Planeamiento de la implementación de la supervisión y los informes de Azure Active Directory

La solución de supervisión e informes de Azure Active Directory (Azure AD) depende de sus requisitos legales, de seguridad y operativos, así como del entorno y los procesos existentes. En este artículo se presentan las distintas opciones de diseño y se le guía para que elija la estrategia de implementación adecuada.

Ventajas de la supervisión y los informes de Azure AD

Los informes de Azure AD proporcionan una vista completa y registros de la actividad de Azure AD en su entorno, lo que incluye los eventos de inicio de sesión, los eventos de auditoría y los cambios en el directorio.

Los datos proporcionados le permiten:

  • determinar cómo se utilizan las aplicaciones y servicios,

  • detectar posibles riesgos que afectan al estado del entorno,

  • solucionar problemas que impiden a los usuarios finalizar su trabajo,

  • obtener conclusiones tras ver los eventos de auditoría de los cambios en su directorio de Azure AD.

Importante

La supervisión de Azure AD permite enrutar los registros que generan los informes de Azure AD a diferentes sistemas de destino. A continuación, puede conservarlo para su uso a largo plazo o integrarlo con herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para obtener información sobre su entorno.

Con la supervisión de Azure AD, puede enrutar los registros a:

  • una cuenta de Azure Storage con fines de archivo,
  • registros de Azure Monitor, que anteriormente se conocían como área de trabajo de Azure Log Analytics, donde puede analizar los datos, crear paneles y alertar acerca de eventos específicos,
  • un centro de eventos de Azure en el que puede realizar la integración con sus herramientas de SIEM existentes, como Splunk, Sumologic o QRadar.

Nota

Recientemente hemos empezado a usar el término registros de Azure Monitor, en lugar de Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.

Más información sobre las directivas de retención de informes.

Licencias y requisitos previos para los informes y la supervisión de Azure AD

Necesitará una licencia de Azure AD Premium para acceder a los registros de inicio de sesión de Azure AD.

Para más información acerca de las características y licencias, consulte la guía de precios de Azure Active Directory.

Para implementar la supervisión y los informes de Azure AD, necesitará un usuario que sea administrador global o administrador de seguridad del inquilino de Azure AD.

Según el destino final de los datos de registro, necesitará una de las opciones siguientes:

  • Una cuenta de almacenamiento de Azure, para la que tenga permisos ListKeys. Le recomendamos utilizar una cuenta de almacenamiento general y no de almacenamiento de blobs. Para más información sobre precios de almacenamiento, consulte la Calculadora de precios de Azure Storage.

  • Un espacio de nombres de Azure Event Hubs para la integración con soluciones SIEM de terceros.

  • Un área de trabajo de Azure Log Analytics para enviar registros a registros de Azure Monitor.

Planeamiento de un proyecto de implementación de la supervisión y los informes de Azure

En este proyecto, definirá las audiencias que consumirán y supervisarán los informes, y definirá la arquitectura de supervisión de Azure AD.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas. Asegúrese también de que los roles de las partes interesadas en el proyecto se entienden bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.

Documentación de la infraestructura y las directivas actuales

La infraestructura y las directivas actuales guiarán su diseño de los informes y la supervisión. Asegúrese de que conoce

  • Cuáles son las herramientas SIEM que usa, en caso de que use alguna.

  • La infraestructura de Azure, incluidas las cuentas de almacenamiento existentes y la supervisión que se está usando.

  • Las directivas de retención de la organización para los registros, incluidos los marcos de cumplimiento aplicables necesarios.

Planeamiento de la implementación de la supervisión y los informes de Azure AD

Los informes y la supervisión se usan para cumplir los requisitos empresariales, obtener información acerca de los patrones de uso y aumentar la postura de seguridad de la organización.

Casos de uso empresarial

  • Se requiere para que la solución cumpla las necesidades empresariales
  • Conviene tenerlo para satisfacer las necesidades empresariales
  • No aplicable
Área Descripción
Retención Retención del registro durante más de 30 días. Los requisitos legales o empresariales obligan a almacenar tanto los registros de auditoría como los registros de inicio de sesión de Azure AD durante más de 30 días.
Análisis Es preciso poder realizar búsquedas en los registros. ‎Es necesario realizar búsquedas en los registros almacenados con las herramientas de análisis.
Operational Insights Información para varios equipos. La necesidad de conceder acceso a distintos usuarios para obtener una visión de las operaciones, como el uso de las aplicaciones, los errores de inicio de sesión, el uso de autoservicio, las tendencias, etc.
Información de seguridad Información para varios equipos. La necesidad de conceder acceso a distintos usuarios para obtener una visión de las operaciones, como el uso de las aplicaciones, los errores de inicio de sesión, el uso de autoservicio, las tendencias, etc.
Integración en sistemas SIEM Integración de SIEM. ‎La necesidad de integrar y transmitir en secuencias los registros de inicio de sesión de Azure AD y los registros de auditoría a sistemas de SIEM existentes.

