Recolección de datos en Azure Security CenterData collection in Azure Security Center

Security Center recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas virtuales, los contenedores de IaaS y de los equipos que no son de Azure (incluidos los equipos locales) para supervisar las amenazas y vulnerabilidades de seguridad.Security Center collects data from your Azure virtual machines (VMs), virtual machine scale sets, IaaS containers, and non-Azure (including on-premises) computers to monitor for security vulnerabilities and threats. Los datos se recopilan con el agente de Log Analytics, que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos.Data is collected using the Log Analytics agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis. Estos son algunos ejemplos de dichos datos: tipo y versión del sistema operativo, registros del sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones IP y usuario conectado.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, and logged in user.

La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección contra amenazas y del mantenimiento.Data collection is required to provide visibility into missing updates, misconfigured OS security settings, endpoint protection status, and health and threat protection. La recopilación de datos solo es necesaria para los recursos de proceso (máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no son de Azure).Data collection is only needed for compute resources (VMs, virtual machine scale sets, IaaS containers, and non-Azure computers). Puede beneficiarse de Azure Security Center incluso si no aprovisiona a agentes; de todas formas, tendrá una seguridad limitada y no tendrá las funcionalidades enumeradas anteriormente.You can benefit from Azure Security Center even if you don’t provision agents; however, you will have limited security and the capabilities listed above are not supported.

En este artículo se describe cómo instalar un agente de Log Analytics y establecer un área de trabajo de Log Analytics para almacenar los datos recopilados.This article describes how to install a Log Analytics agent and set a Log Analytics workspace in which to store the collected data. Ambas operaciones son necesarias para habilitar la recopilación de datos.Both operations are required to enable data collection. El almacenamiento de datos en Log Analytics, independientemente de si usa un área de trabajo nueva o existente, puede incurrir en cargos adicionales por almacenamiento de datos.Storing data in Log Analytics, whether you use a new or existing workspace, might incur additional charges for data storage. Consulte la página de preciospara obtener más información.For more information, see the pricing page.

Sugerencia

Consulte Plataformas compatibles con Azure Security Center para ver una lista de plataformas compatibles.For the list of supported platforms, see Supported platforms in Azure Security Center.

Habilitación del aprovisionamiento automático del agente de Log Analytics Enable automatic provisioning of the Log Analytics agent

Nota

Usuarios de Azure Sentinel: tenga en cuenta que la recopilación de eventos de seguridad dentro del contexto de un área de trabajo única se puede configurar desde el Azure Defender o desde Azure Sentinel, pero no con ambas herramientas.Users of Azure Sentinel: note that security events collection within the context of a single workspace can be configured from either Azure Security Center or Azure Sentinel, but not both. Si tiene previsto agregar Azure Sentinel a un área de trabajo que ya recibe alertas de Azure Defender desde Azure Defender y está configurado para recopilar eventos de seguridad, tiene dos opciones:If you're planning to add Azure Sentinel to a workspace that is already getting Azure Defender alerts from Azure Security Center, and is set to collect Security Events, you have two options:

  • Deje la recopilación de eventos de seguridad en Azure Security Center tal y como está.Leave the Security Events collection in Azure Security Center as is. Podrá consultar y analizar estos eventos tanto en Azure Sentinel como en Azure Defender.You will be able to query and analyze these events in Azure Sentinel as well as in Azure Defender. Sin embargo, no podrá supervisar el estado de conectividad del conector ni cambiar su configuración en Azure Sentinel.You will not, however, be able to monitor the connector's connectivity status or change its configuration in Azure Sentinel. Si esta acción le parece importante, considere la segunda opción.If this is important to you, consider the second option.

  • Deshabilite la recopilación de eventos de seguridad en Azure Security Center y, a continuación, agregue el conector de eventos de seguridad en Azure Sentinel.Disable Security Events collection in Azure Security Center, and only then add the Security Events connector in Azure Sentinel. Al igual que con la primera opción, podrá consultar y analizar eventos en Azure Sentinel y Azure Defender (o ASC), pero ahora podrá supervisar el estado de conectividad del conector o cambiar su configuración únicamente en Azure Sentinel.As with the first option, you will be able to query and analyze events in both Azure Sentinel and Azure Defender/ASC, but you will now be able to monitor the connector's connectivity status or change its configuration in - and only in - Azure Sentinel.

Para recopilar los datos de las máquinas, debe tener instalado el agente de Log Analytics.To collect the data from the machines, you should have the Log Analytics agent installed. La instalación del agente puede ser automática (recomendado) o manual.Installation of the agent can be done automatically (recommended) or you can install the agent manually. El aprovisionamiento automático está desactivado de manera predeterminada.By default, automatic provisioning is off.

Si el aprovisionamiento automático está activado, Security Center implementa el agente de Log Analytics en todas las máquinas virtuales de Azure compatibles y en las nuevas que se creen.When automatic provisioning is on, Security Center deploys the Log Analytics agent on all supported Azure VMs and any new ones that are created. Se recomienda el aprovisionamiento automático, pero puede instalar el agente manualmente si es necesario (consulte Instalación manual del agente de Log Analytics).Automatic provisioning is recommended but you can install the agent manually if necessary (see Manual installation of the Log Analytics agent).

Con el agente implementado en las máquinas, Security Center puede proporcionar recomendaciones adicionales relacionadas con el estado de actualización del sistema, las configuraciones de seguridad del sistema operativo y la protección de los puntos de conexión, así como generar alertas de seguridad adicionales.With the agent deployed to your machines, Security Center can provide additional recommendations related to system update status, OS security configurations, endpoint protection, as well as generate additional security alerts.

Para habilitar el aprovisionamiento automático del agente de Log Analytics:To enable automatic provisioning of the Log Analytics agent:

  1. En el menú de Security Center, seleccione Precios y configuración.From Security Center's menu, select Pricing & settings.

  2. Seleccione la suscripción correspondiente.Select the relevant subscription.

  3. En la página Recopilación de datos, establezca Aprovisionamiento automático en Activado.In the Data collection page, set Auto provisioning to On.

  4. Seleccione Guardar.Select Save.

    Habilitación del aprovisionamiento automático del agente de Log Analytics

    Sugerencia

    Si es necesario aprovisionar un área de trabajo, la instalación del agente puede tardar hasta 25 minutos.If a workspace needs to be provisioned, agent installation might take up to 25 minutes.

Configuración del área de trabajoWorkspace configuration

Los datos recopilados por Security Center se almacenan en áreas de trabajo de Log Analytics.Data collected by Security Center is stored in Log Analytics workspace(s). Los datos se pueden recopilar de las máquinas virtuales de Azure almacenadas en áreas de trabajo creadas por Security Center o en un área de trabajo que haya creado.Your data can be collected from Azure VMs stored in workspaces created by Security Center or in an existing workspace you created.

La configuración de área de trabajo se establece por suscripción, y muchas suscripciones pueden usar la misma área de trabajo.Workspace configuration is set per subscription, and many subscriptions may use the same workspace.

Uso de un área de trabajo creada por Security CenterUsing a workspace created by Security Center

Security Center puede crear automáticamente un área de trabajo predeterminada para almacenar los datos.Security center can automatically create a default workspace in which to store the data.

Para seleccionar un área de trabajo creada por Security Center:To select a workspace created by Security Center:

  1. En Configuración del área de trabajo predeterminada, seleccione Use workspace(s) created by Security center (Usar áreas de trabajo creadas por Security Center).Under Default workspace configuration, select Use workspace(s) created by Security center. Habilitación del aprovisionamiento automático del agente de Log Analytics

  2. Haga clic en Save(Guardar).Click Save.
    Security Center crea un nuevo grupo de recursos y un área de trabajo predeterminada en esa geolocalización y la conecta al agente.Security Center creates a new resource group and default workspace in that geolocation, and connects the agent to that workspace. La convención de nomenclatura del área de trabajo y el grupo de recursos es:The naming convention for the workspace and resource group is:
    Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
    Grupo de recursos: DefaultResourceGroup-[geo]
    Workspace: DefaultWorkspace-[subscription-ID]-[geo]
    Resource Group: DefaultResourceGroup-[geo]

    Si una suscripción contiene máquinas virtuales de varias geolocalizaciones, Security Center crea varias áreas de trabajo.If a subscription contains VMs from multiple geolocations, then Security Center creates multiple workspaces. Se crean varias áreas de trabajo para mantener las reglas de privacidad de los datos.Multiple workspaces are created to maintain data privacy rules.

