Analizar los registros de seguridad de Azure AD: Auditoría y Monitoreo de la Actividad de Azure AD. ¿Deseas mejorar tu conocimiento sobre el uso de la seguridad de Azure AD y registros de auditoría para monitorear y analizar las actividades de Azure AD?
Este artículo explica cómo utilizar cada registro para monitorear y revisar las actividades de los usuarios en Azure AD.
El artículo comienza explorando 4 registros y explicando la información que proporcionan. Luego, se discuten los requisitos de licencia y rol para utilizar estos registros.
Finalmente, hay instrucciones paso a paso sobre cómo utilizar los registros para monitorear y analizar las actividades de los usuarios.
Registros de Seguridad y Auditoría de Azure AD para Monitorear y Analizar Actividades
Azure Active Directory proporciona cuatro registros con diversos datos que las organizaciones necesitan monitorear y analizar las actividades de los usuarios en el sistema. Estos incluyen registros de inicio de sesión, registros de auditoría, registros de aprovisionamiento y reportes de “uso e información”.
Comprensión de los registros de inicio de sesión y los registros de inicio de sesión de Azure AD (versión preliminar)
Los registros de inicio de sesión de Azure AD proporcionan a las organizaciones información valiosa sobre cómo los usuarios acceden y utilizan aplicaciones y servicios. Este tipo de registro es uno de los tres registros de actividad.
Los administradores de TI determinan los patrones de inicio de sesión de los usuarios con la información registrada en el registro de inicio de sesión. Además, este registro revela el número de usuarios que iniciaron sesión en un período determinado. También muestra el estado de los inicios de sesión.
A partir de junio de 2023, Microsoft lanzó una versión preliminar llamada “registros de inicio de sesión (versión preliminar)”. Mientras que el registro de inicio de sesión clásico registra las actividades interactivas de los usuarios, la versión preliminar realiza un seguimiento de esto y de 3 tipos adicionales de inicios de sesión (usuarios no interactivos, principales de servicio e identidades administradas) para los inicios de sesión de recursos de Azure.
Bueno, el inicio de sesión interactivo ocurre cuando los usuarios acceden a Azure AD con un nombre de usuario y contraseña o MFA. Por otro lado, los inicios de sesión no interactivos son de aplicaciones que inician sesión en nombre de un usuario.
Además, los principales de servicio inician sesión en su nombre mientras que las identidades administradas registran los inicios de sesión de aplicaciones con secretos almacenados de forma segura en Azure Key Vault.
Más allá del componente “usuario”, los registros de inicio de sesión registran 3 componentes esenciales cuando los usuarios o aplicaciones acceden a un recurso de Azure. El primer elemento crítico es “quién”.
Este registro muestra la Identidad (usuario) que inició sesión. El registro también registra “cómo”, indicando el cliente o la aplicación utilizada para el inicio de sesión.
Finalmente, también obtienes “qué,” – que registra el recurso de destino al que accedió la Identidad.
Por lo tanto, siempre que monitorees y audites la seguridad de Azure AD actividad utilizando registros de inicio de sesión, presta atención a “quién,” “cómo” y “qué” registrados como “usuario,” “recurso” y “aplicación” o “aplicación cliente.”
Comprendiendo los registros de auditoría de Azure Active Directory
El registro de auditoría es otro registro de actividad de Azure AD que ayuda a monitorear y analizar acciones de usuario. El registro de auditoría registra actividades dentro del directorio.
Específicamente, los registros de auditoría de Azure AD registran cambios realizados en usuarios, grupos, o aplicaciones en el directorio. Estos registros de actividad a menudo son necesarios con fines de cumplimiento.
Cuando las organizaciones monitorean los registros de auditoría de Azure AD, podrían revelar brechas de seguridad o problemas de cumplimiento que requieren solución.
El sujeto del registro de auditoría (usuario, grupo o aplicación) se registra como “Tipo de actividad”. Además del tipo de actividad, también registra la “Categoría”, “Estado” y la persona que inició la actividad, registrada como “Iniciado por (actor)”.
Cuando se abre un registro de auditoría, tiene tres pestañas: “Actividad”, “Objetivo(s)” y “Propiedades modificadas”.
