¿Cuáles son los registros de identidad que puede transmitir a un punto de conexión?
Mediante la configuración de diagnóstico de Microsoft Entra, puede redirigir los registros de actividad a varios puntos de conexión para retenerlos a largo plazo y obtener información de los datos. Seleccione los registros que desea enrutar y, a continuación, seleccione el punto de conexión.
En este artículo se describen los registros que puede redirigir a un punto de conexión con la configuración de diagnóstico de Microsoft Entra.
Requisitos y opciones del streaming de registros
La configuración de un punto de conexión, como un centro de eventos o una cuenta de almacenamiento, puede requerir diferentes roles y licencias. Para crear o editar una nueva configuración de diagnóstico, necesita un usuario que tenga el rol Administrador de seguridad en el inquilino de Microsoft Entra.
Para ayudar a decidir qué opción de enrutamiento de registros es la mejor para usted, consulte Cómo acceder a los registros de actividad. El proceso general y los requisitos de cada tipo de punto de conexión se tratan en los siguientes artículos:
- Envío de registros a un área de trabajo de Log Analytics para integrarse con los registros de Azure Monitor
- Archivo de registros en una cuenta de almacenamiento
- Transmitir registros a un centro de eventos
- Enviar a una solución de asociado
Opciones del registro de actividad
Los siguientes registros se pueden redirigir a un punto de conexión para su almacenamiento, análisis o supervisión.
Registros de auditoría
El informe AuditLogs
captura los cambios en aplicaciones, grupos, usuarios y licencias de su inquilino en Microsoft Entra. Una vez que hayas enrutado los registros de auditoría, puedes filtrar o analizar por fecha y hora el servicio que registraste el evento y quién realizó el cambio. Para más información, consulte Registros de auditoría.
Registros de inicio de sesión
El SignInLogs
envía los registros de inicio de sesión interactivos, que son los registros generados por los usuarios que inician sesión. Los usuarios generan registros de inicio de sesión que proporcionan tu nombre de usuario y contraseña en una pantalla de inicio de sesión de Microsoft Entra o pasan un desafío de MFA. Para obtener más información, consulte Inicios de sesión de usuario interactivos.
Registros de inicio de sesión no interactivos
El NonInteractiveUserSIgnInLogs
son inicios de sesión realizados en nombre de un usuario, como por ejemplo, una aplicación cliente. El dispositivo o cliente usa un token o código para autenticar o acceder a un recurso en nombre de un usuario. Para más información, consulte Inicio de sesión de usuario no interactivo.
Registros de inicio de sesión de la entidad de servicio
Si necesitas revisar la actividad de inicio de sesión para aplicaciones o entidades de servicio, ServicePrincipalSignInLogs
puede ser una buena opción. En estos casos, se utilizan certificados o secretos de cliente para la autenticación. Para obtener más información, consulte Inicio de sesión en la entidad de servicio.
Registros de inicio de sesión de identidad administrada
El ManagedIdentitySignInLogs
Proporciona información similar a los registros de inicio de sesión de la entidad de servicio, pero para identidades administradas, donde Azure administra los secretos. Para más información, consulte Inicio de sesión de identidad administrada.
Registros de aprovisionamiento
Si su organización aprovisiona usuarios a través de una aplicación que no es de Microsoft, como Workday o ServiceNow, es posible que desee exportar los informes de ProvisioningLogs
. Para más información, consulte Registros de aprovisionamiento.
Registros de inicio de sesión AD FS
La actividad de inicio de sesión para las aplicaciones de los servicios federados de Active Directory (AD FS) se captura en estos informes de uso e información. Puede exportar el ADFSSignInLogs
informe para supervisar la actividad de inicio de sesión de las aplicaciones AD FS. Para obtener más información, consulte Registros de inicio de sesión de AD FS.