  3. Security Center habilitará automáticamente una solución de Security Center en el área de trabajo de acuerdo al plan de tarifa establecido para la suscripción.Security Center will automatically enable a Security Center solution on the workspace per the pricing tier set for the subscription.

Nota

El plan de tarifa de Log Analytics de áreas de trabajo creadas por Security Center no afecta a la facturación de Security Center.The Log Analytics pricing tier of workspaces created by Security Center does not affect Security Center billing. La facturación de Security Center siempre se basa en la directiva de seguridad de Security Center y en las soluciones instaladas en un área de trabajo.Security Center billing is always based on your Security Center security policy and the solutions installed on a workspace. En el caso de las suscripciones sin Azure Defender, Security Center habilita la solución SecurityCenterFree en el área de trabajo predeterminada.For subscriptions without Azure Defender, Security Center enables the SecurityCenterFree solution on the default workspace. En el caso de las suscripciones con Azure Defender, Security Center habilita la solución Security en el área de trabajo predeterminada.For subscriptions with Azure Defender, Security Center enables the Security solution on the default workspace. El almacenamiento de datos en Log Analytics podría incurrir en cargos adicionales por almacenamiento de datos.Storing data in Log Analytics might incur additional charges for data storage. Consulte la página de preciospara obtener más información.For more information, see the pricing page.

Para obtener más información acerca de las cuentas de Log Analytics, consulte Clientes existentes de Log Analytics.For more information about existing log analytics accounts, see Existing log analytics customers.

Uso de un área de trabajo existenteUsing an existing workspace

Si ya tiene un área de trabajo de Log Analytics, es posible que desee utilizar la misma área de trabajo.If you already have an existing Log Analytics workspace, you might want to use the same workspace.

Para usar el área de trabajo de Log Analytics existente, tiene que tener permisos de lectura y escritura en el área de trabajo.To use your existing Log Analytics workspace, you must have read and write permissions on the workspace.

Nota

Las soluciones habilitadas en el área de trabajo existente se aplicarán a las máquinas virtuales de Azure que están conectadas a él.Solutions enabled on the existing workspace will be applied to Azure VMs that are connected to it. Para las soluciones de pago, esto puede conllevar cargos adicionales.For paid solutions, this could result in additional charges. Por motivos de privacidad de datos, asegúrese de que el área de trabajo seleccionado está en la región geográfica adecuada.For data privacy considerations, make sure your selected workspace is in the right geographic region. El almacenamiento de datos en Log Analytics podría incurrir en cargos adicionales por almacenamiento de datos.Storing data in log analytics might incur additional charges for data storage. Consulte la página de preciospara obtener más información.For more information, see the pricing page.

Para seleccionar un área de trabajo de Log Analytics existente:To select an existing Log Analytics workspace:

  1. En Configuración del área de trabajo predeterminada, seleccione Use another workspace (Usar otra área de trabajo).Under Default workspace configuration, select Use another workspace. Habilitación del aprovisionamiento automático del agente de Log Analytics

  2. En el menú desplegable, seleccione un área de trabajo para almacenar los datos recopilados.From the pull-down menu, select a workspace to store collected data.

    Nota

    Todas las áreas de trabajo de todas sus suscripciones están disponibles en el menú desplegable.In the pull down menu, all the workspaces across all of your subscriptions are available. Vea Selección del área de trabajo entre suscripciones para obtener más información.See cross subscription workspace selection for more information. Tiene que tener permiso para acceder al área de trabajo.You must have permission to access the workspace.

  3. Seleccione Guardar.Select Save.

  4. Después de hacer clic en Guardar, se le preguntará si quiere volver a configurar las máquinas virtuales supervisadas que estaban anteriormente conectadas a un área de trabajo predeterminada.After selecting Save, you will be asked if you would like to reconfigure monitored VMs that were previously connected to a default workspace.

