Compartir a través de

Registro de auditoría para el lago de datos y el grafo de Microsoft Sentinel en el portal de Microsoft Purview

El registro de auditoría le ayuda a investigar actividades específicas en los servicios de Microsoft. Las actividades de Microsoft Graph y del lago de datos de Microsoft Sentinel son auditadas y se pueden buscar en el registro de auditoría. El registro de auditoría proporciona un registro de las actividades que realizan los usuarios y administradores en el lago de datos y el grafo de Microsoft Sentinel, como:

  • Acceso a datos en lago a través de consultas KQL
  • Ejecución de cuadernos en lago de datos
  • Creación, edición, ejecución y eliminación de trabajos
  • Ejecución de una consulta de grafo
  • Creación y ejecución de herramientas de MCP

La auditoría se activa automáticamente para el lago de datos y el grafo de Microsoft Sentinel. Las características que se auditan se registran automáticamente en el registro de auditoría.

Prerrequisitos

El lago de datos y el grafo de Microsoft Sentinel usan la solución de auditoría de Microsoft Purview. Para poder examinar los datos de auditoría, debe activar la auditoría en el portal de Microsoft Purview. Para obtener más información, consulte Activar o desactivar la auditoría.

Para acceder al registro de auditoría, debe tener el rol Registros de auditoría de solo vista o Registros de auditoría en Exchange Online. De manera predeterminada, esos roles se asignan a los grupos de roles Administración de cumplimiento y Administración de la organización.

Nota:

Los administradores globales de Office 365 y Microsoft 365 se agregan automáticamente como miembros del grupo de roles de Administración de la organización en Exchange Online.

Importante

El Administrador global es un rol con privilegios elevados que debe limitarse a escenarios en los que no se puede usar un rol existente. Microsoft recomienda usar roles con el menor número de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización.

Actividades de grafos y lago de datos de Microsoft Sentinel

Para obtener una lista de todos los eventos que se registran para las actividades de usuario y administrador en el lago de datos de Microsoft Sentinel, consulte los artículos siguientes:

Para obtener información detallada sobre el esquema del registro de auditoría, consulte Esquema de grafos y lago de datos de Microsoft Sentinel.

Buscar en el registro de auditoría

Siga estos pasos para buscar en el registro de auditoría:

  1. Vaya al portal de Microsoft Purview y seleccione Auditar.

  2. En la página Nueva búsqueda, filtre las actividades, las fechas y los usuarios que desea auditar.

  3. Seleccione Buscar

    Captura de pantalla de la página de registro de auditoría unificado.

  4. Exporte los resultados a Excel para su posterior análisis.

Para obtener instrucciones paso a paso, consulte Búsqueda del inicio de sesión de auditoría en el portal de Microsoft Purview.

La retención de registros de auditoría se basa en las directivas de retención de Microsoft Purview. Para más información, consulte Administrar directivas de retención de registros de auditoría.

Búsqueda de eventos mediante un script de PowerShell

Puede usar el siguiente fragmento de código de PowerShell para consultar la API de administración de Office 365 para recuperar información sobre los eventos de Microsoft Defender XDR:

$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection 
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>

Nota:

Consulte la columna de API en Actividades de auditoría incluidas para los valores de tipo de registro.

Para más información, consulte Uso de un script de PowerShell para buscar en el registro de auditoría

Consulte también

  • Last updated on