Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Usa registros de auditoría de Microsoft AD administrado

En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrado. Si deseas obtener información sobre los registros de auditoría de Cloud, consulta Usa Cloud Audit Logging para Microsoft AD administrado.

Habilita el registro de auditoría de Microsoft AD administrado

Puedes habilitar el registro de auditoría de Microsoft AD administrado durante la creación del dominio o actualizar un dominio existente.

Cuando se cree un dominio

Para habilitar el registro de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de la herramienta gcloud.

gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs

Actualizar el dominio existente

Para actualizar un dominio a fin de habilitar el registro de auditoría de Microsoft AD administrado, ejecuta el siguiente comando de la herramienta gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs

Para limitar lo que se registra, puedes usar exclusiones de registros.

Ten en cuenta que se cobra por los registros almacenados en tu proyecto. Obtén más información sobre los precios de Cloud Logging.

Inhabilita el registro de auditoría de Microsoft AD administrado

Para inhabilitar el registro de auditoría administrado de Microsoft AD, ejecuta el siguiente comando de la herramienta gcloud.

gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs

Verifica el estado del registro

Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos, ejecuta el siguiente comando de la herramienta gcloud.

gcloud beta active-directory domains describe DOMAIN_NAME

En la respuesta, verifica el valor del campo auditLogsEnabled.

Cómo ver registros

Los registros de auditoría administrados de Microsoft AD solo están disponibles para los dominios habilitados para recopilar registros.

Para ver los registros de auditoría de Microsoft AD administrado, debes tener el permiso roles/logging.viewer de administración de identidades y accesos (IAM). Obtén más información sobre cómo otorgar permisos.

Para ver los registros de auditoría de Microsoft AD administrado de tu dominio, completa los siguientes pasos.

Explorador de registros

  1. Ve a la página Explorador de registros en Cloud Console.
    Ir a la página Explorador de registros
  2. En el Compilador de consultas, ingresa los siguientes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por ID de evento, agregue la siguiente línea a su filtro avanzado.

    jsonPayload.ID=EVENT_ID
    
  3. Seleccione Ejecutar filtro.

Obtén más información sobre el Explorador de registros.

Visor de registros

  1. Ve a la página Visor de registros en Cloud Console.
    Ir a la página Visor de registros
  2. En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
  3. En el cuadro de texto del filtro avanzado, ingresa los siguientes valores.

    resource.type="microsoft_ad_domain"
    resource.labels.fqdn="DOMAIN_NAME"
    

    Para filtrar por ID de evento, agregue la siguiente línea a su filtro avanzado.

    jsonPayload.ID=EVENT_ID
    
  4. Selecciona Enviar filtro.

Obtén más información sobre el visor de registros.

gcloud

Ejecuta el siguiente comando de la herramienta de gcloud.

gcloud logging read FILTER

Donde FILTER es una expresión para identificar un conjunto de entradas de registro. Para leer entradas de registro en carpetas, cuentas de facturación u organizaciones, agrega las marcas --folder, --billing-account o --organization.

Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.

gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"

Obtén más información sobre cómo leer entradas de registro con la herramienta de gcloud y el comando gcloud logging read.

Interpreta los registros

Cada log_entry contiene los siguientes campos.

  • El log_name es el registro del evento donde se registra este evento.
  • El provider_name es el proveedor de eventos que publicó este evento.
  • El version es el número de versión del evento.
  • El event_id es el identificador de este evento.
  • El machine_name es la computadora en la que se registró este evento.
  • El xml es la representación XML del evento. Cumple con el esquema de evento.
  • El objeto message es una representación del evento en lenguaje natural.

ID de los eventos exportados

En la siguiente tabla, se muestran los ID de evento que se exportan.

Tabla 1. ID de eventos exportados
Categoría de auditoría ID de eventos
Seguridad de inicio de sesión de la cuenta 4767, 474, 4775, 4776, 4777
Seguridad de la administración de cuentas 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 479, 4730, 473, 4472, 473, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 5756 , 4757, 4758, 4764, 4765, 7676, 4780, 4781, 4782, 4793, 7998, 4799, 5376, 5377
Seguridad de acceso de DS 5136, 5137, 5138, 5139, 5141
Seguridad de logotipos 4624, 4625, 4634, 4647, 4648, 4672, 766 y 4964
Seguridad de los cambios en la política 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719,
Seguridad de uso de Privilege 4985
Seguridad del sistema 4612, 4621

Si detectas algún ID de evento y no los ves en la tabla de ID de eventos exportados, usa la herramienta de seguimiento de problemas{101. } para informar un error. Usa el componente Seguimientos públicos > Cloud Platform > Identidad y seguridad > Servicio administrado para Microsoft AD.

Cómo exportar registros

Puedes exportar los registros de auditoría de Microsoft AD administrado a Pub/Sub, BigQuery o Cloud Storage. Obtén más información sobre cómo exportar registros a otros servicios de Google Cloud.

También puedes exportar registrosrequisitos de cumplimiento :estadísticas de seguridad y acceso , y a SIEM externa, comoSplunk ,Elasticsearch yDatadog para crear el adjunto de VLAN de supervisión.

Obtén asistencia

Para obtener asistencia durante la vista previa, puedes enviar preguntas a google-cloud-managed-microsoft-ad-discuss@googlegroups.com o informar un error en el Seguimiento de problemas.