Conexión de datos de Azure Active Directory (Azure AD) a Microsoft Sentinel

  • Artículo
  • Tiempo de lectura: 3 minutos

Nota:

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Importante

Como se indica a continuación, algunos de los tipos de registro disponibles están actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Puede usar el conector integrado de Microsoft Sentinel para recopilar datos de Azure Active Directory y transmitirlos a la solución. El conector permite transmitir los siguientes tipos de registro:

  • Registros de inicio de sesión, que contienen información sobre inicios de sesión de usuario interactivos, donde un usuario proporciona un factor de autenticación.

    Ahora, el conector de Azure AD incluye las tres categorías adicionales de registros de inicio de sesión, que se encuentran actualmente en versión preliminar:

  • Registros de auditoría, que contienen información sobre la actividad del sistema relativa a la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio.

  • Registros de aprovisionamiento (también en versión preliminar), que contienen información sobre la actividad del sistema relativa a usuarios, grupos y roles aprovisionados por el servicio de aprovisionamiento de Azure AD.

Requisitos previos

  • Se necesita una licencia de Azure Active Directory P1 o P2 para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Azure AD (gratuita/O365/P1/P2) es suficiente para ingerir los otros tipos de registro. Se pueden aplicar cargos adicionales por gigabyte en el caso de Azure Monitor (Log Analytics) y Microsoft Sentinel.

  • Su usuario debe tener asignado el rol Colaborador de Microsoft Sentinel en el área de trabajo.

  • El usuario debe tener asignados los roles Administrador global o Administrador de seguridad en el inquilino desde el que quiere transmitir los registros.

  • El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Azure AD para poder ver el estado de la conexión.

Conectarse a Azure Active Directory

  1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

  2. En la galería de conectores de datos, seleccione Azure Active Directory y luego Open connector page (Abrir página del conector).

  3. Active las casillas situadas junto a los tipos de registros que quiera transmitir a Microsoft Sentinel (véase anteriormente) y seleccione Conectar.

Búsqueda de sus datos

Una vez establecida una conexión correcta, los datos aparecen en Registros, en la sección LogManagement, de las tablas siguientes:

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs

Para consultar los registros de Azure AD, escriba el nombre de tabla correspondiente en la parte superior de la ventana de consulta.

Pasos siguientes

En este documento ha aprendido a conectar Azure Active Directory a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: