Configura el registro de auditoría de un dominio

En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrado de un dominio. Si quieres obtener información sobre los registros de auditoría de Cloud para Microsoft AD administrado, consulta Registro de auditoría de Microsoft AD administrado.

Habilita los registros de auditoría de Microsoft AD administrado

Puedes habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio o mediante la actualización de un dominio existente.

Durante la creación del dominio

Para habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de gcloud CLI.

gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs

Actualiza el dominio existente

Para actualizar un dominio y habilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.

Console

  1. Ve a la página Microsoft AD administrado en la consola de Google Cloud.
    Ir a la página Microsoft AD administrado
  2. En la página Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas habilitar los registros de auditoría.
  3. En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
  4. En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Activar.

gcloud

Ejecuta el siguiente comando de gcloud CLI.

gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs

Para limitar lo que se registra, puedes usar las exclusiones de registros.

Ten en cuenta que los registros almacenados en tu proyecto son cobrables. Obtén más información sobre los precios de Cloud Logging.

Inhabilita los registros de auditoría de Microsoft AD administrado

Para inhabilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.

Console

  1. Ve a la página Microsoft AD administrado en la consola de Google Cloud.
    Ir a la página Microsoft AD administrado
  2. En la página de Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas inhabilitar los registros de auditoría.
  3. En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
  4. En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Desactivar.

gcloud

Ejecuta el siguiente comando de gcloud CLI.

gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Verifica el estado del registro

Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos, ejecuta el siguiente comando de gcloud CLI.

gcloud active-directory domains describe DOMAIN_NAME

En la respuesta, verifica el valor del campo auditLogsEnabled.

Visualiza registros

Los registros de auditoría de Microsoft AD administrado solo están disponibles para los dominios que están habilitados para recopilar registros.

Para ver los registros de auditoría de Microsoft AD administrado, debes tener el permiso roles/logging.viewer de Identity and Access Management (IAM). Obtén información para otorgar permisos.

Para ver los registros de auditoría de Microsoft AD administrado de tu dominio, completa los siguientes pasos.

Explorador de registros

  1. Ve a la página del Explorador de registros en la consola de Google Cloud.
    Ir a la página Explorador de registros
  2. En el Compilador de consultas, ingresa los siguientes valores:

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.

    jsonPayload.ID=EVENT_ID
    
  3. Selecciona Ejecutar filtro.

Obtén más información sobre el Explorador de registros.

Explorador de registros

  1. Ve a la página del Explorador de registros en la consola de Google Cloud.
    Ir a la página Explorador de registros
  2. En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
  3. En el cuadro de texto del filtro avanzado, ingresa los valores siguientes.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.

    jsonPayload.ID=EVENT_ID
    
  4. Selecciona Enviar filtro.

Obtén más información sobre el Explorador de registros.

gcloud

Ejecuta el siguiente comando de gcloud CLI.

gcloud logging read FILTER

En el ejemplo anterior, FILTER es una expresión para identificar un conjunto de entradas de registro. Para leer entradas de registro en carpetas, organizaciones o cuentas de facturación, agrega las marcas --folder, --billing-account o --organization.

Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Obtén información para leer entradas de registro con la CLI de gcloud y el comando gcloud logging read.

Interpreta los registros

Cada log_entry contiene los siguientes campos.

  • log_name es el registro de acontecimientos en el que se registra este evento.
  • provider_name es el proveedor del evento que publicó este evento.
  • version es el número de versión del evento.
  • event_id es el identificador de este evento.
  • machine_name es la computadora en la que se registró este evento.
  • xml es la representación XML del evento. Cumple con el esquema del evento.
  • message es una representación legible del evento.

ID de eventos exportados

En la siguiente tabla, se muestran los ID de eventos que se exportan.

Tabla 1. ID de eventos exportados
Categoría de auditoría ID de los eventos
Seguridad de inicio de sesión de cuenta 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777
Seguridad de la administración de cuentas 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377
Seguridad de acceso de DS 4662, 5136, 5137, 5138, 5139, 5141
Seguridad de cierre de sesión 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964
Seguridad de acceso a objetos 4661, 5145
Seguridad de los cambios en las políticas 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
Seguridad de uso de privilegios 4985
Seguridad del sistema 4612, 4621
Autenticación NTLM 8004

Si descubres que faltan los ID de eventos y no los ves en la tabla de ID de eventos exportados, puedes usar la Herramienta de seguimiento de errores para informar un error. Usa el componente Herramientas de seguimiento públicas > Cloud Platform > Identidad y seguridad> Servicio administrado de Microsoft AD.

Exporta registros

Puedes exportar los registros de auditoría de Managed Microsoft AD a Pub/Sub, BigQuery o Cloud Storage. Obtén información sobre cómo exportar registros a otros servicios de Google Cloud.

También puedes exportar registros para requisitos de cumplimiento, estadísticas de seguridad y acceso, y a SIEM externos

SIEM como Splunk y Datadog.