Tutorial: Transmisión de registros de Azure Active Directory a un centro de eventos de Azure

En este tutorial, aprenderá a configurar diagnósticos de Azure Monitor para transmitir registros de Azure Active Directory (Azure AD) a un centro de eventos de Azure. Use este mecanismo para integrar sus registros con las herramientas de Administración de eventos e información de seguridad (SIEM) de terceros, como Splunk y QRadar.

Prerrequisitos

Para usar esta característica, necesita:

  • Suscripción a Azure. Si no tiene ninguna suscripción de Azure, puede registrarse para obtener una evaluación gratuita.
  • Un inquilino de Azure AD.
  • Un usuario que sea administrador global o administrador de seguridad para el inquilino de Azure AD.
  • Un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure. Aprenda a crear un centro de eventos.

Transmitir registros a un centro de eventos

  1. Inicie sesión en Azure Portal.

  2. Seleccione Azure Active Directory>Registros de auditoría.

  3. Seleccione Exportar configuración de datos.

  4. En el panel Configuración de diagnóstico, realice una de las siguientes acciones:

    • Para cambiar la configuración existente, seleccione Editar configuración.
    • Para agregar la nueva configuración, seleccione Agregar configuración de diagnóstico.
      Puede tener un máximo de tres configuraciones.
  5. Seleccione la casilla Stream to an event hub (Hacer streaming a un centro de eventos) y haga clic en Event Hub/Configure (Centro de eventos/Configurar).

    Export settings

    1. Seleccione la suscripción de Azure y el espacio de nombres de Event Hubs al que desea enrutar los registros.
      Tanto la suscripción como el espacio de nombres de Event Hubs deben estar asociados al inquilino de Azure AD desde el que se envían los registros por streaming. También se puede especificar un centro de eventos en el espacio de nombres de Event Hubs al que se deben enviar los registros. Si no se especifica ningún centro de eventos, se crea uno en el espacio de nombres con el nombre predeterminado insights-logs-audit.

    2. Seleccione cualquier combinación de los siguientes elementos:

      • Para enviar los registros de auditoría al centro de eventos, seleccione la casilla AuditLogs.
      • Para enviar los registros de inicio de sesión del usuario interactivos al centro de eventos, active la casilla SignInLogs.
      • Para enviar los registros de inicio de sesión del usuario no interactivos al centro de eventos, seleccione la casilla NonInteractiveUserSignInLogs.
      • Para enviar los registros de inicio de sesión de la entidad de servicio al centro de eventos, seleccione la casilla ServicePrincipalSignInLogs.
      • Para enviar los registros de inicio de sesión de la entidad administrada al centro de eventos, seleccione la casilla ManagedIdentitySignInLogs.
      • Para enviar registros de aprovisionamiento al centro de eventos, active la casilla ProvisioningLogs.
      • Para enviar inicios de sesión enviados a Azure AD por un agente de AD FS Connect Health, active la casilla ADFSSignInLogs.
      • Para enviar información sobre un usuario de riesgo, active la casilla RiskyUsers (Usuarios de riesgo).
      • Para enviar información de eventos de riesgo de usuario, active la casilla UserRiskEvents.

      Nota:

      Algunas categorías de inicio de sesión contienen grandes cantidades de datos de registro en función de la configuración del inquilino. En general, los inicios de sesión de usuario no interactivos y los inicios de sesión de entidad de servicio pueden ser entre 5 y 10 veces mayores que los inicios de sesión de usuario interactivos.

    3. Seleccione Guardar para guardar la configuración.

  6. Quince minutos después, compruebe que los eventos se muestran en el centro de eventos. Para ello, vaya al centro de eventos desde el portal y compruebe que el número de mensajes entrantes es mayor que cero.

    Audit logs

Acceso a datos desde un centro de eventos

Después de mostrar los datos del centro de eventos, puede acceder y leer los datos de dos maneras:

Pasos siguientes