    • Haga clic en No si quiere que la nueva configuración del área de trabajo solo se aplique a las máquinas virtuales nuevas.Select No if you want the new workspace settings to apply on new VMs only. La nueva configuración del área de trabajo solo se aplica a las nuevas instalaciones de agente, aquellas máquinas virtuales recién detectadas que no tengan instalado el agente de Log Analytics.The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Log Analytics agent installed.
    • Haga clic en si quiere que la nueva configuración del área de trabajo se aplique a todas las máquinas virtuales.Select Yes if you want the new workspace settings to apply on all VMs. Además, cada máquina virtual conectada a un área de trabajo creada por Security Center se reconecta a la nueva área de trabajo de destino.In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    Nota

    Si hace clic en Sí, no debe eliminar las áreas de trabajo creadas por Security Center hasta que todas las máquinas virtuales se hayan reconectado al nuevo área de trabajo de destino.If you select Yes, you must not delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. Esta operación no se lleva a cabo si se elimina un área de trabajo demasiado pronto.This operation fails if a workspace is deleted too early.

    • Para cancelar la operación, seleccione Cancelar.To cancel the operation, select Cancel.

      Revisión de las opciones para volver a configurar máquinas virtuales supervisadas

  5. Seleccione si el área de trabajo tendrá habilitado Azure Defender.Select whether or not the workspace will have Azure Defender enabled.

    Para usar un área de trabajo existente, establezca el plan de tarifa del área de trabajo.To use an existing workspace, set the pricing tier for the workspace. Esto instalará una solución de Security Center en el área de trabajo si todavía no está presente.This will install a security Center solution on the workspace if one is not already present.

    1. En el menú principal de Security Center, seleccione Precios y configuración.In the Security Center main menu, select Pricing & settings.

    2. Seleccione el área de trabajo a la que se conectará el agente.Select the workspace to which you'll be connecting the agent.

    3. Seleccione Azure Defender está activado o Azure Defender está desactivado.Select Azure Defender on or Azure Defender off.

    Nota

    Si el área de trabajo ya tiene una solución Security o SecurityCenterFree habilitada, los precios se establecerán automáticamente.If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

Selección del área de trabajo entre suscripcionesCross-subscription workspace selection

Cuando se selecciona un área de trabajo para almacenar los datos, todas las áreas de trabajo de todas sus suscripciones están disponibles.When you select a workspace in which to store your data, all the workspaces across all your subscriptions are available. La selección del área de trabajo entre suscripciones le permite recopilar datos de máquinas virtuales que se ejecutan en distintas suscripciones y almacenarlos en el área de trabajo que prefiera.Cross-subscription workspace selection allows you to collect data from virtual machines running in different subscriptions and store it in the workspace of your choice. Esta selección es útil si está usando un área de trabajo centralizada en la organización y desea usarla para la recopilación de datos de seguridad.This selection is useful if you are using a centralized workspace in your organization and want to use it for security data collection. Para más información acerca de cómo administrar las áreas de trabajo, consulte Administración del acceso a las áreas de trabajo.For more information on how to manage workspaces, see Manage workspace access.

Nivel de recopilación de datosData collection tier

La selección de un nivel de recopilación de datos en Azure Security Center solo afecta al almacenamiento de eventos de seguridad en el área de trabajo de Log Analytics.Selecting a data collection tier in Azure Security Center will only affect the storage of security events in your Log Analytics workspace. El agente de Log Analytics sigue recopilando y analizando los eventos de seguridad necesarios para la protección contra amenazas de Azure Security Center, con independencia del nivel de eventos de seguridad que elija almacenar en el área de trabajo de Log Analytics (si lo hay).The Log Analytics agent will still collect and analyze the security events required for Azure Security Center’s threat protection, regardless of which tier of security events you choose to store in your Log Analytics workspace (if any). Si elige almacenar los eventos de seguridad en el área de trabajo, permitirá la investigación, búsqueda y auditoría de esos eventos en el área de trabajo.Choosing to store security events in your workspace will enable investigation, search, and auditing of those events in your workspace.

Nota

El almacenamiento de datos en Log Analytics podría incurrir en cargos adicionales por almacenamiento de datos.Storing data in log analytics might incur additional charges for data storage. Consulte la página de preciospara obtener más información.For more information, see the pricing page.