Elección de una arquitectura de soluciones de supervisión

Con la supervisión de Azure AD, puede enrutar los registros de actividad de Azure AD a un sistema que se adapte mejor a sus necesidades empresariales. Después, puede conservarlos para los informes y análisis a largo plazo para obtener información sobre su entorno e integrarlo con las herramientas SIEM.

Diagrama de flujo de decisiónImagen en la que se muestra lo que se describe en las secciones posteriores

Archivo de registros en una cuenta de almacenamiento

Si se enrutan los registros a una cuenta de Azure Storage, se pueden conservar durante más tiempo que el período de retención predeterminado que se describe en las directivas de retención. Use este método si necesita archivar los registros, pero no necesita integrarlos en un sistema SIEM ni realizar consultas y análisis continuos. Aunque lo use puede seguir realizando búsquedas a petición.

Obtenga información sobre cómo enrutar datos a la cuenta de almacenamiento.

Envío de registros a registros de Azure Monitor

Los registros de Azure Monitor consolidan los datos de supervisión de distintos orígenes. También proporciona un lenguaje de consulta y un motor de análisis que ofrece información detallada acerca del funcionamiento de las aplicaciones y del uso de los recursos. Al enviar los registros de actividad de Azure AD a los registros de Azure Monitor, puede recuperar, supervisar y enviar alertas rápidamente de los datos recopilados. Use este método si no tiene una solución SIEM existente a la que desee enviar los datos directamente, pero desea realizar consultas y análisis. Una vez que los datos estén en los registros de Azure Monitor, puede enviarlos al centro de eventos y desde ahí a un SIEM si lo desea.

Aprenda a enviar datos a los registros de Azure Monitor.

También puede instalar las vistas precompiladas de los registros de actividad de Azure AD para supervisar escenarios comunes que impliquen eventos de inicio de sesión y auditoría.

Aprenda a instalar y utilizar las vistas de Log Analytics para los registros de actividad de Azure AD.

Transmitir en secuencias de registros a un centro de eventos de Azure

El enrutamiento de registros a un centro de eventos de Azure permite la integración con herramientas SIEM de terceros. Esta integración le permite combinar los datos de registro de actividad de Azure AD con otros datos administrados por el SIEM, a fin de proporcionar una mejor comprensión del entorno.

Aprenda cómo transmitir registros a un centro de eventos.

Planeamiento de las operaciones y la seguridad de los informes y la de Azure AD

Las partes interesadas necesitan acceder a los registros de Azure AD para obtener una visión de las operaciones. Entre los posibles usuarios se incluyen miembros del equipo de seguridad, auditores internos o externos, y el equipo de operaciones de administración de identidades y acceso.

Los roles de Azure AD le permiten delegar la capacidad de configurar y ver los informes de Azure AD en función de su rol. Identifique qué usuarios de la organización necesitan permiso para leer informes de Azure AD y qué rol sería adecuado para ellos.

Los siguientes roles pueden leer informes de Azure AD:

  • Administrador global

  • Administrador de seguridad

  • Lector de seguridad

  • Lector de informes

Más información acerca de los roles administrativos de Azure AD.

Aplique siempre el concepto de privilegios mínimos para reducir el riesgo de que una cuenta esté en peligro. Considere la posibilidad de implementar Privileged Identity Management para aumentar la protección de su organización.

Implementación de la supervisión y los informes de Azure AD

En función de las decisiones que haya tomado anteriormente mediante la guía de diseño, esta sección le guiará a la documentación de las diferentes opciones de implementación.

Consumo y archivo de registros de Azure AD

Búsqueda de informes de actividad en Azure Portal

Archivo de registros de Azure AD en una cuenta de Azure Storage

Implementación de supervisión y análisis

Envío de registros a Azure Monitor

Instalación y uso de las vistas de Log Analytics para Azure Active Directory

Análisis de registros de actividad de Azure AD con registros de Azure Monitor

Pasos siguientes

Considere la posibilidad de implementar Privileged Identity Management

Considere la posibilidad de implementar el control de acceso basado en rol de Azure (RBAC de Azure).