En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrado de un dominio. Si quieres obtener más información sobre los Registros de auditoría de Cloud para Microsoft AD administrado, consulta Registro de auditoría de Microsoft AD administrado.
Habilita los registros de auditoría de Microsoft AD administrado
Puedes habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio o mediante actualizar un dominio existente.
Durante la creación del dominio
Para habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Actualiza el dominio existente
Para actualizar un dominio y habilitar los registros de auditoría de Microsoft AD administrado, completa la los siguientes pasos.
Console
- Ve a Microsoft AD administrado.
en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas habilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Activar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar lo que se registra, puedes usar las exclusiones de registros.
Ten en cuenta que los registros almacenados en tu proyecto son cobrables. Obtén más información sobre los precios de Cloud Logging.
Inhabilitar los registros de auditoría de Microsoft AD administrados
Para inhabilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.
Console
- Ve a Microsoft AD administrado.
en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página de Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas inhabilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Desactivar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica el estado del registro
Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos, ejecuta lo siguiente: el siguiente comando de gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
En la respuesta, verifica el valor del campo auditLogsEnabled.
Ver registros
Los registros de auditoría de Microsoft AD administrados solo están disponibles para los dominios habilitado para recopilar registros.
Para ver los registros de auditoría de Microsoft AD administrado, debes tener la
roles/logging.viewer Permiso de Identity and Access Management (IAM). Obtén información para otorgar permisos.
Para visualizar los registros de auditoría de Microsoft AD administrado para tu dominio, completa el los siguientes pasos.
Explorador de registros
- Ve a la sección
Explorador de registros
en la consola de Google Cloud.
Ir a la página Explorador de registros En el Compilador de consultas, ingresa los siguientes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Ejecutar filtro.
Obtén más información sobre el Explorador de registros.
Explorador de registros
- Ve a la sección
Explorador de registros
en la consola de Google Cloud.
Ir a la página Explorador de registros - En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
En el cuadro de texto del filtro avanzado, ingresa los valores siguientes.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Enviar filtro.
Obtén más información sobre el Explorador de registros.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud logging read FILTER
En el ejemplo anterior, FILTER es una expresión para identificar un conjunto de entradas de registro.
Para leer entradas de registro en carpetas, organizaciones o cuentas de facturación, agrega las marcas --folder, --billing-account o --organization.
Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Más información sobre
Leer entradas de registro con gcloud CLI
y el comando gcloud logging read.
Interpretar registros
Cada log_entry contiene los siguientes campos.
log_namees el registro de acontecimientos en el que se registra este evento.provider_namees el proveedor del evento que publicó este evento.versiones el número de versión del evento.event_ides el identificador de este evento.machine_namees la computadora en la que se registró este evento.xmles la representación XML del evento. Cumple con el esquema del evento.messagees una representación legible del evento.
ID de eventos exportados
En la siguiente tabla, se muestran los ID de eventos que se exportan.
| Categoría de auditoría | ID de los eventos |
|---|---|
| Seguridad de inicio de sesión de cuenta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
| Seguridad de la administración de cuentas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Seguridad de acceso de DS | 4662, 5136, 5137, 5138, 5139 y 5141 |
| Seguridad de cierre de sesión | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779 o 4964 |
| Seguridad de acceso a objetos | 4661, 5145 |
| Seguridad de los cambios en las políticas | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Seguridad de uso de privilegios | 4985 |
| Seguridad del sistema | 4612, 4621 |
| Autenticación NTLM | 8004 |
Si descubres que faltan los ID de eventos y no los ves en la tabla de ID de eventos exportados, puedes usar la Herramienta de seguimiento de errores para informar un error. Usa el componente Herramientas de seguimiento públicas > Cloud Platform > Identidad y seguridad> Servicio administrado de Microsoft AD.
Exporta registros
Puedes exportar los registros de auditoría de Managed Microsoft AD a Pub/Sub, BigQuery o Cloud Storage. Obtén información sobre cómo exportar registros a otros servicios de Google Cloud.
También puedes exportar registros de requisitos de cumplimiento, estadísticas de seguridad y acceso y a fuentes
SIEM como Splunk y Datadog.