Puede elegir la directiva de filtrado adecuada para sus suscripciones y áreas de trabajo entre cuatro conjuntos de eventos para almacenar en el área de trabajo.You can choose the right filtering policy for your subscriptions and workspaces from four sets of events to be stored in your workspace:

  • Ninguno: deshabilita el almacenamiento de eventos de seguridad.None – Disable security event storage. Esta es la configuración predeterminada.This is the default setting.
  • Mínimo: Es un conjunto más pequeño de eventos para los clientes que quieren reducir el volumen de eventos.Minimal – A smaller set of events for customers who want to minimize the event volume.
  • Común: Es un conjunto de eventos que satisfacen a la mayoría de los clientes y les permite efectuar un registro de auditoría completo.Common – This is a set of events that satisfies most customers and allows them a full audit trail.
  • Todos los eventos: para clientes que quieren asegurarse de que se almacenan todos los eventos.All events – For customers who want to make sure all events are stored.

Estos conjuntos de eventos de seguridad solo están disponibles con Azure Defender.These security events sets are available only with Azure Defender. Para obtener más información sobre los planes de tarifa de Security Center, vea Precios.See Pricing to learn more about Security Center's pricing tiers.

Estos conjuntos se han diseñado para abordar escenarios típicos.These sets were designed to address typical scenarios. Asegúrese de evaluar cuál se ajusta a sus necesidades antes de implementarlo.Make sure to evaluate which one fits your needs before implementing it.

Para determinar los eventos que formarán parte de los conjuntos de eventos Común y Mínimo, hemos colaborado con los clientes y los estándares del sector para obtener información sobre la frecuencia sin filtrar de cada evento y su uso.To determine the events that will belong to the Common and Minimal event sets, we worked with customers and industry standards to learn about the unfiltered frequency of each event and their usage. En este proceso se han empleado las siguientes directrices:We used the following guidelines in this process:

  • Mínimo: Asegúrese de que este conjunto abarque solamente los eventos que podrían indicar una brecha correcta y eventos importantes que tengan un volumen muy bajo.Minimal - Make sure that this set covers only events that might indicate a successful breach and important events that have a very low volume. Por ejemplo, este conjunto contiene un inicio de sesión de usuario correcto y uno erróneo (identificadores de evento 4624 y 4625), pero no contiene el cierre de sesión, que es importante para la auditoría pero no lo es para la detección y tiene un volumen relativamente alto.For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain sign out which is important for auditing but not meaningful for detection and has relatively high volume. La mayor parte del volumen de datos de este conjunto son los eventos de inicio de sesión y el evento de creación de proceso (Id. de evento 4688).Most of the data volume of this set is the login events and process creation event (event ID 4688).
  • Común: Proporcione una pista de auditoría de usuario completa en este conjunto.Common - Provide a full user audit trail in this set. Por ejemplo, este conjunto contiene los inicios de sesión y los cierres de sesión de usuario (identificador de evento 4634).For example, this set contains both user logins and user sign outs (event ID 4634). Se incluyen acciones de auditoría como cambios en los grupos de seguridad, operaciones de Kerberos en los controladores de dominio de clave y otros eventos que recomiendan las organizaciones del sector.We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

Los eventos que tienen un volumen muy bajo se han incluido en el conjunto Común, ya que la motivación principal para elegirlo respecto de todos los eventos pasa por reducir el volumen, y no por filtrar eventos específicos.Events that have very low volume were included in the Common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

A continuación se muestra un desglose completo de los identificadores de evento de seguridad y de AppLocker para cada conjunto:Here is a complete breakdown of the Security and App Locker event IDs for each set:

Capa de datosData tier Indicadores de eventos recopiladosCollected event indicators
mínimoMinimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
ComunesCommon 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Nota