Usuarios de riesgo
Los registros RiskyUsers
identifican a los usuarios que están en riesgo en función de su actividad de inicio de sesión. Este informe forma parte de Microsoft Entra ID Protection y usa datos de inicio de sesión de Microsoft Entra ID. Para obtener más información, consulte ¿Qué es Microsoft Entra ID Protection?
Eventos de riesgo de usuario
Los registros UserRiskEvents
forman parte de Microsoft Entra ID Protection. Estos registros capturan detalles sobre eventos de inicio de sesión de riesgo. Para obtener más información, consulte Cómo investigar el riesgo.
Registros de tráfico de acceso a la red
NetworkAccessTrafficLogs
se ha asociado al acceso a Internet de Microsoft Entra y acceso privado de Microsoft Entra. Los registros están visibles en Microsoft Entra ID, pero al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use Microsoft Entra Internet Access y Microsoft Entra Private Access para proteger el acceso a los recursos corporativos. Para obtener más información, consulte ¿Qué es el acceso seguro global?.
Entidades de servicio de riesgo
Los registros RiskyServicePrincipals
proporcionan información sobre las entidades de servicio que Microsoft Entra ID Protection detectó como arriesgadas. El riesgo principal del servicio representa la probabilidad de que una identidad o cuenta se vea comprometida. Estos riesgos se calculan de forma asíncrona a partir de datos y patrones de orígenes de inteligencia sobre amenazas internas y externas de Microsoft. Estos orígenes pueden incluir investigadores de seguridad, profesionales de cumplimiento de la ley y equipos de seguridad en Microsoft. Para obtener más información, consulte Protección de identidades de cargas de trabajo.
Principales eventos de riesgo del servicio
ServicePrincipalRiskEvents
proporciona detalles sobre los eventos de inicio de sesión de riesgo para las entidades de servicio. Estos registros pueden incluir eventos sospechosos identificados relacionados con las cuentas de entidad de servicio. Para obtener más información, consulte Protección de identidades de cargas de trabajo.
Registros de auditoría enriquecidos de Microsoft 365
EnrichedOffice365AuditLogs
se ha asociado a los registros enriquecidos que puede habilitar para el acceso a internet de Microsoft Entra. Al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use Microsoft Entra Internet para proteger el acceso al tráfico de Microsoft 365 y haya habilitado los registros enriquecidos. Para obtener más información, consulte Cómo usar los registros de Microsoft 365 enriquecidos de Acceso seguro global.
Registros de actividad de Microsoft Graph
MicrosoftGraphActivityLogs
proporciona a los administradores visibilidad plena sobre todas las solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft Graph API. Puede usar estos registros para identificar las actividades que una cuenta de usuario en peligro realizó en el inquilino o para investigar comportamientos problemáticos o inesperados de las aplicaciones cliente, como los volúmenes de llamadas extremos. Redirija estos registros a la misma área de trabajo de Log Analytics con SignInLogs
para establecer referencias cruzadas entre los detalles de las solicitudes de tokens y los registros de inicio de sesión. Para obtener más información, consulta Acceso a los registros de actividad de Microsoft Graph.
Registros de estado de red remotos
El RemoteNetworkHealthLogs
proporciona información sobre el estado de la red remota configurada a través del acceso seguro global. Al seleccionar esta opción no se agregan nuevos registros al área de trabajo, a menos que la organización use acceso a internet de Microsoft Entra y Acceso privado de Microsoft Entra para proteger el acceso a los recursos corporativos. Para obtener más información, consulte Registros de estado de red remotos.
Registros de auditoría de atributos de seguridad personalizados
El CustomSecurityAttributeAuditLogs
se configura en la sección Atributos de seguridad personalizados de la configuración de diagnóstico. Estos registros capturan los cambios en los atributos de seguridad personalizados del inquilino de Microsoft Entra. Para ver estos registros en los registros de auditoría de Microsoft Entra, necesita el rol lector de registro de atributos. Para enrutar estos registros a un punto de conexión, necesita el rol administrador de registros de atributos del administrador de seguridad.