¿Qué son los registros de estado de red remota?

Las redes remotas, como una sucursal, dependen del equipo local del cliente (CPE) para conectar a los usuarios de esas ubicaciones a los recursos y servicios en línea que necesitan. Los usuarios esperan que CPE funcione para que puedan realizar su trabajo. Para mantener todos los usuarios conectados, debe garantizar el buen estado del túnel IPSec y el anuncio de ruta del Protocolo de puerta de enlace de borde (BGP). La información de enrutamiento y túnel de larga duración son las claves para el estado de la red remota.

En este artículo se describen varios métodos para acceder a los registros de estado de red remotos y analizarlos.

• Acceso a los registros en el Centro de administración de Microsoft Entra o Microsoft Graph API
• Exportación de registros a Log Analytics o a una herramienta de administración de eventos e información de seguridad (SIEM)
• Análisis de registros mediante un libro de Azure para Microsoft Entra
• Descarga de datos para almacenamiento a largo plazo

Requisitos previos

Para ver los registros de estado de red remotos en el Centro de administración de Microsoft Entra, necesita:

• Uno de los siguientes roles: Administrador de Acceso global seguroo Administrador de seguridad.
• El producto requiere licencias. Para obtener más información, consulte la sección de licencias de ¿Qué es el Acceso global seguro? Si es necesario, puede comprar una licencia u obtener licencias de prueba.
• Se requieren roles independientes para acceder a los registros con Microsoft Graph API e integrarlos con Log Analytics y Libros de Azure.

Visualización de los registros

Para ver los registros de estado de red remota, puede usar el Centro de administración de Microsoft Entra o Microsoft Graph API.

Centro de administración de Microsoft Entra

Para ver los registros de estado de red remota en el Centro de administración de Microsoft Entra:

1. Inicie sesión en el Centro de administración de Microsoft Entra como un Administrador de Acceso global seguro.

2. Vaya a Acceso global seguro>Supervisar>Registros de estado de red remota.

   

API de Microsoft Graph

Los registros globales de estado de red remota de acceso seguro se pueden ver y administrar mediante Microsoft Graph en el punto de conexión /beta.

Necesita uno de los siguientes permisos para acceder a los registros con Microsoft Graph API:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Para acceder a los registros de estado de red remotos con Microsoft Graph API:

1. Inicie sesión en Probador de Graph.
2. Seleccione GET como método HTTP.
3. Seleccione BETA como versión de la API.
4. Ejecute la siguiente consulta:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Respuesta (truncada):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Configuración de los valores de diagnóstico para exportar registros

La integración de registros con una herramienta SIEM como Log Analytics se configura a través de la configuración de diagnóstico en Microsoft Entra ID. Este proceso se trata detalladamente en el artículo Configuración del diagnóstico de Microsoft Entra para los registros de actividad.

Para configurar las opciones de diagnóstico, necesita:

• Acceso de Administrador de seguridad.
• Un área de trabajo de Log Analytics.

Los pasos básicos para configurar las opciones de diagnóstico son los siguientes:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.

3. Cualquier configuración de diagnóstico existente aparece en la tabla. Seleccione editar la configuración para cambiar una configuración existente o seleccione Agregar configuración de diagnóstico para crear una nueva configuración.

4. Proporcione un nombre.

5. Seleccione el RemoteNetworkHealthLogs (y cualquier otro registro) que quiera incluir.

   

6. Seleccione los destinos a los que desea enviar los registros.

7. Seleccione la suscripción y el destino en los menús desplegables que aparecen.

8. Seleccione el botón Guardar.

Nota:

Los registros pueden tardar hasta tres días en empezar a aparecer en el destino.

Una vez que los registros se enrutan a Log Analytics, puede aprovechar las siguientes características:

• Cree reglas de alerta para recibir notificaciones sobre cosas como un error de túnel BGP.
  • Para obtener más información, consulte Creación de una regla de alertas.
• Visualice los datos con un libro de Azure para Microsoft Entra (descrito en la sección siguiente).
• Integre los registros con Microsoft Sentinel para análisis de seguridad e inteligencia sobre amenazas.
  • Para obtener más información, siga el inicio rápido de Incorporación de Microsoft Sentinel.

Análisis de registros con un libro

Los Libros de Azure para Microsoft Entra proporcionan una representación visual de los datos. Una vez que haya configurado un área de trabajo de Log Analytics y una configuración de diagnóstico para integrar los registros con Log Analytics, puede usar un libro para analizar los datos a través de estas herramientas eficaces.

Consulte estos recursos útiles para libros:

• Creación de un libro de Azure
• Cómo usar los Libros de Identidad
• Creación de una alerta de libro

Descarga de registros

Hay disponible un botón Descargar en todos los registros, tanto en Acceso global seguro como en Supervisión y mantenimiento de Microsoft Entra. Puede descargar registros como un archivo JSON o CSV. Para obtener más información, consulte Cómo descargar registros.

Para restringir los resultados de los registros, seleccione Agregar filtro. Puede filtrar por:

• Descripción
• Identificador de red remota
• IP de origen
• IP de destino
• Recuento anunciado de rutas BGP

En la siguiente tabla se describe cada uno de los campos de los registros de estado de la red remota.

Nombre	Descripción
Fecha y hora de creación	Hora de generación de eventos original
Dirección IP de origen	Dirección IP del CPE. El par dirección IP/destino de origen es único para cada túnel IPsec.
Dirección IP de destino	Dirección IP de la puerta de enlace de Microsoft Entra. El par dirección IP/destino de origen es único para cada túnel IPsec.
Estado	Túnel conectado: Este evento se genera cuando se establece correctamente un túnel IPsec. Túnel desconectado: Este evento se genera cuando se desconecta un túnel IPsec. BGP conectado: Este evento se genera cuando se establece correctamente una conectividad de BGP. BGP desconectado: Este evento se genera cuando una conectividad de BGP deja de funcionar. Red remota activa: Esta estadística periódica se genera cada 15 minutos para todos los túneles activos.
Descripción	Descripción opcional del evento.
Recuento anunciado de rutas BGP	Recuento opcional de rutas BGP anunciadas a través del túnel IPsec. Este valor es 0 para los eventos Túnel conectado, Túnel desconectado, BGP conectado y BGP desconectado.
Bytes enviados	Número opcional de bytes enviados desde el origen al destino a través de un túnel durante los últimos 15 minutos. Este valor es 0 para los eventos Túnel conectado, Túnel desconectado, BGP conectado y BGP desconectado.
Bytes recibidos	Número opcional de bytes recibidos por origen del destino a través de un túnel durante los últimos 15 minutos. Este valor es 0 para los eventos Túnel conectado, Túnel desconectado, BGP conectado y BGP desconectado.
Identificador de red remota	Identificador de la red remota a la que está asociado el túnel.

Pasos siguientes

• Habilitación de registros de Microsoft 365 enriquecidos
• Exploración de los registros de tráfico de Acceso global seguro (vista previa)