Tutorial: Transmisión de registros de Azure Active Directory a un centro de eventos de Azure
En este tutorial, aprenderá a configurar diagnósticos de Azure Monitor para transmitir registros de Azure Active Directory (Azure AD) a un centro de eventos de Azure. Use este mecanismo para integrar sus registros con las herramientas de Administración de eventos e información de seguridad (SIEM) de terceros, como Splunk y QRadar.
Prerrequisitos
Para usar esta característica, necesita:
- Suscripción a Azure. Si no tiene ninguna suscripción de Azure, puede registrarse para obtener una evaluación gratuita.
- Un inquilino de Azure AD.
- Un usuario que sea administrador global o administrador de seguridad para el inquilino de Azure AD.
- Un espacio de nombres de Event Hubs y un centro de eventos en la suscripción de Azure. Aprenda a crear un centro de eventos.
Transmitir registros a un centro de eventos
Inicie sesión en Azure Portal.
Seleccione Azure Active Directory>Registros de auditoría.
Seleccione Exportar configuración de datos.
En el panel Configuración de diagnóstico, realice una de las siguientes acciones:
- Para cambiar la configuración existente, seleccione Editar configuración.
- Para agregar la nueva configuración, seleccione Agregar configuración de diagnóstico.
Puede tener un máximo de tres configuraciones.
Seleccione la casilla Stream to an event hub (Hacer streaming a un centro de eventos) y haga clic en Event Hub/Configure (Centro de eventos/Configurar).
Seleccione la suscripción de Azure y el espacio de nombres de Event Hubs al que desea enrutar los registros.
Tanto la suscripción como el espacio de nombres de Event Hubs deben estar asociados al inquilino de Azure AD desde el que se envían los registros por streaming. También se puede especificar un centro de eventos en el espacio de nombres de Event Hubs al que se deben enviar los registros. Si no se especifica ningún centro de eventos, se crea uno en el espacio de nombres con el nombre predeterminado insights-logs-audit.Seleccione cualquier combinación de los siguientes elementos:
- Para enviar los registros de auditoría al centro de eventos, seleccione la casilla AuditLogs.
- Para enviar los registros de inicio de sesión del usuario interactivos al centro de eventos, active la casilla SignInLogs.
- Para enviar los registros de inicio de sesión del usuario no interactivos al centro de eventos, seleccione la casilla NonInteractiveUserSignInLogs.
- Para enviar los registros de inicio de sesión de la entidad de servicio al centro de eventos, seleccione la casilla ServicePrincipalSignInLogs.
- Para enviar los registros de inicio de sesión de la entidad administrada al centro de eventos, seleccione la casilla ManagedIdentitySignInLogs.
- Para enviar registros de aprovisionamiento al centro de eventos, active la casilla ProvisioningLogs.
- Para enviar inicios de sesión enviados a Azure AD por un agente de AD FS Connect Health, active la casilla ADFSSignInLogs.
- Para enviar información sobre un usuario de riesgo, active la casilla RiskyUsers (Usuarios de riesgo).
- Para enviar información de eventos de riesgo de usuario, active la casilla UserRiskEvents.
Nota:
Algunas categorías de inicio de sesión contienen grandes cantidades de datos de registro en función de la configuración del inquilino. En general, los inicios de sesión de usuario no interactivos y los inicios de sesión de entidad de servicio pueden ser entre 5 y 10 veces mayores que los inicios de sesión de usuario interactivos.
Seleccione Guardar para guardar la configuración.
Quince minutos después, compruebe que los eventos se muestran en el centro de eventos. Para ello, vaya al centro de eventos desde el portal y compruebe que el número de mensajes entrantes es mayor que cero.
Acceso a datos desde un centro de eventos
Después de mostrar los datos del centro de eventos, puede acceder y leer los datos de dos maneras:
Configurar una herramienta SIEM compatible. Para leer los datos del centro de eventos, la mayoría de las herramientas requieren la cadena de conexión al centro de eventos y determinados permisos para la suscripción de Azure. Herramientas de terceros con la integración de Azure Monitor incluidas, entre otras:
ArcSight: para más información sobre la integración de registros de Azure AD en ArcSight, consulte Integración de los registros de Azure Active Directory con ArcSight mediante Azure Monitor.
Splunk: para más información sobre cómo integrar los registros de Azure AD con Splunk, consulte Integración de registros de Azure AD con Splunk mediante Azure Monitor.
IBM QRadar: DSM y el protocolo de Azure Event Hubs están disponibles para descarga en el soporte técnico de IBM. Para más información sobre la integración con Azure, vaya al sitio IBM QRadar Security Intelligence Platform 7.3.0.
Sumo Logic: para configurar Sumo Logic para que consuma datos de un centro de eventos, consulte Install the Azure AD app and view the dashboards (Instalación de la aplicación de Azure AD y visualización de los paneles).
Configuración de herramientas personalizadas. Si su herramienta SIEM actual aún no se admite en los diagnósticos de Azure Monitor, puede configurar herramientas personalizadas mediante las API de Event Hubs. Para más información, consulte la Introducción a la recepción de mensajes con el Host del procesador de eventos en .NET Standard.
Pasos siguientes
- Creación de una configuración de diagnóstico para enviar registros de plataforma y métricas a diferentes destinos
- Integración de los registros de Azure Active Directory con ArcSight mediante Azure Monitor
- Integración de registros de Azure AD con Splunk mediante Azure Monitor
- Integración de registros de Azure AD con SumoLogic mediante Azure Monitor
- Integración de los registros de Azure AD con Elastic mediante un centro de eventos
- Interpretación del esquema de registros de auditoría en Azure Monitor
- Interpretación del esquema de registros de inicio de sesión en Azure Monitor