Compartir vía


¿Qué es la supervisión y el mantenimiento de Microsoft Entra?

Las características de supervisión y estado de Microsoft Entra proporcionan una vista completa de la actividad relacionada con la identidad en su entorno. Estos datos le permiten:

  • Determinar cómo utilizan los usuarios las aplicaciones y servicios.
  • Detectar posibles riesgos que afectan al estado del entorno.
  • Solucionar problemas que impiden a los usuarios finalizar su trabajo.
  • Obtener conclusiones tras ver los eventos de auditoría de los cambios en su directorio de Microsoft Entra.

Los registros de inicio de sesión y auditoría constituyen los registros de actividad de muchos informes de Microsoft Entra, que se pueden usar para analizar, supervisar y solucionar problemas de actividad en el inquilino. El enrutamiento de los registros de actividad a una solución de análisis y supervisión proporciona más información sobre el estado y la seguridad del inquilino.

En este artículo se describen los tipos de registros de actividad disponibles en Microsoft Entra ID, los informes que usan los registros y los servicios de supervisión disponibles para ayudarle a analizar los datos.

Registros de actividad de identidad

Los registros de actividad le ayudan a comprender el comportamiento de los usuarios de su organización. Hay tres tipos de registros de actividad en Microsoft Entra ID:

Los registros de actividad se pueden ver en Azure Portal o mediante Microsoft Graph API. Los registros de actividad también se pueden enrutar a varios puntos de conexión para el almacenamiento o el análisis. Para obtener información sobre todas las opciones para ver los registros de actividad, vea Acceso a los registros de actividad.

Registros de auditoría

Los registros de auditoría le proporcionan registros de las actividades del sistema de cara al cumplimiento. Estos datos le permiten abordar cuestiones comunes como:

  • Algún usuario de mi inquilino obtuvo acceso a un grupo de administración. ¿Quién les dio acceso?
  • Quiero conocer la lista de usuarios que inician sesión en una aplicación específica, ya que la puse en marcha recientemente y quiero saber si está funcionando correctamente.
  • Quiero saber cuántos restablecimientos de contraseña se producen en mi inquilino.

Registros de inicio de sesión

Los registros de inicios de sesión le permiten encontrar respuestas a preguntas como:

  • ¿Cuál es el patrón de inicio de sesión de un usuario?
  • ¿Cuántos usuarios tienen usuarios que han iniciado sesión durante una semana?
  • ¿Cuál es el estado de estos inicios de sesión?

Registros de aprovisionamiento

Puede usar los registros de aprovisionamiento para encontrar respuestas a preguntas como:

  • ¿Qué grupos se han creado correctamente en ServiceNow?
  • ¿Qué usuarios se han quitado correctamente de Adobe?
  • ¿Qué usuarios de Workday se crearon correctamente en Active Directory?

Informes de identidad

Revisar los datos de los registros de actividad de Microsoft Entra puede proporcionar información útil para los administradores de TI. Para optimizar el proceso de revisión de datos en escenarios clave, hemos creado varios informes sobre escenarios comunes en los que se usan los registros de actividad.

  • Identity Protection usa datos de inicio de sesión para crear informes sobre usuarios de riesgo y actividades de inicio de sesión.
  • La actividad relacionada con las aplicaciones, como la entidad de servicio y la actividad de credenciales de la aplicación, se usan para crear informes en Uso y conclusiones.
  • Los libros de Microsoft Entra proporcionan una manera personalizable de ver y analizar los registros de actividad.
  • Supervise el estado de las recomendaciones de Microsoft Entra para mejorar la seguridad del inquilino.
  • Microsoft Entra Health captura la consecución del acuerdo de nivel de servicio global y las señales de estado para varios escenarios clave.

Supervisión de identidades y estado del inquilino

Revisar los registros de actividad de Microsoft Entra es el primer paso para mantener y mejorar el estado y la seguridad del inquilino. Debe analizar los datos, supervisar los escenarios de riesgo y determinar dónde puede realizar mejoras. La supervisión de Microsoft Entra proporciona las herramientas necesarias para ayudarle a tomar decisiones fundamentadas.

La supervisión de registros de actividad de Microsoft Entra requiere el enrutamiento de los datos de registro a una solución de supervisión y análisis. Los puntos de conexión incluyen registros de Azure Monitor, Microsoft Sentinel o una herramienta de administración de eventos e información de seguridad (SIEM) de soluciones de terceros.

Casos de uso

El uso de los registros, informes y servicios de supervisión disponibles depende de las necesidades de su organización. Para priorizar mejor los casos de uso y las soluciones, puede ayudar a ver cómo se relacionan estas soluciones entre sí, cómo difieren y cómo se pueden usar juntas.

Consideraciones

  • Retención: retención de registros: almacene los registros de auditoría y los registros de inicio de sesión de Microsoft Entra durante más de 30 días
  • Análisis: se puede realizar búsquedas en los registros con herramientas de análisis.
  • Información operativa y de seguridad: proporcione acceso al uso de la aplicación, a los errores de inicio de sesión, al uso del autoservicio, a tendencias, etc.
  • Integración de SIEM: integre y transmita registros de inicio de sesión y registros de auditoría de Microsoft Entra a sistemas de SIEM

Con la supervisión de Microsoft Entra, puede enrutar los registros de actividad de Microsoft Entra y conservarlos para informes y análisis a largo plazo para obtener información sobre el entorno e integrarlo con las herramientas de SIEM. Use el siguiente gráfico de flujo de decisión para ayudarlo a seleccionar una arquitectura.

Matriz de decisión para la arquitectura necesaria para la empresa.

Para obtener información general sobre cómo acceder a registros de actividad, almacenarlos y analizarlos, vea Acceso a los registros de actividad.