Integración de registros de Azure AD con registros de Azure Monitor

Siga los pasos de este artículo para integrar los registros de Azure Active Directory (Azure AD) con Azure Monitor.

Use la integración de los registros de actividad de Azure AD en los registros de Azure Monitor para realizar tareas como:

  • Comparar los registros de inicio de sesión de Azure AD con los registros de seguridad publicados por Microsoft Defender for Cloud.

  • Solucionar problemas de cuellos de botella de rendimiento en la página de inicio de sesión de la aplicación mediante la correlación de datos de rendimiento de la aplicación de Azure Application Insights.

  • Analizar tanto los usuarios que suponen un riesgo como los registros de detección de riesgo de Identity Protection para detectar amenazas en el entorno (versión preliminar pública)

  • Identificar los inicios de sesión de las aplicaciones que usan la Biblioteca de autenticación de Active Directory (ADAL) para la autenticación. Está a punto llegar la fecha de finalización del soporte técnico de ADAL.

Este vídeo de una sesión de Microsoft Ignite muestra las ventajas del uso de registros de Azure Monitor para los registros de Azure AD en escenarios prácticos:

Informes admitidos

Puede enrutar los registros de actividad de auditoría y los registros de actividad de inicio de sesión en registros de Azure Monitor para su posterior análisis.

  • Registros de auditoría: el informe de actividad de registros de auditoría le proporciona acceso al historial de todas las tareas llevadas a cabo en el inquilino.
  • Registros de inicio de sesión: Con el informe de actividad de inicios de sesión, puede determinar quién ha realizado las tareas notificadas en el informe de registros de auditoría.
  • Registros de aprovisionamiento: Con los registros de aprovisionamiento, puede supervisar qué usuarios se han creado, actualizado y eliminado en todas las aplicaciones de terceros.
  • Registros de usuarios de riesgo (versión preliminar pública) : con los registros de usuarios de riesgo, se pueden supervisar los cambios en el nivel de riesgo de los usuarios y en la actividad de corrección.
  • Registros de detecciones de riesgo (versión preliminar pública) : con los registros de detecciones de riesgo se pueden supervisar las detecciones de riesgo del usuario y analizar las tendencias en la actividad de riesgo detectada en la organización.

Requisitos previos

Para usar esta característica, necesita:

Requisitos de concesión de licencia

Necesita un inquilino de Azure AD Premium P1 o P2 para usar esta característica. Puede encontrar el tipo de licencia del inquilino en la página Información general en Azure Active Directory.

Información del inquilino

Si desea saber durante cuánto tiempo se almacenan los datos de actividad en un inquilino prémium, consulte ¿Durante cuánto tiempo Azure AD almacena los datos?

Envío de registros a Azure Monitor

  1. Inicie sesión en Azure Portal.

  2. Seleccione Azure Active Directory>Configuración de diagnóstico ->Agregar configuración de diagnóstico. También puede seleccionar Exportar configuraciones desde la página Registros de auditoría o Inicios de sesión para ir a la página de configuración de diagnóstico.

  3. En el menú Configuración de diagnóstico, seleccione la casilla Enviar a área de trabajo de Log Analytics y, después, seleccione Configurar.

  4. Seleccione el área de trabajo de Log Analytics a la que quiere enviar los registros o cree una nueva área de trabajo en el cuadro de diálogo proporcionado.

  5. Realice cualquiera de las siguientes acciones, o todas ellas:

    • Para enviar los registros de auditoría al área de trabajo de Log Analytics, seleccione la casilla AuditLogs.
    • Para enviar los registros de inicio de sesión al área de trabajo de Log Analytics, seleccione la casilla SignInLogs.
    • Para enviar los registros de inicio de sesión de los usuarios no interactivos al área de trabajo de Log Analytics, active la casilla NonInteractiveUserSignInLogs.
    • Para enviar los registros de inicio de sesión de las entidades de servicio al área de trabajo de Log Analytics, active la casilla ServicePrincipalSignInLogs.
    • Para enviar los registros de inicio de sesión de entidades administradas al área de trabajo de Log Analytics, active la casilla ManagedIdentitySignInLogs.
    • Para enviar registros de aprovisionamiento al área de trabajo de Log Analytics, active la casilla ProvisioningLogs.
    • Para enviar Servicios de federación de Active Directory (AD FS) de inicio de sesión (ADFS) al área de trabajo de Log Analytics, seleccione ADFSSignInLogs.
    • Para enviar registros de usuarios de riesgo al área de trabajo de Log Analytics, active la casilla RiskyUsers. (versión preliminar pública)
    • Para enviar registros de detecciones de riesgo al área de trabajo de Log Analytics, active la casilla UserRiskEvents. (versión preliminar pública)
  6. Seleccione Guardar para guardar la configuración.

    Configuración de diagnóstico

  7. Después de unos 15 minutos, compruebe que los eventos se transmiten al área de trabajo de Log Analytics.

Pasos siguientes