Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tutorial, aprenderá a:
- Creación de un área de trabajo de Log Analytics
- Configuración de las opciones de diagnóstico para integrar los registros de inicio de sesión con el área de trabajo de Log Analytics
- Ejecutar consultas mediante el lenguaje de consulta de Kusto (KQL)
Requisitos previos
Para analizar los registros de actividad con Log Analytics, necesita los siguientes roles y requisitos:
El rol adecuado para Azure Monitor:
- Lector de supervisión
- Lector de Log Analytics
- Colaborador de supervisión
- Colaborador de Log Analytics
El rol adecuado para Microsoft Entra ID:
- Lector de informes
- Lector de seguridad
- Lector global
- Administrador de seguridad
Creación de un área de trabajo de Log Analytics
En este paso, creará un área de trabajo de Log Analytics, donde finalmente enviará los registros de inicio de sesión. Para poder crear el área de trabajo, necesita un grupo de recursos de Azure.
Inicie sesión en Azure Portal como al menos un administrador de seguridad con permisos de colaborador de Log Analytics .
Vaya a Áreas de trabajo de Log Analytics.
Seleccione Crear.
En la página Crear área de trabajo de Log Analytics , realice los pasos siguientes:
Seleccione su suscripción.
Seleccione un grupo de recursos.
Asigne un nombre a su área de trabajo.
Seleccione su región.
Seleccione Revisar y crear.
Seleccione Crear y espere a la implementación. Es posible que tenga que actualizar la página para ver la nueva área de trabajo.
Configuración de diagnóstico
Para enviar la información del registro de identidad al área de trabajo nueva, debe configurar las opciones de diagnóstico. Hay diferentes opciones de configuración de diagnóstico para Azure y Microsoft Entra, por lo que para el siguiente conjunto de pasos vamos a cambiar al Centro de administración de Microsoft Entra para asegurarse de que todo está relacionado con la identidad.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Vaya a Entra ID>Supervisión y estado de salud>Configuración de diagnóstico.
Seleccione Agregar configuración de diagnóstico.
En la página Configuración de diagnóstico , realice los pasos siguientes:
Proporcione un nombre para la configuración de diagnóstico.
En Registros, seleccione AuditLogs y SigninLogs.
En Detalles de destino, seleccione Enviar a Log Analytics y, a continuación, seleccione el nuevo área de trabajo de Log Analytics.
Seleccione Guardar.
Los registros seleccionados pueden tardar hasta 15 minutos en rellenarse en el área de trabajo de Log Analytics.
Ejecución de consultas en Log Analytics
Con los registros transmitidos a su área de trabajo de Log Analytics, puede ejecutar consultas mediante el Lenguaje de Consulta Kusto (KQL). El rol con privilegios mínimos para ejecutar consultas es el rol Lector de informes.
Vaya a Entra ID>Supervisión y salud>Análisis de Registros.
En el cuadro de texto Buscar , escriba la consulta y seleccione Ejecutar.
Ejemplos de consultas de Kusto
Tome 10 entradas aleatorias de los datos de entrada:
SigninLogs | take 10
Consulte los inicios de sesión en los que el acceso condicional ha sido correcto:
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus
Cuente el número de éxitos.
SigninLogs | where ConditionalAccessStatus == "success" | project UserDisplayName, ConditionalAccessStatus | count
Recuento acumulado de inicios de sesión exitosos por día y por usuario.
SigninLogs | where ConditionalAccessStatus == "success" | summarize SuccessfulSign-ins = count() by UserDisplayName, bin(TimeGenerated, 1d)
Vea el número de veces que un usuario realiza una determinada operación en un período de tiempo específico:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | summarize count() by OperationName, Identity
Dinamice los resultados con el nombre de la operación:
AuditLogs | where TimeGenerated > ago(30d) | where OperationName contains "Add member to role" | project OperationName, Identity | evaluate pivot(OperationName)
Combine los registros de auditoría e inicio de sesión mediante una combinación interna:
AuditLogs |where OperationName contains "Add User" |extend UserPrincipalName = tostring(TargetResources[0].userPrincipalName) | |project TimeGenerated, UserPrincipalName |join kind = inner (SigninLogs) on UserPrincipalName |summarize arg_min(TimeGenerated, *) by UserPrincipalName |extend SigninDate = TimeGenerated
Vea el número de inicios de sesión por tipo de aplicación cliente:
SigninLogs | summarize count() by ClientAppUsed
Cuente los inicios de sesión por día:
SigninLogs | summarize NumberOfEntries=count() by bin(TimeGenerated, 1d)
Tome 5 entradas aleatorias e incluya las columnas que desea ver en los resultados:
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Seleccione las 5 principales en orden descendente y proyecte las columnas que desee ver.
SigninLogs | take 5 | project ClientAppUsed, Identity, ConditionalAccessStatus, Status, TimeGenerated
Cree una nueva columna combinando los valores de otras dos columnas:
SigninLogs | limit 10 | extend RiskUser = strcat(RiskDetail, "-", Identity) | project RiskUser, ClientAppUsed