En este artículo se explica cómo habilitar y ver los registros de auditoría de Microsoft AD gestionado de un dominio. Para obtener información sobre los registros de auditoría de Cloud de Managed Microsoft AD, consulta Registros de auditoría de Managed Microsoft AD.
Habilitar los registros de auditoría de Microsoft AD gestionado
Puedes habilitar los registros de auditoría de Microsoft AD gestionado durante la creación del dominio o actualizando un dominio que ya tengas.
En la creación del dominio
Para habilitar los registros de auditoría de Managed Microsoft AD durante la creación del dominio, ejecuta el siguiente comando de la CLI de gcloud.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Actualizar un dominio
Para actualizar un dominio y habilitar los registros de auditoría de Microsoft AD gestionado, sigue estos pasos.
Consola
- Ve a la página Microsoft AD gestionado de la Google Cloud consola.
Ir a la página de Microsoft AD gestionado - En la página Microsoft AD gestionado, en la lista de instancias, seleccione el dominio en el que quiera habilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, a continuación, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, activa los registros.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar lo que se registra, puedes usar exclusiones de registros.
Ten en cuenta que los registros almacenados en tu proyecto son de pago. Consulta más información sobre los precios de Cloud Logging.
Inhabilitar los registros de auditoría de Microsoft AD gestionado
Para inhabilitar los registros de auditoría de Managed Microsoft AD, sigue estos pasos.
Consola
- Ve a la página Microsoft AD gestionado de la Google Cloud consola.
Ir a la página de Microsoft AD gestionado - En la página Managed Microsoft AD, en la lista de instancias, seleccione el dominio en el que quiera inhabilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, a continuación, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, activa o desactiva los registros.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verificar el estado de registro
Para comprobar si el registro está habilitado o inhabilitado, sigue estos pasos y ejecuta el siguiente comando de la CLI de gcloud.
gcloud active-directory domains describe DOMAIN_NAME
En la respuesta, comprueba el valor del campo auditLogsEnabled.
Ver registros
Los registros de auditoría de Microsoft AD gestionado solo están disponibles para los dominios que tienen habilitada la recogida de registros.
Para ver los registros de auditoría de Managed Microsoft AD, debe tener el permiso de roles/logging.viewerGestión de Identidades y Accesos (IAM). Consulta cómo conceder permisos.
Para ver los registros de auditoría de Managed Microsoft AD de tu dominio, sigue estos pasos.
Explorador de registros
- Ve a la página Explorador de registros de la consola de Google Cloud .
Ir a la página Explorador de registros En el Creador de consultas, introduce los siguientes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, añada la siguiente línea al filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Ejecutar filtro.
Consulta información sobre el Explorador de registros.
Explorador de registros
- Ve a la página Explorador de registros de la consola de Google Cloud .
Ir a la página Explorador de registros - En el cuadro de texto del filtro, haga clic en y, a continuación, seleccione Convertir a filtro avanzado.
En el cuadro de texto del filtro avanzado, introduce los siguientes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por IDs de evento, añada la siguiente línea al filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Enviar filtro.
Consulta información sobre el Explorador de registros.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud.
gcloud logging read FILTER
Donde FILTER es una expresión para identificar un conjunto de entradas de registro.
Para leer las entradas de registro de carpetas, cuentas de facturación u organizaciones, añade las marcas --folder, --billing-account o --organization.
Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Consulta información sobre cómo leer entradas de registro con gcloud CLI y el comando gcloud logging read.
Interpretar registros
Cada log_entry contiene los siguientes campos.
- El
log_namees el registro de eventos en el que se registra este evento. - El
provider_namees el proveedor de eventos que ha publicado este evento. - El
versiones el número de versión del evento. - El
event_ides el identificador de este evento. - El
machine_namees el ordenador en el que se registró este evento. - El
xmles la representación XML del evento. Se ajusta al esquema de eventos. - El
messagees una representación del evento que pueden leer los usuarios.
IDs de evento exportados
En la siguiente tabla se muestran los IDs de evento que se exportan.
| Categoría de auditoría | IDs de evento |
|---|---|
| Seguridad de inicio de sesión de la cuenta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Seguridad de la gestión de cuentas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Seguridad de acceso de DS | 4662, 5136, 5137, 5138, 5139, 5141 |
| Seguridad de inicio y cierre de sesión | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
| Seguridad de acceso a objetos | 4661, 5145 |
| Seguridad de los cambios en las políticas | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Seguridad del uso de privilegios | 4985 |
| Seguridad del sistema | 4612, 4621 |
| Autenticación NTLM | 8004 |
Si faltan IDs de evento y no aparecen en la tabla de IDs de evento exportados, puede usar el gestor de incidencias para registrar un error. Usa el componente Public Trackers > Cloud Platform > Identity & Security > Managed Service for Microsoft AD.
Exportar registros
Puede exportar los registros de auditoría de Managed Microsoft AD a Pub/Sub, BigQuery o Cloud Storage. Consulta cómo exportar registros a otros servicios Google Cloud .
También puede exportar registros para cumplir los requisitos, analizar la seguridad y el acceso y para
SIEMs como Splunk y Datadog.