Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los registros de Microsoft Entra ID proporcionan información completa sobre los usuarios, las aplicaciones y las redes que acceden a su entidad de Microsoft Entra. En este artículo se explican los tipos de registros que puede recopilar mediante el conector de datos de Id. de Entra de Microsoft, cómo habilitar el conector para enviar datos a Microsoft Sentinel y cómo encontrar los datos en Microsoft Sentinel.
Requisitos previos
Se requiere una licencia Premium de ID de carga de trabajo de Microsoft Entra para transmitir registros de AADRiskyServicePrincipals y AADServicePrincipalRiskEvents a Microsoft Sentinel.
Se requiere una licencia P1 o P2 de Microsoft Entra ID para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Microsoft Entra ID (Gratis/O365/P1 o P2) es suficiente para ingerir los otros tipos de registro. Otros cargos por gigabyte pueden aplicarse a Azure Monitor (Log Analytics) y Microsoft Sentinel.
Su usuario debe tener asignado el rol Colaborador de Microsoft Sentinel en el área de trabajo.
El usuario debe tener el rol de Administrador de seguridad en el inquilino desde el que desea transmitir los registros o los permisos equivalentes.
El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Microsoft Entra para poder ver el estado de conexión.
Tipos de datos del conector de datos de Microsoft Entra ID
En esta tabla se enumeran los registros que puede enviar desde Microsoft Entra ID a Microsoft Sentinel mediante el conector de datos de Microsoft Entra ID. Microsoft Sentinel almacena estos registros en el área de trabajo de Log Analytics vinculada al área de trabajo de Microsoft Sentinel.
| Tipo de registro | Descripción | Esquema de logs |
|---|---|---|
| Registros de auditoría | Actividad del sistema relacionada con la administración de usuarios y grupos, las aplicaciones administradas y las actividades de directorio. | AuditLogs |
| Registros de inicio de sesión | Inicios de sesión de usuario interactivos en los que un usuario proporciona un factor de autenticación. | SigninLogs |
| Registros de inicio de sesión de usuarios no interactivos | Inicios de sesión realizados por un cliente en nombre de un usuario sin interacción ni factor de autenticación del usuario. | AADNonInteractiveUserSignInLogs |
| Registros de inicio de sesión de la entidad de servicio | Inicios de sesión por aplicaciones y entidades de servicio que no implican a ningún usuario. En estos inicios de sesión, la aplicación o el servicio proporcionan una credencial en su propio nombre para autenticarse o acceder a los recursos. | AADServicePrincipalSignInLogs |
| Registros de inicio de sesión de identidad administrada | Inicios de sesión de recursos de Azure que tienen secretos administrados por Azure. Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?. | AADManagedIdentitySignInLogs |
| Registros de inicio de sesión de AD FS | Inicios de sesión realizados a través de servicios de federación de Active Directory (AD FS). | ADFSSignInLogs |
| Registros de auditoría de Office 365 enriquecidos | Eventos de seguridad relacionados con aplicaciones de Microsoft 365. | EnrichedOffice365AuditLogs |
| Registros de aprovisionamiento | Información de actividad del sistema sobre usuarios, grupos y roles aprovisionados por el servicio de aprovisionamiento de Microsoft Entra. | AADProvisioningLogs |
| Registros de actividad de Microsoft Graph | Solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Registros de tráfico de acceso a la red | Tráfico y actividades de acceso a la red. | NetworkAccessTraffic |
| Registros de estado de red remotos | Información sobre el estado de las redes remotas. | RemoteNetworkHealthLogs |
| Eventos de riesgo de usuario | Eventos de riesgo de usuario generados por Microsoft Entra ID Protection. | AADUserRiskEvents |
| Usuarios de riesgo | Usuarios de riesgo registrados por Microsoft Entra ID Protection. | AADRiskyUsers |
| Entidades de servicio de riesgo | Información sobre las entidades de servicio marcadas como arriesgadas por la protección contra Microsoft Entra ID | AADRiskyServicePrincipals |
| Eventos de riesgo de entidad de servicio | Detecciones de riesgo asociadas a entidades de servicio registradas por Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Algunos de los tipos de registro disponibles están actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Habilitación del conector de datos de Microsoft Entra ID
Busque y habilite el conector Microsoft Entra ID según se describe en Habilitación de un conector de datos.
Instalación de la solución Microsoft Entra ID (opcional)
Instale la solución para Microsoft Entra ID desde el Content Hub de Microsoft Sentinel para obtener libros de trabajo predefinidos, reglas de análisis, libros de jugadas y más. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Pasos siguientes
En este documento, ha aprendido a conectar Microsoft Entra ID a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: