Compartir vía


¿Cuáles son los registros de identidad que puede transmitir a un punto de conexión?

Mediante la configuración de diagnóstico de Microsoft Entra, puede redirigir los registros de actividad a varios puntos de conexión para retenerlos a largo plazo y obtener información de los datos. Seleccione los registros que desea enrutar y, a continuación, seleccione el punto de conexión.

En este artículo se describen los registros que puede redirigir a un punto de conexión con la configuración de diagnóstico de Microsoft Entra.

Requisitos y opciones del streaming de registros

La configuración de un punto de conexión, como un centro de eventos o una cuenta de almacenamiento, puede requerir diferentes roles y licencias. Para crear o editar una nueva configuración de diagnóstico, necesita un usuario que tenga el rol Administrador de seguridad en el inquilino de Microsoft Entra.

Para ayudar a decidir qué opción de enrutamiento de registros es la mejor para usted, consulte Cómo acceder a los registros de actividad. El proceso general y los requisitos de cada tipo de punto de conexión se tratan en los siguientes artículos:

Opciones del registro de actividad

Los siguientes registros se pueden redirigir a un punto de conexión para su almacenamiento, análisis o supervisión.

Registros de auditoría

El informe AuditLogs captura los cambios en aplicaciones, grupos, usuarios y licencias de su inquilino en Microsoft Entra. Una vez que hayas enrutado los registros de auditoría, puedes filtrar o analizar por fecha y hora el servicio que registraste el evento y quién realizó el cambio. Para más información, consulte Registros de auditoría.

Registros de inicio de sesión

El SignInLogs envía los registros de inicio de sesión interactivos, que son los registros generados por los usuarios que inician sesión. Los usuarios generan registros de inicio de sesión que proporcionan tu nombre de usuario y contraseña en una pantalla de inicio de sesión de Microsoft Entra o pasan un desafío de MFA. Para obtener más información, consulte Inicios de sesión de usuario interactivos.

Registros de inicio de sesión no interactivos

El NonInteractiveUserSIgnInLogs son inicios de sesión realizados en nombre de un usuario, como por ejemplo, una aplicación cliente. El dispositivo o cliente usa un token o código para autenticar o acceder a un recurso en nombre de un usuario. Para más información, consulte Inicio de sesión de usuario no interactivo.

Registros de inicio de sesión de la entidad de servicio

Si necesitas revisar la actividad de inicio de sesión para aplicaciones o entidades de servicio, ServicePrincipalSignInLogs puede ser una buena opción. En estos casos, se utilizan certificados o secretos de cliente para la autenticación. Para obtener más información, consulte Inicio de sesión en la entidad de servicio.

Registros de inicio de sesión de identidad administrada

El ManagedIdentitySignInLogs Proporciona información similar a los registros de inicio de sesión de la entidad de servicio, pero para identidades administradas, donde Azure administra los secretos. Para más información, consulte Inicio de sesión de identidad administrada.

Registros de aprovisionamiento

Si su organización aprovisiona usuarios a través de una aplicación que no es de Microsoft, como Workday o ServiceNow, es posible que desee exportar los informes de ProvisioningLogs. Para más información, consulte Registros de aprovisionamiento.

Registros de inicio de sesión AD FS

La actividad de inicio de sesión para las aplicaciones de los servicios federados de Active Directory (AD FS) se captura en estos informes de uso e información. Puede exportar el ADFSSignInLogs informe para supervisar la actividad de inicio de sesión de las aplicaciones AD FS. Para obtener más información, consulte Registros de inicio de sesión de AD FS.

Usuarios de riesgo

Los registros RiskyUsers identifican a los usuarios que están en riesgo en función de su actividad de inicio de sesión. Este informe forma parte de Microsoft Entra ID Protection y usa datos de inicio de sesión de Microsoft Entra ID. Para obtener más información, consulte ¿Qué es Microsoft Entra ID Protection?

Eventos de riesgo de usuario

Los registros UserRiskEvents forman parte de Microsoft Entra ID Protection. Estos registros capturan detalles sobre eventos de inicio de sesión de riesgo. Para obtener más información, consulte Cómo investigar el riesgo.

Registros de tráfico de acceso a la red

NetworkAccessTrafficLogs se ha asociado al acceso a Internet de Microsoft Entra y acceso privado de Microsoft Entra. Los registros están visibles en Microsoft Entra ID, pero al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use Microsoft Entra Internet Access y Microsoft Entra Private Access para proteger el acceso a los recursos corporativos. Para obtener más información, consulte ¿Qué es el acceso seguro global?.

Entidades de servicio de riesgo

Los registros RiskyServicePrincipals proporcionan información sobre las entidades de servicio que Microsoft Entra ID Protection detectó como arriesgadas. El riesgo principal del servicio representa la probabilidad de que una identidad o cuenta se vea comprometida. Estos riesgos se calculan de forma asíncrona a partir de datos y patrones de orígenes de inteligencia sobre amenazas internas y externas de Microsoft. Estos orígenes pueden incluir investigadores de seguridad, profesionales de cumplimiento de la ley y equipos de seguridad en Microsoft. Para obtener más información, consulte Protección de identidades de cargas de trabajo.

Principales eventos de riesgo del servicio

ServicePrincipalRiskEvents proporciona detalles sobre los eventos de inicio de sesión de riesgo para las entidades de servicio. Estos registros pueden incluir eventos sospechosos identificados relacionados con las cuentas de entidad de servicio. Para obtener más información, consulte Protección de identidades de cargas de trabajo.

Registros de auditoría enriquecidos de Microsoft 365

EnrichedOffice365AuditLogs se ha asociado a los registros enriquecidos que puede habilitar para el acceso a internet de Microsoft Entra. Al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use Microsoft Entra Internet para proteger el acceso al tráfico de Microsoft 365 y haya habilitado los registros enriquecidos. Para obtener más información, consulte Cómo usar los registros de Microsoft 365 enriquecidos de Acceso seguro global.

Registros de actividad de Microsoft Graph

MicrosoftGraphActivityLogs proporciona a los administradores visibilidad plena sobre todas las solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft Graph API. Puede usar estos registros para identificar las actividades que una cuenta de usuario en peligro realizó en el inquilino o para investigar comportamientos problemáticos o inesperados de las aplicaciones cliente, como los volúmenes de llamadas extremos. Redirija estos registros a la misma área de trabajo de Log Analytics con SignInLogs para establecer referencias cruzadas entre los detalles de las solicitudes de tokens y los registros de inicio de sesión. Para obtener más información, consulta Acceso a los registros de actividad de Microsoft Graph.

Registros de estado de red remotos

El RemoteNetworkHealthLogs proporciona información sobre el estado de la red remota configurada a través del acceso seguro global. Al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use acceso a internet de Microsoft Entra y Acceso privado de Microsoft Entra para proteger el acceso a los recursos corporativos. Para obtener más información, consulte Registros de estado de red remotos.

Registros de auditoría de atributos de seguridad personalizados

El CustomSecurityAttributeAuditLogs se configura en la sección Atributos de seguridad personalizados de la configuración de diagnóstico. Estos registros capturan los cambios en los atributos de seguridad personalizados del inquilino de Microsoft Entra. Para ver estos registros en los registros de auditoría de Microsoft Entra, necesita el rol lector de registro de atributos. Para enrutar estos registros a un punto de conexión, necesita el rol administrador de registros de atributos del administrador de seguridad.