La pestaña de Actividad muestra el “Tipo de actividad”, que registra si el cambio se realizó en un grupo, usuario o aplicación. Además, la pestaña registra la categoría del registro y su estado.
También registra la información de “Iniciado por (actor)”, que incluye el usuario que realizó los cambios, la dirección IP y el UPN del usuario.
La pestaña “Objetivo(s)” registra detalles del objeto modificado. Si está disponible, registra el nombre del objeto, nombre para mostrar, id y UPN.
Finalmente, la pestaña “Propiedades modificadas” muestra las propiedades del objeto modificado, incluidos los valores antiguos y nuevos.
Comprensión de los Registros de Aprovisionamiento de Azure Active Directory
Azure Active Directory se integra con aplicaciones de terceros que provisionan usuarios en el directorio. Registra sus actividades en registros de provisión para que los administradores de TI puedan solucionar problemas o rastrear los cambios que realizan estas aplicaciones.
Con respecto a los registros, los registros de provisión rastrean información como usuarios creados o modificados correctamente por un servicio de terceros como ServiceNow. Además, rastrea cambios de grupo y qué servicio realizó el cambio.
Estos registros ayudan con la información de seguridad, auditoría y cumplimiento.
Comprensión de los informes “Uso e información” de Azure AD
Los informes de “uso e información” son un repositorio central donde Azure AD registra las actividades de inicio de sesión de otras aplicaciones de Microsoft 365. Es un lugar único donde se pueden ver las actividades de inicio de sesión.
La página registra los inicios de sesión exitosos y fallidos, la cantidad de cada uno y la tasa de éxito. No solo eso, sino que también muestra un enlace para ver la actividad de inicio de sesión de cada aplicación.
Como se muestra en la captura de pantalla anterior, la página de “uso e información” proporciona información sobre las aplicaciones más utilizadas en una organización, las aplicaciones con la tasa de éxito de inicio de sesión más baja y los principales errores de inicio de sesión.
Al hacer clic en el enlace “ver actividad de inicio de sesión” para una aplicación se muestran los errores de inicio de sesión. Además, la página de detalles muestra los códigos de error, las ocurrencias y la última fecha en que ocurrió el error.
Antes de continuar desde “uso e información”, quiero resaltar otros informes críticos aquí. Anteriormente, mencioné que los registros de inicio de sesión siguen los inicios de sesión de los principales de servicio.
Esta información está disponible en “uso e información” como “Actividad de inicio de sesión del principal de servicio (Vista previa)”. Al hacer clic en esto se muestran los principales de servicio que Azure Active Directory ha autenticado.
Este informe incluye el nombre del principal de servicio, la última vez que inició sesión y un enlace para “ver más detalles”.
Antes de llegar a eso, me gustaría mencionar otros registros valiosos en la página de “uso e información”, comenzando por “Actividades de métodos de autenticación”.
El registro “Actividades de métodos de autenticación” registra los métodos de autenticación que utilizan los usuarios de una organización para registrarse en Azure AD.
La página tiene 2 pestañas: Registro y Uso. La pestaña de Registro registra a los usuarios que se han registrado para los métodos de autenticación disponibles.
Por otro lado, la pestaña de Uso detalla cómo se han utilizado los métodos de autenticación.
El último registro que necesita en su conjunto de herramientas es el informe “Actividad de credenciales de aplicación (Vista previa)”. Este informe proporciona la última fecha en que se utilizó una credencial de aplicación.
Además, este informe registra el ID de la aplicación, el tipo de certificado y un enlace para ver los detalles del registro.
También lea Uso de informes de usuario de Office 365
Monitorear y analizar la actividad de Azure AD con los registros de seguridad y auditoría de Azure AD
En esta sección, inicie sesión en el portal de Azure a través de portal.azure.com. Luego, busque y abra “Azure Active Directory”.
Usar los registros de inicio de sesión para monitorear y analizar las actividades de usuario
Para acceder a los registros de inicio de sesión, ábralo desde el menú Monitor del portal de Azure Active Directory.
Después de abrir los registros de inicio de sesión de Azure AD, personalice las columnas según sus necesidades.
Luego, marque las columnas que necesita en el panel desplegable “Columnas” y desmarque las que no necesite. Recomendamos marcar las columnas en mi captura de pantalla a continuación.
Agregue filtros al registro después de configurar las columnas según su preferencia para mostrar la información que desea analizar.
Para agregar un filtro, haga clic en “Agregar filtros”, seleccione un filtro y haga clic en Aplicar. Repita esto para tantos filtros como necesite.
A continuación, haga clic en un filtro y agregue una condición. En la captura de pantalla a continuación, he filtrado mis registros de inicio de sesión para mostrar solo los registros con usuarios que contienen “victor”.
Este filtrado ha reducido el número de registros a lo que quiero ver. Dependiendo de lo que estemos solucionando, agregamos filtros adicionales.
Abrir una entrada de registro proporciona informes detallados al respecto. La pestaña “Información básica” revela información crítica sobre el inicio de sesión, como la fecha, “Requisito de autenticación”, información sobre el usuario, la aplicación accedida y la herramienta de diagnóstico de inicio de sesión.
La herramienta de diagnóstico de inicio de sesión se utiliza para realizar solución de problemas adicionales con respecto al inicio de sesión y obtener acciones recomendadas para solucionar problemas.
La entrada de registro tiene otras pestañas.
Bueno, la pestaña “Ubicación” registra la ubicación y la dirección IP desde la que el usuario intentó autenticarse.
La pestaña “Información del dispositivo” también registra el sistema operativo, el navegador y si el dispositivo es conforme.
Finalmente, utilice la información en las pestañas “Acceso condicional” y “Solo informe” para ver el acceso condicional y otras políticas que pueden haberse aplicado o no al inicio de sesión.
Uso de los registros de auditoría de Azure AD para analizar las actividades de los usuarios
Para abrir el registro de auditoría, haz clic en él en el menú de Azure Active Directory.
A continuación, sigue los pasos descritos en la última subsección para personalizar las columnas según tus necesidades.
Similar a los registros de inicio de sesión, los registros de auditoría tienen capacidades de filtrado. Afortunadamente, Microsoft agrega las condiciones de filtrado – Servicio, Actividad y Categoría – que más necesita.
Sin embargo, el registro de auditoría proporciona la opción de agregar filtros personalizados. Para agregar un filtro, haga clic en “Agregar filtros”, seleccione un filtro y haga clic en Aplicar.
Una vez que haya agregado un filtro, se mostrará y podrá utilizarlo para determinar los resultados mostrados por el registro de auditoría. En la captura de pantalla a continuación, he filtrado el registro por Fecha y Iniciado por (actor).
El siguiente paso es profundizar haciendo clic en una entrada. Una vez que se abre la entrada del registro, revise la información en las pestañas de Actividad, Objetivo(s) y “Propiedades modificadas”.
Siga los pasos en las dos últimas subsecciones y la información de las secciones anteriores para configurar, analizar y monitorear los registros de aprovisionamiento y los informes de “Uso e información”.
Analizar los registros de seguridad de Azure AD: Conclusión sobre la auditoría y el monitoreo de la actividad de Azure AD
La supervisión y el análisis de registros de auditoría es tan crucial como la configuración de Protección de identidad, Acceso condicional, Administración de identidades con privilegios y otras características de seguridad en Azure. Al analizar los registros en Azure Active Directory, los administradores de IT detectan y mitigan de manera proactiva posibles incidentes de seguridad.
Afortunadamente, Azure AD ofrece todos los registros necesarios para alcanzar este objetivo. Más específicamente, ofrece a las organizaciones registros de inicio de sesión, inicio de sesión (versión preliminar) y registros de auditoría.
Además, esta robusta herramienta de administración de identidades en la nube también ofrece registros de aprovisionamiento y “informes de uso e información”. Estos registros brindan diversos registros de datos para ayudar a determinar la salud de seguridad de una infraestructura de Azure AD.
Para ayudar a las organizaciones a utilizar los registros de manera efectiva, este artículo explica los datos que proporcionan los registros de Azure AD y cómo utilizarlos para supervisar y analizar la postura de seguridad de Azure AD.
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/