Cómo enviar registros de Entra ID a Log Analytics

rokitoh Azure

Microsoft Entra ID es un servicio integral de administración de identidades y accesos basado en la nube. Una de las funcionalidades críticas de Entra ID es la capacidad de monitorear y analizar eventos a través de registros. Enviar estos registros a Log Analytics te permite obtener una visión más profunda de la actividad y seguridad en tu entorno Entra ID. A continuación, te explicaré detalladamente cómo enviar registros de Entra ID a Log Analytics.

Paso 1: Prerrequisitos

Antes de comenzar, asegúrate de cumplir con los siguientes requisitos:

  1. Suscripción de Azure: Necesitas una suscripción activa de Azure.
  2. Azure AD Premium P1 o P2: Estas características avanzadas requieren una versión premium de Azure AD.
  3. Workspace de Log Analytics: Debes tener un workspace de Log Analytics configurado en tu suscripción de Azure.

Paso 2: Configurar Entra ID para Enviar Registros a Log Analytics

Ahora configuraremos Entra ID para que envíe registros a Log Analytics:

  • Navegar a Entra ID:

    • En el portal de Azure, ve a Entra ID.

  • Acceder a la Configuración de Diagnóstico:

    • En el menú de la izquierda, selecciona Auditoría o Inicio de sesión bajo la sección Actividades.
    • Haz clic en Diagnostic settings en la parte superior.

  • Crear Configuración de Diagnóstico:

    • Haz clic en Add diagnostic setting.
    • Dale un nombre a tu configuración.
  • Seleccionar Categorías de Registro:
    • Marca las categorías de registro que deseas enviar a Log Analytics. Por ejemplo, SigninLogs y AuditLogs.
  • Configurar el Destino:
    • Marca la casilla Send to Log Analytics workspace.
    • Selecciona tu workspace de Log Analytics existente.
  • Guardar Configuración:
    • Haz clic en Save.

Paso 3: Verificar la Configuración

Para asegurarte de que los registros se están enviando correctamente:

  1. Navega a tu Workspace de Log Analytics.
  2. Selecciona Logs en el menú de la izquierda.
  3. Usa consultas de Kusto Query Language (KQL) para verificar los registros. Por ejemplo, puedes ejecutar una consulta simple para ver eventos de inicio de sesión:
SigninLogs
| take 10
  1. Ajusta las consultas según tus necesidades para obtener los datos que desees analizar.

Paso 4: Monitorear y Crear Alertas (Opcional)

Puedes crear alertas en Log Analytics para recibir notificaciones sobre eventos específicos:

  1. En tu workspace de Log Analytics, selecciona Alerts en el menú de la izquierda.
  2. Haz clic en New alert rule.
  3. Configura las condiciones de la alerta usando consultas KQL y define las acciones que deseas tomar (por ejemplo, enviar un correo electrónico).

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *