Habilitación de auditorías de seguridad para Azure Active Directory Domain Services
Las auditorías de seguridad de Azure Active Directory Domain Services (Azure AD DS) permiten a Azure transmitir eventos de seguridad a recursos de destino. Estos recursos incluyen Azure Storage, áreas de trabajo de Azure Log Analytics o Azure Event Hubs. Después de habilitar los eventos de auditoría de seguridad, Azure AD DS envía todos los eventos auditados de la categoría seleccionada al recurso de destino.
Puede archivar eventos en Azure Storage y transmitir eventos a software de administración de eventos e información de seguridad (SIEM) (o equivalente) mediante Azure Event Hubs, o bien realizar sus propios análisis y usar áreas de trabajo de Azure Log Analytics en Azure Portal.
Importante
Las auditorías de seguridad de Azure AD DS solo están disponibles para los dominios administrados basados en Azure Resource Manager. Para obtener información sobre cómo migrar, vea Versión preliminar: Migración de Azure AD Domain Services desde el modelo de red virtual clásica a Resource Manager.
Destinos de auditorías de seguridad
Puede usar Azure Storage, Azure Event Hubs o áreas de trabajo de Azure Log Analytics como recurso de destino para las auditorías de seguridad de Azure AD DS. Estos destinos se pueden combinar. Por ejemplo, puede usar Azure Storage para archivar eventos de auditoría de seguridad, pero un área de trabajo de Azure Log Analytics para analizar la información a corto plazo y notificarla.
En la tabla siguiente se esbozan los escenarios para cada tipo de recurso de destino.
Importante
Debe crear el recurso de destino antes de habilitar las auditorías de seguridad de Azure AD DS. Puede crear estos recursos mediante Azure Portal, Azure PowerShell o la CLI de Azure.
| Recurso de destino | Escenario |
|---|---|
| Azure Storage | Este destino se debe usar cuando la necesidad principal es almacenar eventos de auditoría de seguridad para fines de archivado. Se pueden usar otros destinos para fines de archivado, pero esos destinos proporcionan funcionalidades que van más allá de la principal necesidad de archivado. Antes de habilitar eventos de auditoría de seguridad de Azure AD DS, cree una cuenta de Azure Storage. |
| Azure Event Hubs | Este destino debe usarse cuando la principal necesidad es compartir eventos de auditoría de seguridad con otro software, como software de análisis de datos o software de administración de eventos e información de seguridad (SIEM). Antes de habilitar eventos de auditoría de seguridad de Azure AD DS, cree un centro de eventos mediante Azure Portal |
| Área de trabajo de Azure Log Analytics | Este destino debe usarse cuando la principal necesidad es analizar y revisar auditorías de seguridad directamente en Azure Portal. Antes de habilitar eventos de auditoría de seguridad de Azure AD DS, cree un área de trabajo de Log Analytics en Azure Portal. |
Habilitar eventos de auditoría de seguridad mediante Azure Portal
Para habilitar eventos de auditoría de seguridad de Azure AD DS mediante Azure Portal, siga los pasos siguientes.
Importante
Las auditorías de seguridad de Azure AD DS no son retroactivas. No se pueden recuperar ni reproducir eventos del pasado. Azure AD DS solo puede enviar los eventos que se producen después de la habilitación de las auditorías de seguridad.
Inicie sesión en Azure Portal en https://portal.azure.com.
En la parte superior de Azure Portal, busque y seleccione Azure AD Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
En la ventana de Azure AD DS, seleccione Configuración de diagnóstico en el lado izquierdo.
No hay ningún diagnóstico configurado de forma predeterminada. Para empezar, seleccione Agregar configuración de diagnóstico.
Escriba un nombre para la configuración de diagnóstico, como aadds-auditing.
Active la casilla correspondiente al destino de auditoría de seguridad que quiere. Puede elegir entre una cuenta de Azure Storage, un centro de eventos de Azure o un área de trabajo de Log Analytics. Estos recursos de destino ya deben existir en la suscripción de Azure. No es posible crear los recursos de destino en este asistente.
- Almacenamiento de Azure
- Seleccione Archivar en una cuenta de almacenamiento y luego Configurar.
- Seleccione la Suscripción y la Cuenta de almacenamiento que quiere usar para archivar los eventos de auditoría de seguridad.
- Cuando esté listo, seleccione Aceptar.
- Azure Event Hubs
- Seleccione Transmitir a un centro de eventos y luego Configurar.
- Seleccione la Suscripción y el Espacio de nombres del centro de eventos. En caso necesario, seleccione también un Nombre del centro de eventos y luego un Nombre de directiva de centro de eventos.
- Cuando esté listo, seleccione Aceptar.
- Áreas de trabajo de Azure Log Analytics
- Seleccione Enviar a Log Analytics y luego la Suscripción y el Área de trabajo de Log Analytics que quiere usar para almacenar los eventos de auditoría de seguridad.
- Almacenamiento de Azure
Seleccione las categorías de registro que desee incluir para el recurso de destino determinado. Si envía los eventos de auditoría a una cuenta de Azure Storage, también puede configurar una directiva de retención que defina el número de días que se conservan los datos. Un valor predeterminado de 0 conserva todos los datos y no rota eventos tras un período de tiempo.
Puede seleccionar diferentes categorías de registro para cada recurso de destino dentro de una única configuración. Esto le permite elegir qué categorías de registros de Log Analytics quiere conservar y qué categorías de registros quiere archivar, por ejemplo.
Cuando termine, seleccione Guardar para confirmar los cambios. Los recursos de destino empiezan a recibir eventos de auditoría de seguridad de Azure AD DS poco después de que se guarde la configuración.
Habilitar eventos de auditoría de seguridad con Azure PowerShell
Para habilitar eventos de auditoría de seguridad de Azure AD DS mediante Azure PowerShell, siga estos pasos. Si es necesario, primero instale el módulo Azure PowerShell y conéctese a la suscripción de Azure.
Importante
Las auditorías de seguridad de Azure AD DS no son retroactivas. No se pueden recuperar ni reproducir eventos del pasado. Azure AD DS solo puede enviar los eventos que se producen después de la habilitación de las auditorías de seguridad.
Autentíquese en la suscripción de Azure con el cmdlet Connect-AzAccount. Cuando se le solicite, escriba las credenciales de la cuenta.
Connect-AzAccountCree el recurso de destino para los eventos de auditoría de seguridad.
Azure Storage - Creación de una cuenta de almacenamiento mediante Azure PowerShell
Azure Event Hubs - Creación de un centro de eventos mediante Azure PowerShell Es posible que también deba usar el cmdlet New-AzEventHubAuthorizationRule para crear una regla de autorización que conceda permisos de Azure AD DS al espacio de nombres del centro de eventos. La regla de autorización debe incluir los derechos para Administrar, Escuchar y Enviar.
Importante
Asegúrese de establecer la regla de autorización en el espacio de nombres del centro de eventos y no en el propio centro de eventos.
Áreas de trabajo de Azure Log Analytic - Creación de un área de trabajo de Log Analytics con Azure PowerShell
Obtenga el identificador de recurso del dominio administrado de Azure AD DS con el cmdlet Get-AzResource. Cree una variable denominada $aadds.ResourceId para conservar el valor:
$aadds = Get-AzResource -name aaddsDomainNameEmplee el cmdlet Set-AzDiagnosticSetting para definir la configuración de Azure Diagnostics a fin de usar el recurso de destino de los eventos de auditoría de seguridad de Azure AD Domain Services. En los ejemplos siguientes, se usa la variable $aadds.ResourceId del paso anterior.
Azure Storage: reemplace storageAccountId por el nombre de la cuenta de almacenamiento:
Set-AzDiagnosticSetting ` -ResourceId $aadds.ResourceId ` -StorageAccountId storageAccountId ` -Enabled $trueAzure Event Hubs: reemplace eventHubName por el nombre del centro de eventos y eventHubRuleId por el identificador de la regla de autorización:
Set-AzDiagnosticSetting -ResourceId $aadds.ResourceId ` -EventHubName eventHubName ` -EventHubAuthorizationRuleId eventHubRuleId ` -Enabled $trueÁreas de trabajo de Azure Log Analytics: reemplace workspaceId por el identificador del área de trabajo de Log Analytics:
Set-AzureRmDiagnosticSetting -ResourceId $aadds.ResourceId ` -WorkspaceID workspaceId ` -Enabled $true
Consultar y ver eventos de auditoría de seguridad con Azure Monitor
Las áreas de trabajo de Log Analytics permiten ver y analizar los eventos de auditoría de seguridad mediante Azure Monitor y el lenguaje de consulta Kusto. Este lenguaje de consulta está diseñado para un uso de solo lectura que ofrece eficaces funcionalidades analíticas con una sintaxis fácil de leer. Para obtener más información para empezar a usar el lenguaje de consulta Kusto, vea los siguientes artículos:
- Documentación sobre Azure Monitor
- Introducción a los análisis de registros de Azure Monitor
- Introducción a las consultas de registro en Azure Monitor
- Creación y uso compartido de paneles de datos de Log Analytics
Las consultas de ejemplo siguientes se pueden usar para empezar a analizar eventos de auditoría de seguridad de Azure AD DS.
Consulta de ejemplo 1
Vea todos los eventos de bloqueo de cuentas de los últimos siete días:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Consulta de ejemplo 2
Vea todos los eventos de bloqueo de cuenta (4740) entre el 3 de junio de 2020 a las 9:00 a. m. y el 10 de junio de 2020 a la medianoche, ordenados de forma ascendente por la fecha y la hora:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-03 09:00) and TimeGenerated <= datetime(2020-06-10)
| where OperationName has "4740"
| sort by TimeGenerated asc
Consulta de ejemplo 3
Vea eventos de inicio de sesión de cuenta de hace siete días (a partir de ahora) de la cuenta denominada user:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Consulta de ejemplo 4
Vea eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de la cuenta denominada user que ha intentado iniciar sesión con una contraseña incorrecta (0xC0000006a):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc000006a" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Consulta de ejemplo 5
Vea eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de la cuenta denominada user que ha intentado iniciar sesión mientras la cuenta estaba bloqueada (0xC0000234):
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "user" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
Consulta de ejemplo 6
Vea el número de eventos de inicio de sesión de cuenta de hace siete días a partir de ahora de todos los intentos de inicio de sesión que se han producido por parte de todos los usuarios bloqueados:
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where "0xc0000234" == tolower(extract("Error Code:\t(.+[0-9A-Fa-f])",1,tostring(ResultDescription)))
| summarize count()
Categorías de eventos de auditoría
Las auditorías de seguridad de Azure AD DS se alinean con las auditorías tradicionales de los controladores de dominio de AD DS tradicionales. En entornos híbridos, puede reutilizar patrones de auditoría existentes para que se pueda usar la misma lógica al analizar los eventos. En función del escenario que deba analizar o cuyos problemas deba solucionar, es necesario establecer como destino las distintas categorías de eventos de auditoría.
Hay disponibles las siguientes categorías de eventos de auditoría:
| Nombre de categoría de auditoría | Descripción |
|---|---|
| Inicio de sesión de la cuenta | Audita los intentos para autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local.Configuración de la directiva de inicio y cierre de sesión e intentos de seguimiento de eventos para acceder a un equipo determinado. La configuración y los eventos de esta categoría se centran en la base de datos de cuenta que se está utilizando. Esta categoría incluye las subcategorías siguientes: |
| Administración de cuentas | Audita los cambios en grupos y cuentas de usuarios y equipos. Esta categoría incluye las subcategorías siguientes: |
| Seguimiento de detalles | Audita las actividades de aplicaciones individuales y usuarios de ese equipo, y ayuda a entender cómo se usa un equipo. Esta categoría incluye las subcategorías siguientes: |
| Acceso a Directory Services | Audita los intentos para acceder y modificar objetos en Active Directory Domain Services (AD DS). Estos eventos de auditoría se registran solo en controladores de dominio. Esta categoría incluye las subcategorías siguientes: |
| Cierre de sesión-Inicio de sesión | Audita los intentos de iniciar sesión en un equipo de forma interactiva o a través de una red. Estos eventos son útiles para el seguimiento de la actividad de usuario y la identificación de posibles ataques contra los recursos de red. Esta categoría incluye las subcategorías siguientes:
|
| Acceso a objetos | Audita los intentos de acceso a determinados objetos o tipos de objetos en un equipo o red. Esta categoría incluye las subcategorías siguientes:
|
| Cambio de directiva | Audita los cambios en directivas de seguridad importantes en una red o sistema local. Los administradores suelen ser los responsables de establecer las directivas para ayudar a proteger los recursos de red. La supervisión de los cambios o intentos para cambiar estas directivas puede ser un aspecto importante de la administración de seguridad para una red. Esta categoría incluye las subcategorías siguientes: |
| Uso de privilegios | Audita el uso de determinados permisos en uno o varios sistemas. Esta categoría incluye las subcategorías siguientes: |
| Sistema | Audita los cambios del nivel de sistema en un equipo no incluido en otras categorías y que tienen posibles implicaciones de seguridad. Esta categoría incluye las subcategorías siguientes: |
Identificadores de eventos por categoría
Las auditorías de seguridad de Azure AD DS registran los siguientes identificadores de eventos cuando la acción específica desencadena un evento que se puede auditar:
| Nombre de categoría de eventos | Id. de evento |
|---|---|
| Seguridad de inicio de sesión de la cuenta | 4767, 4774, 4775, 4776, 4777 |
| Seguridad de administración de la cuenta | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Seguridad de seguimiento de detalles | None |
| Seguridad de acceso de DS | 5136, 5137, 5138, 5139, 5141 |
| Seguridad de cierre de sesión-inicio de sesión | 4624, 4625, 4634, 4647, 4648, 4672, 4675, 4964 |
| Seguridad de acceso de objeto | None |
| Seguridad de cambio de directiva | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Seguridad de uso de privilegios | 4985 |
| Seguridad del sistema | 4612, 4621 |
Pasos siguientes
Para obtener información concreta sobre Kusto, vea los siguientes artículos:
- Introducción al lenguaje de consulta Kusto.
- Tutorial de Kusto para familiarizarse con los conceptos básicos de consultas.
- Consultas de ejemplo que le ayudan a aprender nuevas maneras de ver los datos.
- Procedimientos recomendados de Kusto para optimizar las consultas para un mejor rendimiento.