En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrados para un dominio. Si deseas obtener información sobre los registros de auditoría de Cloud para Microsoft AD administrado, consulta Registro de auditoría de Microsoft AD administrado.
Habilita los registros de auditoría de Microsoft AD administrados
Puedes habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio o cuando actualizas un dominio existente.
Durante la creación del dominio
Para habilitar los registros de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains create DOMAIN_NAME --enable-audit-logs
Actualiza el dominio existente
Para actualizar un dominio a fin de habilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.
Consola
- Ve a la página Microsoft AD administrado
en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas habilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Activar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar lo que se registra, puedes usar las exclusiones de registros.
Ten en cuenta que los registros almacenados en tu proyecto son cobrables. Obtén más información sobre los precios de Cloud Logging.
Inhabilitar los registros de auditoría de Microsoft AD administrados
Para inhabilitar los registros de auditoría de Microsoft AD administrado, completa los siguientes pasos.
Consola
- Ve a la página Microsoft AD administrado
en la consola de Google Cloud.
Ir a la página Microsoft AD administrado - En la página de Microsoft AD administrado, en la lista de instancias, selecciona el dominio en el que deseas inhabilitar los registros de auditoría.
- En la página de detalles del dominio, selecciona Ver registros de auditoría y, luego, Configurar registros en el menú desplegable.
- En el panel Configurar registros de auditoría, en Activar o desactivar registros, selecciona Desactivar.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica el estado del registro
Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos y ejecuta el siguiente comandogcloud CLId.
gcloud active-directory domains describe DOMAIN_NAME
En la respuesta, verifica el valor del campo auditLogsEnabled.
Visualiza los registros
Los registros de auditoría de Microsoft AD administrados solo están disponibles en los dominios que están habilitados para recopilar registros.
Para ver los registros de auditoría de Microsoft AD administrado, debes tener el permiso roles/logging.viewer de Identity and Access Management (IAM). Obtén información para otorgar permisos.
Para ver los registros de auditoría de Microsoft AD administrado para tu dominio, completa los siguientes pasos.
Explorador de registros
- Ve a la página Explorador de registros en la consola de Google Cloud.
Ir a la página Explorador de registros En el Compilador de consultas, ingresa los siguientes valores:
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Ejecutar filtro.
Obtén más información sobre el Explorador de registros.
Explorador de registros
- Ve a la página Explorador de registros en la consola de Google Cloud.
Ir a la página Explorador de registros - En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
En el cuadro de texto del filtro avanzado, ingresa los valores siguientes.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de eventos, agrega la siguiente línea a tu filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Enviar filtro.
Obtén más información sobre el Explorador de registros.
gcloud
Ejecuta el siguiente comando de gcloud CLI.
gcloud logging read FILTER
En el ejemplo anterior, FILTER es una expresión para identificar un conjunto de entradas de registro.
Para leer entradas de registro en carpetas, organizaciones o cuentas de facturación, agrega las marcas --folder, --billing-account o --organization.
Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Obtén más información para
leer entradas de registro con gcloud CLI
y el comando gcloud logging read.
Interpretar registros
Cada log_entry contiene los siguientes campos.
log_namees el registro de acontecimientos en el que se registra este evento.provider_namees el proveedor del evento que publicó este evento.versiones el número de versión del evento.event_ides el identificador de este evento.machine_namees la computadora en la que se registró este evento.xmles la representación XML del evento. Cumple con el esquema del evento.messagees una representación legible del evento.
ID de eventos exportados
En la siguiente tabla, se muestran los ID de eventos que se exportan.
| Categoría de auditoría | ID de los eventos |
|---|---|
| Seguridad de inicio de sesión de cuenta | 4767, 4768, 4769, 4770, 4771, 4772, 4773, 4774, 4775, 4776 o 4777 |
| Seguridad de la administración de cuentas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756, 4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376, 5377 |
| Seguridad de acceso de DS | 4662, 5136, 5137, 5138, 5139 y 5141 |
| Seguridad de cierre de sesión | 4624, 4625, 4634, 4647, 4648, 4649, 4672, 4675, 4778, 4779 o 4964 |
| Seguridad de acceso a objetos | 4661 y 5145 |
| Seguridad de los cambios en las políticas | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912 |
| Seguridad de uso de privilegios | 4985 |
| Seguridad del sistema | 4612, 4621 |
| Autenticación de NTLM | 8004 |
Si descubres que faltan los ID de eventos y no los ves en la tabla de ID de eventos exportados, puedes usar la Herramienta de seguimiento de errores para informar un error. Usa el componente Herramientas de seguimiento públicas > Cloud Platform > Identidad y seguridad> Servicio administrado de Microsoft AD.
Exporta registros
Puedes exportar los registros de auditoría de Managed Microsoft AD a Pub/Sub, BigQuery o Cloud Storage. Obtén información sobre cómo exportar registros a otros servicios de Google Cloud.
También puedes exportar registros para los requisitos de cumplimiento, las estadísticas de acceso y seguridad, y a SIEM externas como Splunk y Datadog.