Auditoría de la actividad del usuario
Después de configurar el acceso de usuario en Azure Portal, en los sensores de red de OT y en una consola de administración local, le interesará poder realizar un seguimiento de la actividad del usuario y auditarla en todo Microsoft Defender para IoT.
Auditoría de la actividad del usuario de Azure
Use recursos de auditoría de usuario de Microsoft Entra para auditar la actividad del usuario de Azure en Defender para IoT. Para más información, consulte:
- Registros de auditoría en Microsoft Entra ID
- Referencia de actividad de auditoría de Microsoft Entra ID
Auditoría de la actividad del usuario en un sensor de red de OT
Audite y realice un seguimiento de la actividad del usuario en la escala de tiempo de eventos de un sensor. La escala de tiempo de eventos muestra los eventos que se produjeron en el sensor, los dispositivos afectados en cada evento y la hora y la fecha en que se produjo el evento.
Nota:
Este procedimiento es compatible con los usuarios administradores con privilegios predeterminados y cualquier usuario con un rol de administrador.
Para usar la escala de tiempo de eventos del sensor:
Inicie sesión en la consola del sensor como los usuarios administradores con privilegios predeterminados o cualquier usuario con un rol de administrador.
En el sensor, seleccione Escala de tiempo de eventos en el menú de la izquierda. Asegúrese de que el filtro está establecido para mostrar Operaciones de usuario.
Por ejemplo:
Use filtros adicionales o realice una búsqueda mediante Ctrl F para encontrar la información que le interese.
Para más información sobre la escala de tiempo del evento, consulte Supervisión de la actividad de red y del sensor con la escala de tiempo del evento.
Auditoría de la actividad del usuario en una consola de administración local
Importante
Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025.
Para obtener más información, consulte Implementación de la administración de sensores de OT híbridos o con disponibilidad inalámbrica.
Para auditar y realizar un seguimiento de la actividad del usuario en una consola de administración local, use los registros de auditoría de la consola de administración local, que registran los datos de actividad clave en el momento en que se producen. Use registros de auditoría de la consola de administración local para comprender los cambios realizados en la consola de administración local, cuándo y por quién.
Para acceder a los registros de auditoría de la consola de administración local, haga lo siguiente:
Inicie sesión en la consola de administración local y seleccione Configuración del sistema > Estadísticas del sistema>Registro de auditoría.
El cuadro de diálogo muestra los datos del registro de auditoría activo actualmente. Por ejemplo:
Por ejemplo:
Los nuevos registros de auditoría se generan cada 10 MB. Se almacena un registro anterior además del archivo de registro activo actual.
Los registros de auditoría incluyen los siguientes datos:
| Acción | Información registrada |
|---|---|
| Información y corrección de alertas | Id. de alerta |
| Cambios de contraseña | Usuario, id. de usuario |
| Inicio de sesión | Usuario |
| Creación de usuario | Usuario, rol de usuario |
| Restablecimiento de contraseña | Nombre de usuario |
| Creación de reglas de exclusión | Resumen de regla |
| Edición de reglas de exclusión | Id. de regla, resumen de regla |
| Eliminación de reglas de exclusión | Id. de regla |
| Actualización de la consola de administración | Archivo de actualización usado |
| Reintento de actualización del sensor | El identificador de sensor |
| Paquete de TI cargado | No se ha registrado información adicional. |
Sugerencia
También puede exportar los registros de auditoría para enviarlos al equipo de soporte técnico con el fin de solucionar problemas adicionales. Para obtener más información, consulte Exportación de registros desde la consola de administración local para solucionar problemas.
Pasos siguientes
Para más información, consulte:
- Administración de usuarios de Microsoft Defender para IoT
- Roles y permisos de usuario de Azure en Defender para IoT
- Usuarios y roles locales para la supervisión de OT con Defender para IoT
- Creación y administración de usuarios en un sensor de red de OT
- Creación y administración de usuarios en una consola de administración local