¿Qué son las opciones de integración de registros de actividad de Microsoft Entra?
Mediante la Configuración de diagnóstico en Microsoft Entra ID, puede enrutar los registros de actividad a varios puntos de conexión para la retención de datos a largo plazo y la información. Puede archivar registros de almacenamiento, enrutar a herramientas de administración de eventos e información de seguridad (SIEM) e integrar registros con registros de Azure Monitor.
Con estas integraciones, puede habilitar visualizaciones enriquecidas, supervisión y alertas sobre los datos conectados. En este artículo se describen los usos recomendados para cada tipo de integración o método de acceso. También se tratan las consideraciones sobre los costes para enviar registros de actividad de Microsoft Entra a varios puntos de conexión.
Informes admitidos
Los registros siguientes se pueden integrar con uno de los muchos puntos de conexión:
- El informe de actividad de registros de auditoría le proporciona acceso al historial de cada tarea llevada a cabo en el inquilino.
- Con el informe de actividad de inicio de sesión, puede ver cuándo los usuarios intentan iniciar sesión en las aplicaciones o solucionar errores de inicio de sesión.
- Con los registros de aprovisionamiento, puede supervisar qué usuarios se actualizaron y eliminaron en todas tus aplicaciones que no son de Microsoft.
- Los registros de usuarios de riesgo ayudan a supervisar los cambios en el nivel de riesgo de los usuarios y en la actividad de corrección.
- Con los registros de detecciones de riesgo se pueden supervisar las detecciones de riesgo del usuario y analizar las tendencias en la actividad de riesgo detectada en la organización.
Opciones de integración
Para ayudar a elegir el método adecuado para integrar los registros de actividad de Microsoft Entra para el almacenamiento o el análisis, piense en la tarea general que está intentando realizar. Las opciones están agrupadas en tres categorías principales:
- Solución de problemas
- Almacenamiento a largo plazo
- Análisis y supervisión
Solución de problemas de conexiones del Escritorio remoto a una máquina virtual de Azure
Si va a realizar tareas de solución de problemas básicas, pero no necesita conservar los registros durante más de 30 días, se recomienda usar el Centro de administración Microsoft Entra o las API de Microsoft Graph para acceder a los registros de actividad. Puede filtrar los registros para su escenario y exportarlos o descargarlos según sea necesario.
Si va a realizar tareas de solución de problemas y necesita conservar los registros durante más de 30 días, eche un vistazo a las opciones de almacenamiento a largo plazo.
Almacenamiento a largo plazo
Si va a realizar tareas de solución de problemas y necesita conservar los registros durante más de 30 días, debería exportar los registros a una cuenta de almacenamiento de Azure. Esta opción es ideal si no planea consultar esos datos a menudo.
Si necesita consultar los datos que conserva durante más de 30 días, eche un vistazo a las opciones de análisis y supervisión.
Análisis y supervisión
Si su escenario requiere que conserve los datos durante más de 30 días y planea consultar esos datos con regularidad, existen algunas opciones para integrar los datos con herramientas de SIEM para el análisis y la supervisión.
Si tiene una herramienta SIEM que no es de Microsoft, se recomienda configurar un espacio de nombres de Event Hubs y un centro de eventos a través del que pueda transmitir los datos. Con un centro de eventos, puede transmitir registros a una de las herramientas de SIEM admitidas.
Si no planea usar una herramienta de SIEM de terceros, se recomienda enviar los registros de actividad de Microsoft Entra a los registros de Azure Monitor. Con esta integración, puede consultar los registros de actividad en un área de trabajo de Log Analytics. Además de los registros de Azure Monitor, Microsoft Sentinel proporciona detección de seguridad casi en tiempo real y búsqueda de amenazas. Si decide integrar con las herramientas de SIEM más adelante, puede transmitir los registros de actividad de Microsoft Entra junto con los demás datos de Azure a través de un centro de eventos.
Consideraciones sobre el costo
Hay un coste por enviar datos a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento o transmitir registros a un centro de eventos. La cantidad de datos y el coste incurrido pueden variar significativamente según el tamaño del inquilino, el número de directivas en uso e incluso la hora del día. Cambiar una configuración de diagnóstico existente podría incurrir en cargos nuevos.
