En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrado de un dominio. Si quieres obtener información sobre los registros de auditoría de Cloud para Microsoft AD administrado, consulta Registro de auditoría de Microsoft AD administrado.
Habilita los registros de auditoría de Microsoft AD administrado
Puedes habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio o mediante la actualización de un dominio existente.
Durante la creación del dominio
Para habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Actualiza el dominio existente
Para actualizar un dominio y habilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.
Console
- Ve a la página Microsoft AD administrado en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas habilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Activar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar lo que se registra, puedes usar las exclusiones de registros.
Ten en cuenta que los registros almacenados en tu proyecto son cobrables. Obtén más información sobre los precios de Cloud Logging.
Inhabilita los registros de auditoría de Microsoft AD administrado
Para inhabilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.
Console
- Ve a la página Microsoft AD administrado en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página de Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas inhabilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Desactivar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica el estado del registro
Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos, ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains describe DOMAIN_NAME
En la respuesta, verifica el valor del campo auditLogsEnabled
.
Visualiza registros
Los registros de auditoría de Microsoft AD administrado solo están disponibles para los dominios que están habilitados para recopilar registros.
Para ver los registros de auditoría de Microsoft AD administrado, debes tener el permiso roles/logging.viewer
de Identity and Access Management (IAM). Obtén información para otorgar permisos.
Para ver los registros de auditoría de Microsoft AD administrado de tu dominio, completa los siguientes pasos.
Explorador de registros
- Ve a la página del Explorador de registros en la consola de Google Cloud.
Ir a la página Explorador de registros En el Compilador de consultas, ingresa los siguientes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Ejecutar filtro.
Obtén más información sobre el Explorador de registros.
Explorador de registros
- Ve a la página del Explorador de registros en la consola de Google Cloud.
Ir a la página Explorador de registros - En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
En el cuadro de texto del filtro avanzado, ingresa los valores siguientes.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Enviar filtro.
Obtén más información sobre el Explorador de registros.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud logging read FILTER
En el ejemplo anterior, FILTER es una expresión para identificar un conjunto de entradas de registro.
Para leer entradas de registro en carpetas, organizaciones o cuentas de facturación, agrega las marcas --folder
, --billing-account
o --organization
.
Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Obtén información para
leer entradas de registro con la CLI de gcloud
y el comando gcloud logging read
.
Interpreta los registros
Cada log_entry
contiene los siguientes campos.
log_name
es el registro de acontecimientos en el que se registra este evento.provider_name
es el proveedor del evento que publicó este evento.version
es el número de versión del evento.event_id
es el identificador de este evento.machine_name
es la computadora en la que se registró este evento.xml
es la representación XML del evento. Cumple con el esquema del evento.message
es una representación legible del evento.
ID de eventos exportados
En la siguiente tabla, se muestran los ID de eventos que se exportan.
Categoría de auditoría | ID de los eventos |
---|---|
Seguridad de inicio de sesión de cuenta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776, 4777 |
Seguridad de la administración de cuentas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
Seguridad de acceso de DS | 4662, 5136, 5137, 5138, 5139, 5141 |
Seguridad de cierre de sesión | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779, 4964 |
Seguridad de acceso a objetos | 4661, 5145 |
Seguridad de los cambios en las políticas | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
Seguridad de uso de privilegios | 4985 |
Seguridad del sistema | 4612, 4621 |
Autenticación NTLM | 8004 |
Si descubres que faltan los ID de eventos y no los ves en la tabla de ID de eventos exportados, puedes usar la Herramienta de seguimiento de errores para informar un error. Usa el componente Herramientas de seguimiento públicas > Cloud Platform > Identidad y seguridad> Servicio administrado de Microsoft AD.
Exporta registros
Puedes exportar los registros de auditoría de Managed Microsoft AD a Pub/Sub, BigQuery o Cloud Storage. Obtén información sobre cómo exportar registros a otros servicios de Google Cloud.
También puedes exportar registros para requisitos de cumplimiento, estadísticas de seguridad y acceso, y a SIEM externos
SIEM como Splunk y Datadog.