Integrar registros de Microsoft Entra con los registros de Azure Monitor

Con la Configuración de diagnóstico en Microsoft Entra ID puede integrar registros con Azure Monitor para que la actividad de inicio de sesión y la pista de auditoría de los cambios en el inquilino se puedan analizar junto con otros datos de Azure.

Este artículo proporciona los pasos para integrar los registros de Microsoft Entra con Azure Monitor.

Use la integración de los registros de actividad de Microsoft Entra y Azure Monitor para realizar las siguientes tareas:

  • Comparar los registros de inicio de sesión de Microsoft Entra con los registros de seguridad publicados por Microsoft Defender for Cloud.
  • Solucionar problemas de cuellos de botella de rendimiento en la página de inicio de sesión de la aplicación mediante la correlación de datos de rendimiento de la aplicación de Azure Application Insights.
  • Analice los usuarios que suponen un riesgo como los registros de detección de riesgo de Identity Protection para detectar amenazas en el entorno.
  • Identifique los inicios de sesión de las aplicaciones que aún usan la Biblioteca de autenticación de Active Directory (ADAL) para la autenticación. Obtenga información sobre el plan de fin de soporte técnico de ADAL.

Nota:

La integración de registros de Microsoft Entra con Azure Monitor habilita automáticamente el conector de datos de Microsoft Entra en Microsoft Sentinel.

Requisitos previos

Para usar esta característica, necesita:

  • Un inquilino de Microsoft Entra ID P1 o P2.

Creación de un área de trabajo de Log Analytics

Un área de trabajo de Log Analytics permite recopilar datos en función de una variedad o requisitos, como la ubicación geográfica de los datos, los límites de la suscripción o el acceso a los recursos. Aprenda a crear un área de trabajo de Log Analytics.

Para obtener información sobre cómo configurar un área de trabajo de Log Analytics para recursos de Azure fuera de Microsoft Entra ID, consulte Recopilar y ver registros de recursos para Azure Monitor.

Envío de registros a Azure Monitor

Sigue los siguientes pasos para enviar registros de Microsoft Entra ID a registros de Azure Monitor.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico. También puede seleccionar Exportar configuraciones desde la página de Registros de auditoría o Inicios de sesión.

  3. Seleccione + Agregar configuración de diagnóstico para crear una nueva integración o seleccione Editar configuración para una integración existente.

  4. Escriba un Nombre de configuración de diagnóstico. Si está editando una integración existente, no puede cambiar el nombre.

  5. Seleccione las categorías de registro que desee transmitir. Para obtener una descripción de cada categoría de registro, consulte ¿Cuáles son los registros de identidad que puede transmitir a un punto de conexión?

  6. En Detalles del destino, active la casilla Enviar al área de trabajo de Log Analytics.

  7. Seleccione la suscripción adecuada y el área de trabajo de Log Analytics en los menús.

  8. Seleccione el botón Guardar.

    Captura de pantalla de la configuración de diagnóstico con algunos detalles de destino que se muestran.

    Si no ve los registros que aparecen en el destino seleccionado después de 15 minutos, cierre la sesión y vuelva al Centro de administración de Microsoft Entra para actualizar los registros.