Recopila registros de actividad de Microsoft Azure y de Entra ID

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo recopilar registros de actividad y de Entra ID de Microsoft Azure configurando feeds de Google Security Operations con Microsoft Azure Blob Storage.

Los registros de actividad de Azure proporcionan información sobre las operaciones a nivel de la suscripción que se realizan en los recursos de Azure, como la creación de cuentas de almacenamiento, el borrado de centros de eventos o la modificación de máquinas virtuales. Los registros de Microsoft Entra ID (antes Azure Active Directory) capturan eventos de administración de identidades y accesos, incluidos los inicios de sesión de usuarios, los registros de auditoría, las actividades de aprovisionamiento y las detecciones de riesgos de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Acceso con privilegios al portal de Microsoft Azure con permisos para realizar las siguientes acciones:
    • Crea cuentas de almacenamiento
    • Configura los parámetros de diagnóstico para Azure Monitor y Entra ID
    • Administra las claves de acceso
  • Rol de administrador de seguridad o superior en Entra ID (para la configuración de diagnóstico de Entra ID)

Configura la cuenta de Azure Storage

Crea una cuenta de almacenamiento

  1. En el portal de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en + Crear.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Suscripción Selecciona tu suscripción a Azure
    Grupo de recursos Selecciona una condición existente o crea una nueva
    Nombre de la cuenta de almacenamiento Ingresa un nombre único (por ejemplo, secops-azure-logs).
    Región Selecciona la región (por ejemplo, East US).
    Rendimiento Estándar (recomendado)
    Redundancia GRS (almacenamiento con redundancia geográfica) o LRS (almacenamiento con redundancia local)

  4. Haz clic en Revisar + crear.

  5. Revisa el resumen de la cuenta y haz clic en Crear.

  6. Espera a que se complete la implementación.

Obtén credenciales de la cuenta de almacenamiento

  1. Ve a la cuenta de almacenamiento que acabas de crear.
  2. En la navegación de la izquierda, selecciona Claves de acceso en Seguridad y redes.
  3. Haz clic en Mostrar claves.
  4. Copia y guarda lo siguiente para usarlo más tarde:
    • Nombre de la cuenta de almacenamiento: Tu nombre de la cuenta de almacenamiento (por ejemplo, secops-azure-logs)
    • Clave 1 o Clave 2: Es la clave de acceso compartido (una cadena aleatoria de 512 bits en codificación base64).

Obtén el extremo del servicio Blob

  1. En la misma cuenta de almacenamiento, selecciona Extremos en la navegación de la izquierda.
  2. Copia y guarda la URL del extremo del servicio de Blob.
    • Ejemplo: https://secops-azure-logs.blob.core.windows.net/

Configura los parámetros de diagnóstico de los registros de actividad de Azure

Para exportar los registros de actividad de Azure a la cuenta de almacenamiento, sigue estos pasos:

  1. En el portal de Azure, busca Monitor.
  2. Haz clic en Registro de actividad en el panel de navegación izquierdo.
  3. Haz clic en Export Activity Logs en la parte superior de la ventana.
  4. Haz clic en Agregar parámetro de configuración de diagnóstico.
  5. Proporciona los siguientes detalles de configuración:
    • Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo, activity-logs-to-secops).
    • En la sección Registros, selecciona las siguientes categorías:
      • Administrativo
      • Seguridad
      • Estado del servicio
      • Alerta
      • Recomendación
      • Política
      • Ajuste de escala automático
      • Estado del recurso
    • En la sección Detalles del destino, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
    • Suscripción: Selecciona la suscripción que contiene tu cuenta de almacenamiento.
    • Cuenta de almacenamiento: Selecciona la cuenta de almacenamiento que creaste antes (por ejemplo, secops-azure-logs).
  6. Haz clic en Guardar.

Configura los parámetros de diagnóstico de Entra ID

Para exportar los registros de Entra ID a la cuenta de almacenamiento, sigue estos pasos:

  1. En el portal de Azure, busca Microsoft Entra ID o Azure Active Directory.
  2. En el panel de navegación de la izquierda, ve a Supervisión y estado > Configuración de diagnóstico.
  3. Haz clic en Agregar parámetro de configuración de diagnóstico.
  4. Proporciona los siguientes detalles de configuración:
    • Nombre del parámetro de configuración de diagnóstico: Ingresa un nombre descriptivo (por ejemplo, entraid-logs-to-secops).
    • En la sección Registros, selecciona las categorías de registros que deseas exportar:
      • SignInLogs: Inicios de sesión interactivos del usuario
      • NonInteractiveUserSignInLogs: Registros de acceso de usuarios no interactivos (entidades de servicio, identidades administradas que actúan en nombre de los usuarios)
      • ServicePrincipalSignInLogs: Registros de acceso de la entidad de servicio y la aplicación
      • ManagedIdentitySignInLogs: Registros de acceso de identidades administradas
      • AuditLogs: Registro de auditoría de todos los cambios en Entra ID (creación de usuarios, asignaciones de roles, etcétera)
      • ProvisioningLogs: Eventos de aprovisionamiento de usuarios y grupos
      • RiskyUsers: Usuarios marcados por la Protección de identidad
      • UserRiskEvents: Son detecciones de riesgo para las cuentas de usuario.
      • MicrosoftGraphActivityLogs: Registros de actividad de la API de Microsoft Graph
    • En la sección Detalles del destino, selecciona la casilla de verificación Archivar en una cuenta de almacenamiento.
    • Suscripción: Selecciona la suscripción que contiene tu cuenta de almacenamiento.
    • Cuenta de almacenamiento: Selecciona la cuenta de almacenamiento que creaste antes (por ejemplo, secops-azure-logs).

  5. Haz clic en Guardar.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu Azure Blob Storage. Debes otorgar acceso a esta cuenta de servicio a tu cuenta de almacenamiento.

Obtén el correo electrónico de la cuenta de servicio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre temporal.
  5. Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
  6. Selecciona cualquier tipo de registro (puedes cambiarlo más adelante).

  7. Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

  9. Haz clic en Cancelar para salir de la creación del feed (crearás los feeds reales más adelante).

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de lector de datos de blob de Storage en tu cuenta de almacenamiento.

  1. En el portal de Azure, ve a Cuentas de almacenamiento.
  2. Haz clic en el nombre de tu cuenta de almacenamiento (por ejemplo, secops-azure-logs).
  3. Ve a la pestaña Control de acceso (IAM).
  4. Haz clic en + Agregar > Agregar asignación de rol.
  5. En la pestaña Rol, busca y selecciona Lector de datos de BLOB de almacenamiento.
  6. Haz clic en Siguiente.
  7. En la pestaña Miembros, haz clic en + Seleccionar miembros.
  8. En el cuadro de búsqueda, pega el correo electrónico de la cuenta de servicio de Google SecOps.
  9. Selecciona la cuenta de servicio en los resultados.
  10. Haz clic en Seleccionar.
  11. Haz clic en Revisar y asignar.
  12. Revisa la asignación y vuelve a hacer clic en Revisar y asignar.

Configura feeds en Google SecOps

Debes crear un feed independiente para cada tipo de registro y contenedor. En la siguiente tabla, se muestra la asignación entre los contenedores de Azure y los tipos de registros de SecOps de Google:

Nombre del contenedor Tipo de registro de Chronicle Fuente de datos
insights-activity-logs Actividad de Azure Registros de actividad de Azure
insights-logs-signinlogs Azure AD Inicios de sesión interactivos de Entra ID
insights-logs-noninteractiveusersigninlogs Azure AD Inicios de sesión no interactivos de Entra ID
insights-logs-serviceprincipalsigninlogs Azure AD Inicios de sesión de la entidad de servicio de Entra ID
insights-logs-managedidentitysigninlogs Azure AD Inicios de sesión con identidades administradas de Entra ID
insights-logs-auditlogs Auditoría de Azure AD Registros de auditoría de Entra ID
insights-logs-provisioninglogs Azure AD Registros de aprovisionamiento de Entra ID
insights-logs-riskyusers Azure AD Usuarios riesgosos de Entra ID
insights-logs-userriskevents Azure AD Eventos de riesgo del usuario de Entra ID
insights-logs-microsoftgraphactivitylogs Registros de actividad de Microsoft Graph Actividad de Microsoft Graph

Crea un feed para los registros de actividad de Azure

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa Azure Activity Logs.
  5. Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
  6. Selecciona Actividad de Azure como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure: Ingresa la URL del extremo del servicio Blob con la ruta de acceso del contenedor:

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • Reemplaza secops-azure-logs por el nombre de tu cuenta de almacenamiento de Azure.

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias.
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Clave compartida: Ingresa el valor de la clave compartida (clave de acceso) que capturaste antes de la cuenta de almacenamiento.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Crea feeds para los registros de Entra ID

Repite los siguientes pasos para cada tipo de registro de ID de Entra que configuraste en la configuración de diagnóstico:

Para los registros de acceso interactivo:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa Azure AD Interactive Sign-in Logs.
  5. Selecciona Microsoft Azure Blob Storage V2 como el Tipo de fuente.
  6. Selecciona Azure AD como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • Opción de borrado de la fuente: Selecciona la opción según tu preferencia.
    • Antigüedad máxima del archivo: 180 días (valor predeterminado).
    • Clave compartida: Ingresa el valor de la clave compartida.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará.

  9. Haz clic en Siguiente y, luego, en Enviar.

Para los registros de acceso no interactivos, haz lo siguiente:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Non-interactive Sign-in Logs
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

Para los registros de acceso de la entidad de servicio:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Service Principal Sign-in Logs
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

Para los registros de acceso de identidades administradas:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Managed Identity Sign-in Logs
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

Para los registros de auditoría:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Audit Logs
  • Tipo de registro: Azure AD Audit
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

Para los registros de aprovisionamiento:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Provisioning Logs
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

Para los usuarios en riesgo:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD Risky Users
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

Para los eventos de riesgo del usuario:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Azure AD User Risk Events
  • Tipo de registro: Azure AD
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Para los registros de actividad de Microsoft Graph:

Crea otro feed con la siguiente configuración:

  • Nombre del feed: Microsoft Graph Activity Logs
  • Tipo de registro: Microsoft Graph Activity Logs
  • URI de Azure: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.