Tutorial: Configuración de un área de trabajo de análisis de registros

Artículo
02/20/2024

En este tutorial, aprenderá a:

Configure un área de trabajo de Log Analytics para sus registros de auditoría e inicio de sesión
Ejecutar consultas mediante el lenguaje de consulta de Kusto (KQL)
Crear un libro personalizado mediante la plantilla de inicio rápido
Agregar una consulta a una plantilla de libro existente

Requisitos previos

Para analizar los registros de actividad con Log Analytics, necesita los siguientes roles y requisitos:

Licencia de supervisión y mantenimiento de Microsoft Entra
Un área de trabajo de Log Analytics y acceso a esa área de trabajo
El rol adecuado para Azure Monitor:
- Lector de supervisión
- Lector de Log Analytics
- Colaborador de supervisión
- Colaborador de Log Analytics
El rol adecuado para Microsoft Entra ID:
- Lector de informes
- Lector de seguridad
- Lector global
- Administrador de seguridad

Familiarícese con estos artículos:

Configuración de Log Analytics

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

Este procedimiento describe cómo configurar un área de trabajo de Log Analytics para sus registros de auditoría e inicio de sesión. Para configurar un área de trabajo de Log Analytics es necesario crear el área de trabajo y, luego, configurar los ajustes de diagnóstico.

Creación del área de trabajo

Inicie sesión en Azure Portal como administrador de seguridad y colaborador de Log Analytics como mínimo.
Vaya a las áreas de trabajo de Log Analytics.
Seleccione Crear.
En la página Crear un área de trabajo de Log Analytics, siga estos pasos:
1. Seleccione su suscripción.
2. Seleccione un grupo de recursos.
3. Asigne un nombre a su área de trabajo.
4. Seleccione su región.
Seleccione Revisar + crear.
Seleccione Crear y espere a que se implemente. Es posible que tenga que actualizar la página para ver la nueva área de trabajo.

Configuración de diagnóstico

Para configurar los ajustes de Diagnóstico, es necesario cambiar al Centro de administración de Microsoft Entra para enviar la información de su registro de identidad a su nueva área de trabajo.

Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico.
Seleccione Agregar configuración de diagnóstico.
En la página Configuración de diagnóstico, realice los pasos siguientes:
1. En Detalles de la categoría, seleccione AuditLogs y SigninLogs.
2. En Detalles de destino, seleccione Enviar a Log Analytics y, a continuación, seleccione la nueva área de trabajo de Log Analytics.
3. Seleccione Guardar.

Sus registros pueden ser consultados usando el Lenguaje de Consulta Kusto (KQL) en Log Analytics. Tal vez tenga que esperar unos 15 minutos hasta que aparezcan los registros.

Ejecución de consultas en Log Analytics

En este procedimiento se describe cómo ejecutar consultas mediante el lenguaje de consulta de Kusto (KQL) .

Ejecución de una consulta

Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
Vaya a Identidad>Supervisión y estado>Log Analytics.
En el cuadro de texto Buscar, escriba la consulta y seleccione Ejecutar.

Ejemplos de consultas de KQL

Tome 10 entradas aleatorias de los datos de entrada:

SigninLogs | take 10

Consulte los inicios de sesión en los que el acceso condicional fue correcto:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus

Cuente el número de instancias correctas:

SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count

Agregue el recuento de inicios de sesión correctos por usuario por día:

SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)

Vea el número de veces que un usuario realiza una determinada operación en un período de tiempo específico:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity

Dinamice los resultados con el nombre de la operación:

AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)

Combine los registros de auditoría e inicio de sesión mediante una combinación interna:

AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated

Vea el número de inicios de sesión por tipo de aplicación cliente:

SigninLogs | summarize count() by ClientAppUsed

Cuente los inicios de sesión por día:

SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)

Tome 5 entradas aleatorias e incluya las columnas que desea ver en los resultados:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Tome las 5 entradas principales en orden descendente e incluya las columnas que desea ver:

SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated

Cree una nueva columna combinando los valores de otras dos columnas:

SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed

Creación de un libro personalizado

En este procedimiento se muestra cómo crear un nuevo libro mediante la plantilla de inicio rápido.

Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Supervisión y estado>Libros.
En la sección Inicio rápido, seleccione Vacío.
En el menú Agregar, seleccione Agregar texto.
En el cuadro de texto, escriba # Client apps used in the past week y seleccione Edición finalizada.
Debajo de la ventana de texto, abra el menú Agregar y seleccione Agregar consulta.
En el cuadro de texto de consulta, escriba: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed
Seleccione Ejecutar consulta.
En la barra de herramientas, en el menú Visualización, seleccione Gráfico circular.
Seleccione Edición finalizada en la parte superior de la página.
Seleccione el icono Guardar para guardar el libro.
En el cuadro de diálogo que aparece, escriba un título, seleccione un grupo de Recursos y seleccione Aplicar.

Incorporación de una consulta a una plantilla de libro

Este procedimiento muestra cómo agregar una consulta a una plantilla de libro existente. El ejemplo se basa en una consulta que muestra la distribución de los errores de acceso condicional.

Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
Vaya a Identidad>Supervisión y estado>Libros.
En la sección de Acceso condicional, seleccione Información de acceso condicional e informes.
En la barra de herramientas, seleccione Editar.
En la barra de herramientas, seleccione los tres puntos situados junto al botón Editar, luego Agregar y, por último, Agregar consulta.
En el cuadro de texto de consulta, escriba: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus
Seleccione Ejecutar consulta.
En el menú Intervalo de tiempo, seleccione Establecer en consulta.
En el menú Visualización, seleccione Gráfico de barras.
Abra la Configuración avanzada.
En el campo Título del gráfico, escriba Conditional Access status over the last 20 days y seleccione Edición finalizada.