  • Si se usa un objeto de directiva de grupo (GPO), se recomienda habilitar el evento 4688 de creación de procesos de las directivas de auditoría y el campo CommandLine del evento 4688.If you are using Group Policy Object (GPO), it is recommended that you enable audit policies Process Creation Event 4688 and the CommandLine field inside event 4688. Para más información acerca del evento 4688 de creación de procesos, consulte las preguntas más frecuentes acerca de Security Center.For more information about Process Creation Event 4688, see Security Center's FAQ. Para más información acerca de estas directivas de auditoría, consulte Recomendaciones de la directiva de auditoría.For more information about these audit policies, see Audit Policy Recommendations.
  • Para habilitar la recopilación de datos para Controles de aplicación adaptables, Security Center configura una directiva de AppLocker local en el modo de auditoría que permite todas las aplicaciones.To enable data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. Con esto, AppLocker generará eventos que luego Security Center recopilará y aprovechará.This will cause AppLocker to generate events which are then collected and leveraged by Security Center. Es importante tener en cuenta que esta directiva no se configurará en las máquinas en las que ya se haya configurado una directiva de AppLocker.It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.
  • Para recopilar Windows Filtering Platform Event ID 5156, tiene que habilitar Auditar conexión de Plataforma de filtrado (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)To collect Windows Filtering Platform Event ID 5156, you need to enable Audit Filtering Platform Connection (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Para elegir la directiva de filtrado:To choose your filtering policy:

  1. En la página Recopilación de datos, seleccione la directiva de filtrado en Almacenamiento de datos sin procesar adicionales: eventos de seguridad de Windows.On the Data Collection page, select your filtering policy under Store additional raw data - Windows security events.

  2. Seleccione Guardar.Select Save. Habilitación del aprovisionamiento automático del agente de Log Analytics .

Aprovisionamiento automático en los casos de una instalación de agente ya existente Automatic provisioning in cases of a pre-existing agent installation

Los siguientes casos de uso especifican cómo funciona el aprovisionamiento automático en los casos en los que ya hay un agente o una extensión instalados.The following use cases specify how automatic provision works in cases when there is already an agent or extension installed.

  • El agente de Log Analytics está instalado en la máquina, pero no como una extensión (agente directo).Log Analytics agent is installed on the machine, but not as an extension (Direct agent)
    Si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de Azure), Security Center instalará la extensión del agente de Log Analytics y puede que la actualice a la versión más reciente.If the Log Analytics agent is installed directly on the VM (not as an Azure extension), Security Center will install the Log Analytics agent extension, and may upgrade the Log Analytics agent to the latest version. El agente instalado continuará informando a las áreas de trabajo ya configuradas y además informará al área de trabajo configurada en Security Center (el hospedaje múltiple es compatible en máquinas Windows).The agent installed will continue to report to its already configured workspace(s), and additionally will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines). Si el área de trabajo configurada es un área de trabajo de usuario (no el área de trabajo predeterminada de Security Center), deberá instalar la solución "security" o "securityFree" para que Security Center empiece a procesar eventos desde máquinas virtuales y equipos que generan informes a esa área de trabajo.If the configured workspace is a user workspace (not Security Center's default workspace), then you will need to install the "security/"securityFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

    El hospedaje múltiple del agente todavía no es compatible con las máquinas Linux; por lo tanto, si se detecta una instalación de agente existente, no se producirá el aprovisionamiento automático y no se modificará la configuración de la máquina.For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.
    Para las máquinas existentes en suscripciones incorporadas a Security Center antes del 17 de marzo de 2019, cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la máquina no se modificará.For existing machines on subscriptions onboarded to Security Center before 17th March 2019, when an existing agent will be detected, the Log Analytics agent extension will not be installed and the machine will not be affected. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.For these machines, see to the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines.

  • El agente de System Center Operations Manager está instalado en la máquinaSystem Center Operations Manager agent is installed on the machine
    Security Center instalará la extensión del agente de Log Analytics en paralelo a la versión de Operations Manager existente.Security center will install the Log Analytics agent extension side by side to the existing Operations Manager. El agente de Operations Manager existente continuará enviando informes con normalidad al servidor de Operations Manager.The existing Operations Manager agent will continue to report to the Operations Manager server normally. El agente de Operations Manager y el agente de Log Analytics comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión más reciente durante este proceso.The Operations Manager agent and Log Analytics agent share common run-time libraries, which will be updated to the latest version during this process. Nota: si está instalada la versión 2012 del agente de Operations Manager, no habilite el aprovisionamiento automático.If Operations Manager agent version 2012 is installed, do not enable automatic provisioning.

  • Está presente una extensión de máquina virtual existenteA pre-existing VM extension is present

    • Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes a una sola área de trabajo.When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Security Center no invalida las conexiones existentes con áreas de trabajo de usuario.Security Center does not override existing connections to user workspaces. Security Center almacenará datos de seguridad de la máquina virtual en el área de trabajo que ya está conectada, siempre que se haya instalado la solución "security" o "securityFree".Security Center will store security data from the VM in the workspace already connected, provided that the "security" or "securityFree" solution has been installed on it. Durante este proceso, Security Center puede actualizar la versión de extensión a la versión más reciente.Security Center may upgrade the extension version to the latest version in this process.
    • Para ver el área de trabajo, a la que la extensión existente está enviando datos, ejecute la prueba de Validación de la conectividad con Azure Security Center.To see to which workspace the existing extension is sending data to, run the test to Validate connectivity with Azure Security Center. También puede abrir las áreas de trabajo de Log Analytics, seleccionar un área de trabajo, seleccionar la máquina virtual y examinar la conexión del agente de Log Analytics.Alternatively, you can open Log Analytics workspaces, select a workspace, select the VM, and look at the Log Analytics agent connection.
    • Si tiene un entorno donde esté instalado el agente de Log Analytics en estaciones de trabajo de cliente y esté informando a un área de trabajo de Log Analytics existente, revise la lista de sistemas operativos compatibles con Azure Security Center para asegurarse de que el sistema operativo es compatible.If you have an environment where the Log Analytics agent is installed on client workstations and reporting to an existing Log Analytics workspace, review the list of operating systems supported by Azure Security Center to make sure your operating system is supported. Para más información, consulte Clientes existentes de análisis de registros.For more information, see Existing log analytics customers.

Desactivación del aprovisionamiento automático Turn off automatic provisioning

Para desactivar el aprovisionamiento automático del agente de Log Analytics:To turn off automatic provisioning of the Log Analytics agent:

  1. En el menú de Security Center del portal, seleccione Precios y configuración.From Security Center's menu in the portal, select Pricing & settings.

  2. Seleccione la suscripción correspondiente.Select the relevant subscription.

    Habilitación del aprovisionamiento automático del agente de Log Analytics .

  3. Seleccione Recopilación de datos.Select Data Collection.

  4. En Aprovisionamiento automático, seleccione Desactivado para deshabilitarlo.Under Auto Provisioning, select Off to disable automatic provisioning.

  5. Seleccione Guardar.Select Save.

Cuando el aprovisionamiento automático está deshabilitado (desactivado), no se muestra la sección de configuración del área de trabajo predeterminada.When auto provisioning is disabled (turned off), the default workspace configuration section is not displayed.

Si el aprovisionamiento automático se desactiva después de haber estado anteriormente en los agentes, no se aprovisionará en nuevas máquinas virtuales.If you switch off auto provision after it was previously on agents will not be provisioned on new VMs.

Nota

La deshabilitación del aprovisionamiento automático no quita el agente de Log Analytics de las máquinas virtuales de Azure en las que se aprovisionó el agente.Disabling automatic provisioning does not remove the Log Analytics agent from Azure VMs where the agent was provisioned. Para más información acerca de cómo quitar la extensión de OMS, consulte ¿Cómo quito extensiones OMS instaladas por Security Center?.For information on removing the OMS extension, see How do I remove OMS extensions installed by Security Center.

Aprovisionamiento manual del agente Manual agent provisioning

Hay varias maneras de instalar el agente de Log Analytics de forma manual.There are several ways to install the Log Analytics agent manually. Cuando vaya a realizar la instalación manual, asegúrese de que deshabilita el aprovisionamiento automático.When installing manually, make sure you disable auto provisioning.

Implementación de la extensión de máquina virtual de Operations Management SuiteOperations Management Suite VM extension deployment

Puede instalar el agente de Log Analytics manualmente para que Security Center pueda recopilar los datos de seguridad de las máquinas virtuales y proporcionar recomendaciones y alertas.You can manually install the Log Analytics agent, so Security Center can collect security data from your VMs and provide recommendations and alerts.

  1. Deshabilite el aprovisionamiento automático.Disable auto provisioning.

  2. Opcionalmente, cree un área de trabajo.Optionally, create a workspace.

  3. Habilite Azure Defender en el área de trabajo en la que va a instalar el agente de Log Analytics:Enable Azure Defender on the workspace on which you're installing the Log Analytics agent:

    1. En el menú de Security Center, seleccione Precios y configuración.From Security Center's menu, select Pricing & settings.

    2. Establezca el área de trabajo en la que va a instalar el agente.Set the workspace on which you're installing the agent. Asegúrese de que el área de trabajo está en la misma suscripción que se usa en Security Center y que tiene permisos de lectura/escritura en el área de trabajo.Make sure the workspace is in the same subscription you use in Security Center and that you have read/write permissions on the workspace.

    3. Establezca Azure Defender en activado y seleccione Guardar.Set Azure Defender to on, and select Save.

      Nota

      Si el área de trabajo ya tiene una solución Security o SecurityCenterFree habilitada, los precios se establecerán automáticamente.If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

  4. Si desea implementar los agentes en nuevas máquinas virtuales mediante una plantilla de Resource Manager, instale el agente de Log Analytics:If you want to deploy the agents on new VMs using a Resource Manager template, install the Log Analytics agent:

  5. Para implementar las extensiones en máquinas virtuales existentes, siga las instrucciones de Recopilación de datos acerca de máquinas virtuales de Azure.To deploy the extensions on existing VMs, follow the instructions in Collect data about Azure Virtual Machines.

    Nota

    La sección Recopilación de datos de eventos y rendimiento es opcional.The section Collect event and performance data is optional.

  6. Para usar PowerShell para implementar la extensión, siga las instrucciones de la documentación de máquinas virtuales:To use PowerShell to deploy the extension, use the instructions from the virtual machines documentation:

Nota

Para obtener instrucciones sobre cómo incorporar Security Center mediante PowerShell, consulte Automatización de la incorporación de Azure Security Center mediante PowerShell.For instructions on how to onboard Security Center using PowerShell, see Automate onboarding of Azure Security Center using PowerShell.

Solución de problemasTroubleshooting

  • Para identificar problemas de instalación de aprovisionamiento automático, consulte Supervisión de problemas de Agent Health.To identify automatic provision installation issues, see Monitoring agent health issues.

  • Para identificar los requisitos de red de agente de supervisión, consulte Solución de problemas de los requisitos de red del agente de supervisión.To identify monitoring agent network requirements, see Troubleshooting monitoring agent network requirements.

  • Para identificar problemas de incorporación manual, consulte Cómo solucionar problemas de incorporación de Operations Management Suite.To identify manual onboarding issues, see How to troubleshoot Operations Management Suite onboarding issues.

  • Para identificar problemas de equipos y máquinas virtuales no supervisados:To identify Unmonitored VMs and computers issues:

    Security Center no supervisa una máquina virtual o un equipo si no ejecuta la extensión del agente de Log Analytics.A VM or computer is unmonitored by Security Center if the machine is not running the Log Analytics agent extension. Una máquina virtual puede tener ya instalado un agente local, por ejemplo un agente directo de OMS o el agente System Center Operations Manager.A machine may have a local agent already installed, for example the OMS direct agent or the System Center Operations Manager agent. Las máquinas virtuales con estos agentes se identifican como sin supervisar porque estos agentes no son totalmente compatibles en Security Center.Machines with these agents are identified as unmonitored because these agents are not fully supported in Security Center. Para aprovechar al máximo todas las funcionalidades de Security Center, se necesita la extensión del agente de Log Analytics.To fully benefit from all of Security Center’s capabilities, the Log Analytics agent extension is required.

    Consulte Supervisión de problemas de Agent Health para más información sobre los motivos por los que Security Center no puede supervisar correctamente las máquinas virtuales y los equipos inicializados para el aprovisionamiento automático.For more information about the reasons Security Center is unable to successfully monitor VMs and computers initialized for automatic provisioning, see Monitoring agent health issues.

Pasos siguientesNext steps

En este artículo le hemos mostrado cómo efectuar un aprovisionamiento automático y una recopilación de datos en Security Center.This article showed you how data collection and automatic provisioning in Security Center works. Para obtener más información sobre Security Center, vea las páginas siguientes:To learn more about Security Center, see the following pages: