de credenciales
-Auditar servicio de autenticación Kerberos
-Auditar operaciones de vales de servicio Kerberos
-Auditar otros eventos de inicio y cierre de sesión
Administración de cuentas Audita los cambios en grupos y cuentas de usuarios y equipos. Esta categoría incluye las subcategorías siguientes:
-Auditar administración de grupos de aplicaciones
-Auditar administración de cuentas de equipo
-Auditar administración de grupos de distribución
-Auditar otros eventos de administración de cuentas
-Auditar administración de grupos de seguridad
-Auditar administración de cuentas de usuario
Servidor DNS Audita los cambios en los entornos DNS. Esta categoría incluye las subcategorías siguientes:
- DNSServerAuditsDynamicUpdates (versión preliminar)
- DNSServerAuditsGeneral (versión preliminar)
Seguimiento de detalles Audita las actividades de aplicaciones individuales y usuarios de ese equipo, y ayuda a entender cómo se usa un equipo. Esta categoría incluye las subcategorías siguientes:
-Auditar actividad DPAPI
-Auditar actividad PNP
-Auditar creación de procesos
-Auditar finalización de procesos
-Auditar eventos de RPC
Acceso a Directory Services Audita los intentos para acceder y modificar objetos en Active Directory Domain Services (AD DS). Estos eventos de auditoría se registran solo en controladores de dominio. Esta categoría incluye las subcategorías siguientes:
-Auditar replicación de servicio de directorio detallada
-Auditar el acceso del servicio de directorio
-Auditar cambios de servicio de directorio
-Auditar replicación de servicio de directorio
Cierre de sesión-Inicio de sesión Audita los intentos de iniciar sesión en un equipo de forma interactiva o a través de una red. Estos eventos son útiles para el seguimiento de la actividad de usuario y la identificación de posibles ataques contra los recursos de red. Esta categoría incluye las subcategorías siguientes:
-Auditar bloqueo de cuentas
-Auditar reclamaciones de usuario o dispositivo
-Auditar modo extendido de IPsec
-Auditar pertenencia a grupos
-Auditar modo principal de IPsec
-Auditar modo rápido de IPsec
-Auditar cierre de sesión
-Auditar inicio de sesión
-Auditar servidor de directivas de redes
-Auditar otros eventos de inicio y cierre de sesión
-Auditar inicio de sesión especial
Acceso a objetos Audita los intentos de acceso a determinados objetos o tipos de objetos en un equipo o red. Esta categoría incluye las subcategorías siguientes:
-Auditar aplicación generada
-Auditar servicios de certificación
-Auditar recurso compartido de archivos detallado
-Auditar recurso compartido de archivos
-Auditar el sistema de archivos
-Auditar conexión de plataforma de filtrado
-Auditar colocación de paquetes de la plataforma de filtrado
-Auditar la manipulación de identificadores
-Auditar el objeto de kernel
-Auditar otros eventos de acceso a objetos
-Auditar el Registro
-Auditar el almacenamiento extraíble
-Auditar SAM
-Auditar almacenamiento provisional de directiva de acceso central
Cambio de directiva Audita los cambios en directivas de seguridad importantes en una red o sistema local. Los administradores suelen ser los responsables de establecer las directivas para ayudar a proteger los recursos de red. La supervisión de los cambios o intentos para cambiar estas directivas puede ser un aspecto importante de la administración de seguridad para una red. Esta categoría incluye las subcategorías siguientes:
-Auditar cambio de directiva de auditoría
-Auditar cambio de directiva de autenticación
-Auditar cambio de directiva de autorización
-Auditar cambio de directiva de la plataforma de filtrado
-Auditar cambio de directiva del nivel de reglas de MPSSVC
-Auditar otros eventos de cambio de directiva
Uso de privilegios Audita el uso de determinados permisos en uno o varios sistemas. Esta categoría incluye las subcategorías siguientes:
-Auditar uso de privilegios no confidenciales
-Auditar uso de privilegios confidenciales
-Auditar otros eventos de uso de privilegios
Sistema Audita los cambios del nivel de sistema en un equipo no incluido en otras categorías y que tienen posibles implicaciones de seguridad. Esta categoría incluye las subcategorías siguientes:
-Auditar controlador IPsec
-Auditar otros eventos del sistema
-Auditar cambio de estado de seguridad
-Auditar extensión del sistema de seguridad
-Auditar integridad del sistema

Identificadores de eventos por categoría

Las auditorías de seguridad y DNS de Domain Services registran los siguientes identificadores de eventos cuando la acción específica desencadena un evento que se puede auditar:

Nombre de categoría de eventos Id. de evento
Seguridad de inicio de sesión de la cuenta 4767, 4774, 4775, 4776, 4777
Seguridad de administración de la cuenta 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Seguridad de seguimiento de detalles None
Servidor DNS 513-523, 525-531, 533-537, 540-582
Seguridad de acceso de DS 5136, 5137, 5138, 5139, 5141
Seguridad de cierre de sesión-inicio de sesión 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964
Seguridad de acceso de objeto None
Seguridad de cambio de directiva 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Seguridad de uso de privilegios 4985
Seguridad del sistema 4612, 4621

Pasos siguientes

Para obtener información concreta sobre Kusto, vea los siguientes artículos: