Conexión de eventos de seguridad de WindowsConnect Windows security events

El conector de eventos de seguridad permite transmitir todos los eventos de seguridad de los sistemas Windows (servidores y estaciones de trabajo, físicos y virtuales) al área de trabajo de Azure Sentinel.The Security Events connector lets you stream all security events from your Windows systems (servers and workstations, physical and virtual) to your Azure Sentinel workspace. Esto le permite ver los eventos de seguridad de Windows en los paneles. De este modo, puede usarlos en la creación de alertas personalizadas y basarse en ellos para mejorar las investigaciones, lo que le proporciona más información sobre la red de su organización y amplía las funciones de las operaciones de seguridad.This enables you to view Windows security events in your dashboards, to use them in creating custom alerts, and to rely on them to improve your investigations, giving you more insight into your organization's network and expanding your security operations capabilities. Puede seleccionar los eventos que se transmitirán de entre los siguientes conjuntos: You can select which events to stream from among the following sets:

  • Todos los eventos: todos los eventos de seguridad de Windows y AppLocker.All events - All Windows security and AppLocker events.

  • Común: conjunto estándar de eventos con fines de auditoría.Common - A standard set of events for auditing purposes. En este conjunto se proporciona una pista de auditoría de usuario completa.A full user audit trail is included in this set. Por ejemplo, contiene los eventos de inicio de sesión y cierre de sesión de usuario (identificadores de evento 4624, 4634).For example, it contains both user sign-in and user sign-out events (event IDs 4624, 4634). También hay acciones de auditoría como los cambios en los grupos de seguridad, las operaciones de Kerberos en el controlador de dominio de clave y otros tipos de eventos que siguen los procedimientos recomendados aceptados.There are also auditing actions such as security group changes, key domain controller Kerberos operations, and other types of events in line with accepted best practices.

    El conjunto de eventos común puede contener algunos tipos de eventos que no son tan comunes.The Common event set may contain some types of events that aren't so common. Esto se debe a que el argumento principal del conjunto común es reducir el volumen de eventos a un nivel más fácil de administrar, a la vez que se mantiene una capacidad de registro de auditoría completa.This is because the main point of the Common set is to reduce the volume of events to a more manageable level, while still maintaining full audit trail capability.

  • Mínimo: conjunto reducido de eventos que pueden señalar posibles amenazas.Minimal - A small set of events that might indicate potential threats. Este conjunto no contiene un registro de auditoría completo.This set does not contain a full audit trail. Abarca solamente los eventos que podrían indicar una brecha correcta, así como otros eventos importantes que tienen tasas de aparición muy bajas.It covers only events that might indicate a successful breach, and other important events that have very low rates of occurrence. Por ejemplo, contiene un inicio de sesión de usuario correcto y uno erróneo (identificadores de evento 4624 y 4625), pero no contiene información del cierre de sesión (4634), que es importante para la auditoría pero no lo es para la detección de brechas y tiene un volumen relativamente alto.For example, it contains successful and failed user logons (event IDs 4624, 4625), but it doesn't contain sign-out information (4634) which, while important for auditing, is not meaningful for breach detection and has relatively high volume. La mayor parte del volumen de datos de este conjunto está conformado por los eventos de inicio de sesión y de creación de proceso (identificador de evento 4688).Most of the data volume of this set is comprised of sign-in events and process creation events (event ID 4688).

  • Ninguno: no se transmite ningún evento de seguridad o de AppLocker.None - No security or AppLocker events. (Esta configuración se usa para deshabilitar el conector).(This setting is used to disable the connector.)

    En la lista siguiente se muestra un desglose completo de los identificadores de evento de seguridad y de AppLocker para cada conjunto:The following list provides a complete breakdown of the Security and App Locker event IDs for each set:

    Conjunto de eventosEvent set Identificadores de eventos recopiladosCollected event IDs
    MínimoMinimal 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 82221102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222
    ComúnCommon 1, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 300041, 299, 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622, 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, 4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004

Nota

La recopilación de eventos de seguridad dentro del contexto de un área de trabajo única se puede configurar desde Azure Security Center o desde Azure Sentinel, pero no con ambas herramientas.Security Events collection within the context of a single workspace can be configured from either Azure Security Center or Azure Sentinel, but not both. Si va a incorporar Azure Sentinel a un área de trabajo que ya recibe alertas de Azure Defender desde Azure Security Center y está configurado para recopilar eventos de seguridad, tiene dos opciones:If you are onboarding Azure Sentinel in a workspace that is already getting Azure Defender alerts from Azure Security Center, and is set to collect Security Events, you have two options:

  • Deje la recopilación de eventos de seguridad en Azure Security Center tal y como está.Leave the Security Events collection in Azure Security Center as is. Podrá consultar y analizar estos eventos tanto en Azure Sentinel como en Azure Defender.You will be able to query and analyze these events in Azure Sentinel as well as in Azure Defender. Sin embargo, no podrá supervisar el estado de conectividad del conector ni cambiar su configuración en Azure Sentinel.You will not, however, be able to monitor the connector's connectivity status or change its configuration in Azure Sentinel. Si esta acción le parece importante, considere la segunda opción.If this is important to you, consider the second option.

  • Deshabilite la recopilación de eventos de seguridad en Azure Security Center y, a continuación, agregue el conector de eventos de seguridad en Azure Sentinel.Disable Security Events collection in Azure Security Center, and only then add the Security Events connector in Azure Sentinel. Al igual que con la primera opción, podrá consultar y analizar eventos en Azure Sentinel y Azure Defender (o ASC), pero ahora podrá supervisar el estado de conectividad del conector o cambiar su configuración únicamente en Azure Sentinel.As with the first option, you will be able to query and analyze events in both Azure Sentinel and Azure Defender/ASC, but you will now be able to monitor the connector's connectivity status or change its configuration in - and only in - Azure Sentinel.

Configuración del conector de eventos de seguridad de WindowsSet up the Windows Security Events connector

Para recopilar los eventos de seguridad de Windows en Azure Sentinel, haga lo siguiente:To collect your Windows security events in Azure Sentinel:

  1. En el menú de navegación de Azure Sentinel, seleccione Data connectors (Conectores de datos).From the Azure Sentinel navigation menu, select Data connectors. En la lista de conectores, haga clic en Eventos de seguridad y, a continuación, en el botón Open connector page (Abrir página del conector) en la parte inferior derecha.From the list of connectors, click on Security Events, and then on the Open connector page button on the lower right. A continuación, siga las instrucciones en pantalla debajo de la pestaña Instrucciones, tal como se describe en el resto de esta sección.Then follow the on-screen instructions under the Instructions tab, as described through the rest of this section.

  2. Compruebe que tiene los permisos adecuados, tal como se describe en Requisitos previos.Verify that you have the appropriate permissions as described under Prerequisites.

  3. Descargue e instale el agente de Log Analytics (también conocido como Microsoft Monitoring Agent o MMA) en los equipos desde los que quiere transmitir eventos de seguridad a Azure Sentinel.Download and install the Log Analytics agent (also known as the Microsoft Monitoring Agent or MMA) on the machines for which you want to stream security events into Azure Sentinel.

    Para las máquinas virtuales de Azure:For Azure Virtual Machines:

    1. Haga clic en Install agent on Azure Windows Virtual Machine (Instalar el agente en la máquina virtual de Windows de Azure) y, después, en el vínculo que aparece a continuación.Click on Install agent on Azure Windows Virtual Machine, and then on the link that appears below.
    2. Haga clic en el nombre de cada máquina virtual que quiera conectar en la lista que aparece a la derecha y, a continuación, haga clic en Conectar.For each virtual machine that you want to connect, click on its name in the list that appears on the right, and then click Connect.

    Para las máquinas Windows que no son de Azure (físicas, virtuales locales o virtuales en otra nube):For non-Azure Windows machines (physical, virtual on-prem, or virtual in another cloud):

    1. Haga clic en Install agent on non-Azure Windows Machine (Instalar el agente en una máquina de Windows que no es de Azure) y, después, en el vínculo que aparece a continuación.Click on Install agent on non-Azure Windows Machine, and then on the link that appears below.
    2. Haga clic en los vínculos de descarga correspondientes que aparecen a la derecha, debajo de Equipos Windows.Click on the appropriate download links that appear on the right, under Windows Computers.
    3. Con el archivo ejecutable descargado, instale el agente en los sistemas Windows que quiera y configúrelo con el Id. y las claves de área de trabajo que aparecen debajo de los vínculos de descarga mencionados anteriormente.Using the downloaded executable file, install the agent on the Windows systems of your choice, and configure it using the Workspace ID and Keys that appear below the download links mentioned above.

    Nota

    Para que los sistemas Windows sin la conectividad a Internet necesaria puedan seguir transmitiendo eventos a Azure Sentinel, use el vínculo de la esquina inferior derecha para descargar e instalar la puerta de enlace de OMS en una máquina independiente, que actuará como proxy.To allow Windows systems without the necessary internet connectivity to still stream events to Azure Sentinel, download and install the OMS Gateway on a separate machine, using the link on the lower right, to act as a proxy. Tendrá que instalar el agente de Log Analytics en todos los sistemas Windows cuyos eventos quiera recopilar.You will still need to install the Log Analytics agent on each Windows system whose events you want to collect.

    Para obtener más información sobre este escenario, consulte la documentación de la puerta de enlace de Log Analytics .For more information on this scenario, see the Log Analytics gateway documentation.

    Para obtener más información sobre las opciones de instalación adicionales y otros detalles, consulte la documentación del agente de Log Analytics.For additional installation options and further details, see the Log Analytics agent documentation.

  4. Seleccione el conjunto de eventos (todos, común o mínimo) que quiere transmitir.Select which event set (All, Common, or Minimal) you want to stream.

  5. Haga clic en Update(Actualizar).Click Update.

  6. Para usar el esquema correspondiente en Log Analytics para encontrar los eventos de seguridad de Windows, escriba SecurityEvent en la ventana de consulta.To use the relevant schema in Log Analytics for Windows security events, type SecurityEvent in the query window.

Validar conectividadValidate connectivity

Hasta que los registros empiecen a aparecer en Log Analytics, pueden transcurrir unos 20 minutos.It may take around 20 minutes until your logs start to appear in Log Analytics.

Configuración del conector de eventos de seguridad para la detección de inicios de sesión de RDP anómalosConfigure the Security events connector for anomalous RDP login detection

Importante

La detección de inicios de sesión de RDP anómalos se encuentra actualmente en versión preliminar pública.Anomalous RDP login detection is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and it's not recommended for production workloads. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel puede aplicar aprendizaje automático (ML) a los datos de eventos de seguridad para identificar una actividad de inicio de sesión de protocolo de escritorio remoto (RDP) anómala.Azure Sentinel can apply machine learning (ML) to Security events data to identify anomalous Remote Desktop Protocol (RDP) login activity. Los escenarios incluyen:Scenarios include:

  • IP inusual: la dirección IP no se ha observado nunca o casi nunca en los últimos 30 díasUnusual IP - the IP address has rarely or never been observed in the last 30 days

  • Ubicación geográfica inusual: la dirección IP, la ciudad, el país y el ASN no se han observado nunca o casi nunca en los últimos 30 díasUnusual geo-location - the IP address, city, country, and ASN have rarely or never been observed in the last 30 days

  • Nuevo usuario: un nuevo usuario inicia sesión desde una dirección IP o una ubicación geográfica que no se esperaba ver de acuerdo con los datos de los 30 días anteriores.New user - a new user logs in from an IP address and geo-location, both or either of which were not expected to be seen based on data from the 30 days prior.

Instrucciones de configuraciónConfiguration instructions

  1. Debe recopilar los datos de inicio de sesión de RDP (identificador de evento 4624) mediante el conector de datos de eventos de seguridad.You must be collecting RDP login data (Event ID 4624) through the Security events data connector. Asegúrese de haber seleccionado un conjunto de eventos distinto de "Ninguno" para transmitirlo a Azure Sentinel.Make sure you have selected an event set besides "None" to stream into Azure Sentinel.

  2. En el portal de Azure Sentinel, haga clic en Analytics (Análisis) y, después, haga clic en la pestaña Rule templates (Plantillas de reglas). Seleccione la regla (Preview) Anomalous RDP Login Detection [(Versión preliminar) Detección de inicio de sesión RDP anómalo] y mueva el regulador Status (Estado) a Enabled (Habilitado).From the Azure Sentinel portal, click Analytics, and then click the Rule templates tab. Choose the (Preview) Anomalous RDP Login Detection rule, and move the Status slider to Enabled.

    Nota

    Dado que el algoritmo de aprendizaje automático requiere datos de 30 días para crear un perfil de base de referencia del comportamiento de los usuarios, debe permitir que se recopilen los datos de eventos de seguridad de 30 días antes de que se puedan detectar incidentes.As the machine learning algorithm requires 30 days' worth of data to build a baseline profile of user behavior, you must allow 30 days of Security events data to be collected before any incidents can be detected.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar eventos de seguridad de Windows a Azure Sentinel.In this document, you learned how to connect Windows security events to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: