Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID registros proporcionan información completa sobre los usuarios, las aplicaciones y las redes que acceden a su inquilino de Microsoft Entra. En este artículo se explican los tipos de registros que puede recopilar mediante el conector de datos de Microsoft Entra ID, cómo habilitar el conector para enviar datos a Microsoft Sentinel y cómo encontrar los datos en Microsoft Sentinel.
Requisitos previos
Se requiere una licencia de Id. de carga de trabajo de Microsoft Entra Premium para transmitir los registros AADRiskyServicePrincipals y AADServicePrincipalRiskEvents a Microsoft Sentinel.
Se requiere una licencia Microsoft Entra ID P1 o P2 para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Microsoft Entra ID (Free/O365/P1 o P2) es suficiente para ingerir los otros tipos de registro. Se pueden aplicar otros cargos por gigabyte para Azure Monitor (Log Analytics) y Microsoft Sentinel.
Al usuario se le debe asignar el rol colaborador de Microsoft Sentinel en el área de trabajo.
El usuario debe tener el rol Administrador de seguridad en el inquilino desde el que desea transmitir los registros o los permisos equivalentes.
El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Microsoft Entra para poder ver el estado de la conexión.
Microsoft Entra ID tipos de datos del conector de datos
En esta tabla se enumeran los registros que puede enviar desde Microsoft Entra ID a Microsoft Sentinel mediante el conector de datos Microsoft Entra ID. Microsoft Sentinel almacena estos registros en el área de trabajo de Log Analytics vinculada al área de trabajo de Microsoft Sentinel.
| Tipo de registro | Descripción | Esquema de registro |
|---|---|---|
| Registros de auditoría | Actividad del sistema relacionada con la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio. | AuditLogs |
| Registros de inicio de sesión | Inicios de sesión de usuario interactivos en los que un usuario proporciona un factor de autenticación. | SigninLogs |
| Registros de inicio de sesión de usuario no interactivos | Inicios de sesión realizados por un cliente en nombre de un usuario sin ningún factor de interacción o autenticación del usuario. | AADNonInteractiveUserSignInLogs |
| Registros de inicio de sesión de entidad de servicio | Inicios de sesión por parte de aplicaciones y entidades de servicio que no implican a ningún usuario. En estos inicios de sesión, la aplicación o el servicio proporciona una credencial en su propio nombre para autenticar o acceder a los recursos. | AADServicePrincipalSignInLogs |
| Registros de inicio de sesión de Identidad administrada | Inicios de sesión por Azure recursos que tienen secretos administrados por Azure. Para obtener más información, consulte ¿Qué son las identidades administradas para los recursos de Azure? | AADManagedIdentitySignInLogs |
| Registros de inicio de sesión de AD FS | Inicios de sesión realizados a través de Servicios de federación de Active Directory (AD FS) (AD FS). | ADFSSignInLogs |
| Registros de auditoría de Office 365 enriquecidos | Eventos de seguridad relacionados con aplicaciones de Microsoft 365. | EnrichedOffice365AuditLogs |
| Registros de aprovisionamiento | Información de actividad del sistema sobre los usuarios, grupos y roles aprovisionados por el servicio de aprovisionamiento de Microsoft Entra. | AADProvisioningLogs |
| Registros de actividad de Microsoft Graph | Solicitudes HTTP que acceden a los recursos del inquilino a través de Microsoft Graph API. | MicrosoftGraphActivityLogs |
| Registros de tráfico de acceso a la red | Tráfico y actividades de acceso a la red. | NetworkAccessTraffic |
| Registros de estado de red remota | Información sobre el estado de las redes remotas. | RemoteNetworkHealthLogs |
| Eventos de riesgo de usuario | Eventos de riesgo de usuario generados por Microsoft Entra ID Protection. | AADUserRiskEvents |
| Usuarios de riesgo | Usuarios de riesgo registrados por Microsoft Entra ID Protection. | AADRiskyUsers |
| Entidades de servicio de riesgo | Información sobre las entidades de servicio marcadas como de riesgo por Microsoft Entra ID Protection. | AADRiskyServicePrincipals |
| Eventos de riesgo de la entidad de servicio | Detecciones de riesgo asociadas a las entidades de servicio registradas por Microsoft Entra ID Protection. | AADServicePrincipalRiskEvents |
Importante
Algunos de los tipos de registro disponibles están actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver otros términos legales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.
Habilitación del conector de datos de Microsoft Entra ID
Busque y habilite el conector de Microsoft Entra ID como se describe en Habilitar un conector de datos.
Instalación de la solución Microsoft Entra ID (opcional)
Instale la solución para Microsoft Entra ID desde el Centro de contenido en Microsoft Sentinel para obtener libros precompilados, reglas de análisis, cuadernos de estrategias y mucho más. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.
Pasos siguientes
En este documento, ha aprendido a conectar Microsoft Entra ID a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.