Dado que el tamaño y el coste para enviar registros a un punto de conexión es difícil de predecir, la manera más precisa de determinar los costes esperados es enrutar los registros a un punto de conexión durante un día o dos. Con esta instantánea, puede obtener una predicción precisa de los costes esperados. También puede obtener una estimación de los costes descargando una muestra de los registros y multiplicando en consecuencia para obtener una estimación para un día.
Otras consideraciones para enviar registros de Microsoft Entra a registros de Azure Monitor se tratan en los siguientes artículos de detalles de costos de Azure Monitor:
- Opciones y cálculos de costes de registros de Azure Monitor
- Costo y uso de Azure Monitor
- Optimización de los costos en Azure Monitor
Azure Monitor permite excluir eventos completos, campos o partes de campos al ingerir registros de Microsoft Entra ID. Para más información sobre esta característica de ahorro de costos, consulte la Transformaciones de recopilación de datos en Azure Monitor.
Estimación de los costes
Para calcular los costes de su organización, puede calcular el tamaño diario del registro o el coste diario para integrar los registros con un punto de conexión.
Los siguientes factores podrían afectar a los costes de su organización:
- Los eventos de registro de auditoría usan alrededor de 2 KB de almacenamiento de datos
- Los eventos de registro de inicio de sesión usan un promedio de 11,5 KB de almacenamiento de datos
- Un inquilino de aproximadamente 100 000 usuarios podría incurrir en aproximadamente 1,5 millones de eventos al día
- Los eventos se agrupan en intervalos de aproximadamente cinco minutos y se envían como un único mensaje que contiene todos los eventos dentro de ese período de tiempo
Tamaño diario del registro
Para calcular el tamaño diario del registro, recopile una muestra de los registros, ajuste la muestra para reflejar el tamaño y la configuración del inquilino y, a continuación, aplique ese ejemplo a la calculadora de precios de Azure.
Si nunca ha descargado los registros del Centro de administración de Microsoft Entra, consulte el artículo Descarga de registros en Microsoft Entra ID. En función del tamaño de la organización, es posible que tengas que elegir otro tamaño de muestra para iniciar la estimación. Los siguientes tamaños de ejemplo son un buen lugar para empezar:
- 1000 registros
- Para inquilinos grandes, 15 minutos de inicios de sesión
- Para inquilinos de pequeños a medianos, 1 hora de inicios de sesión
También debe tener en cuenta la distribución geográfica y las horas pico de los usuarios al capturar la muestra de datos. Si su organización se basa en una región, es probable que los inicios de sesión se activen aproximadamente al mismo tiempo. Ajuste el tamaño de la muestra y capture la muestra en consecuencia.
Con la muestra de datos capturada, multiplique en consecuencia para averiguar el tamaño del archivo durante un día.
Calcular el coste diario
Para hacerse una idea de cuánto podría costar una integración de registros para su organización, puede habilitar una integración durante un día o dos. Use esta opción si el presupuesto permite el aumento temporal.
Para habilitar una integración de registros, siga los pasos descritos en el artículo Integración de registros de actividad con registros de Azure Monitor. Si es posible, cree un nuevo grupo de recursos para los registros y el punto de conexión que quiera probar. Tener un grupo de recursos dedicado facilita la visualización del análisis de costes y, a continuación, su eliminación cuando haya terminado.
Con la integración habilitada, vaya a Azure Portal>Cost Management>Análisis de costes. Existen varias formas de analizar los costes. Este Inicio rápido de Cost Management le ayudará a empezar. Las ilustraciones de la captura de pantalla siguiente se usan con fines de ejemplo y no están pensadas para reflejar cantidades reales.
Asegúrese de que usa el nuevo grupo de recursos como el ámbito. Explore los costes y previsiones diarios para hacerse una idea de cuánto podría costar la integración de registros.
Cálculo de costes estimados
En la página de aterrizaje de la calculadora de precios de Azure, puede calcular los costes de varios productos.
Una vez que tenga una estimación para los GB/día que se enviarán a un punto de conexión, escriba ese valor en la calculadora de precios de Azure. Las ilustraciones de la captura de pantalla siguiente se usan con fines de ejemplo y no están pensadas para reflejar precios reales.