Análisis de registros de actividad de Microsoft Entra con Log Analytics

Después de integrar los registros de actividad de Microsoft Entra con los registros de Azure Monitor, puede usar la eficacia de Log Analytics y Azure Monitor para obtener información sobre el entorno.

  • Comparar los registros de inicio de sesión de Microsoft Entra con los registros de seguridad publicados por Microsoft Defender for Cloud.

  • Solucionar problemas de cuellos de botella de rendimiento en la página de inicio de sesión de la aplicación mediante la correlación de datos de rendimiento de la aplicación de Azure Application Insights.

  • Analice los usuarios que suponen un riesgo como los registros de detección de riesgo de Identity Protection para detectar amenazas en el entorno.

En este artículo, se describe cómo analizar los registros de actividad de Microsoft Entra en el área de trabajo de Log Analytics.

Requisitos previos

Para analizar los registros de actividad con Log Analytics, necesita:

  • Un inquilino de Microsoft Entra con una licencia Premium P1
  • Un área de trabajo de Log Analytics y acceso a la misma
  • Los roles adecuados para Azure Monitor y Microsoft Entra ID

Área de trabajo de Log Analytics

Debe crear un área de trabajo de Log Analytics. Hay varios factores que determinan el acceso a las áreas de trabajo de Log Analytics. Necesita los roles adecuados para el área de trabajo y los recursos que envían los datos.

Para obtener más información, consulte Administración del acceso a las áreas de trabajo de Log Analytics.

Roles de Azure Monitor

Azure Monitor proporciona dos roles integrados para ver los datos de supervisión y editar la configuración de supervisión. El control de acceso basado en rol (RBAC) de Azure también proporciona dos roles integrados de Log Analytics que conceden acceso similar.

  • Ver:

    • Lector de supervisión
    • Lector de Log Analytics
  • Vista y modificación de la configuración:

    • Colaborador de supervisión
    • Colaborador de Log Analytics

Para más información sobre los roles integrados en Azure, consulte Roles, permisos y seguridad en Azure Monitor.

Para más información sobre los roles RBAC de Log Analytics, consulte Roles integrados de Azure

Roles de Microsoft Entra

El acceso de solo lectura permite ver los datos de registro de Microsoft Entra ID dentro de un libro, consultar datos de Log Analytics o leer registros en el centro de administración de Microsoft Entra. El acceso de actualización agrega la capacidad de crear y editar la configuración de diagnóstico para enviar datos de Microsoft Entra a un área de trabajo de Log Analytics.

  • Lectura:

    • Lector de informes
    • Lector de seguridad
    • Lector global
  • Actualizar:

    • Administrador de seguridad

Para obtener más información sobre los roles integrados de Microsoft Entra, consulte roles integrados de Microsoft Entra.

Acceso a Log Analytics

Para ver Log Analytics de Microsoft Entra ID, ya debe estar enviando los registros de actividad de Microsoft Entra ID a un área de trabajo de Log Analytics. Este proceso se trata en el artículo Integración de registros de actividad con Azure Monitor.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

  2. Vaya a Identidad>Supervisión y estado>Log Analytics. Se ejecuta una consulta de búsqueda predeterminada.

    Default query

  3. Expanda la categoría LogManagement para ver la lista de consultas relacionadas con el registro.

  4. Seleccione o mantenga el puntero sobre el nombre de una consulta para ver una descripción y otros detalles útiles.

    Screenshot of the details of a query.

  5. Expanda una consulta de la lista para ver el esquema.

    Screenshot of the schema of a query.

Consulta de registros de actividad

Puede ejecutar consultas en los registros de actividad que se enrutan a un área de trabajo de Log Analytics. Por ejemplo, para obtener una lista de las aplicaciones con los inicios de sesión más importantes de la semana pasada, escriba la siguiente consulta y seleccione el botón Ejecutar.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

Para obtener unos mejores eventos de auditoría de la última semana, utilice la siguiente consulta:

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Configuración de alertas

También puede configurar alertas en una consulta. Después de ejecutar una consulta, el botón + Nueva regla de alertas se activa.

  1. En Log Analytics, seleccione el botón + Nueva regla de alertas.

    • El proceso Crear una regla implica varias secciones para personalizar los criterios de la regla.
    • Para obtener más información sobre la creación de reglas de alertas, consulte Creación de una nueva regla de alertas desde la documentación de Azure Monitor, empezando por los pasos de Condición.

    Screenshot of the

  2. En la pestaña Acciones, selecciona el Grupo de acciones que debería recibir la alerta cuando se produzca la señal.

    • Puede elegir notificar al equipo por correo electrónico o mensaje de texto, o puede automatizar la acción mediante webhooks, funciones de Azure o aplicaciones lógicas.
    • Obtenga más información sobre cómo crear y administrar grupos de alerta en Azure Portal.
  3. En la pestaña Detalles, asigne un nombre a la regla de alertas y asóciela a una suscripción y un grupo de recursos.

  4. Después de configurar todos los detalles necesarios, seleccione el botón Revisar y crear.

Uso de libros para analizar registros

Los libros de Microsoft Entra proporcionan varios informes relacionados con escenarios comunes que implican eventos de auditoría, inicio de sesión y aprovisionamiento. También se puede alertar sobre cualquiera de los datos proporcionados en los informes, siguiendo los pasos descritos en la sección anterior.

  • Análisis de aprovisionamiento: en este libro se muestran informes relacionados con la actividad de aprovisionamiento de auditoría. Las actividades pueden incluir el número de nuevos usuarios aprovisionados, los errores de aprovisionamiento, el número de usuarios actualizados, los errores de actualización, el número de usuarios desaprovisionados y los errores correspondientes. Para obtener más información, consulte Entienda cómo se integra el aprovisionamiento con los registros de Azure Monitor.

  • Sign-ins Events (Eventos de inicio de sesión): este libro muestra los informes más importantes relacionados con la supervisión de la actividad de inicio de sesión, como los inicios de sesión por aplicación, usuario y dispositivo, así como una vista resumida que muestra el número de inicios de sesión a lo largo del tiempo.

  • Información detallada del acceso condicional: el libro Información detallada e informes del acceso condicional le permite comprender el efecto de las directivas de acceso condicional en su organización a lo largo del tiempo. Para más información, vea Información detallada e informes del acceso condicional.

Pasos siguientes