En este tema, se muestra cómo habilitar y ver los registros de auditoría de Microsoft AD administrado. Si deseas obtener información sobre los registros de auditoría de Cloud, consulta Usa Cloud Audit Logging para Microsoft AD administrado.
Habilita el registro de auditoría de Microsoft AD administrado
Puedes habilitar el registro de auditoría de Microsoft AD administrado durante la creación del dominio o actualizar un dominio existente.
Cuando se cree un dominio
Para habilitar el registro de auditoría de Microsoft AD administrado durante la creación del dominio, ejecuta el siguiente comando de la herramienta gcloud
.
gcloud beta active-directory domains create DOMAIN_NAME --enable-audit-logs
Actualizar el dominio existente
Para actualizar un dominio a fin de habilitar el registro de auditoría de Microsoft AD administrado, ejecuta el siguiente comando de la herramienta gcloud
.
gcloud beta active-directory domains update DOMAIN_NAME --enable-audit-logs
Para limitar lo que se registra, puedes usar exclusiones de registros.
Ten en cuenta que se cobra por los registros almacenados en tu proyecto. Obtén más información sobre los precios de Cloud Logging.
Inhabilita el registro de auditoría de Microsoft AD administrado
Para inhabilitar el registro de auditoría administrado de Microsoft AD, ejecuta el siguiente comando de la herramienta gcloud
.
gcloud beta active-directory domains update DOMAIN_NAME --no-enable-audit-logs
Verifica el estado del registro
Para verificar que el registro esté habilitado o inhabilitado, completa los siguientes pasos, ejecuta el siguiente comando de la herramienta gcloud
.
gcloud beta active-directory domains describe DOMAIN_NAME
En la respuesta, verifica el valor del campo auditLogsEnabled
.
Cómo ver registros
Los registros de auditoría administrados de Microsoft AD solo están disponibles para los dominios habilitados para recopilar registros.
Para ver los registros de auditoría de Microsoft AD administrado, debes tener el permiso roles/logging.viewer
de administración de identidades y accesos (IAM). Obtén más información sobre cómo otorgar permisos.
Para ver los registros de auditoría de Microsoft AD administrado de tu dominio, completa los siguientes pasos.
Explorador de registros
- Ve a la página Explorador de registros en Cloud Console.
Ir a la página Explorador de registros En el Compilador de consultas, ingresa los siguientes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de evento, agregue la siguiente línea a su filtro avanzado.
jsonPayload.ID=EVENT_ID
Seleccione Ejecutar filtro.
Obtén más información sobre el Explorador de registros.
Visor de registros
- Ve a la página Visor de registros en Cloud Console.
Ir a la página Visor de registros - En el cuadro de texto del filtro, haz clic en y, luego, selecciona Convertir en filtro avanzado.
En el cuadro de texto del filtro avanzado, ingresa los siguientes valores.
resource.type="microsoft_ad_domain" resource.labels.fqdn="DOMAIN_NAME"
Para filtrar por ID de evento, agregue la siguiente línea a su filtro avanzado.
jsonPayload.ID=EVENT_ID
Selecciona Enviar filtro.
Obtén más información sobre el visor de registros.
gcloud
Ejecuta el siguiente comando de la herramienta de gcloud
.
gcloud logging read FILTER
Donde FILTER es una expresión para identificar un conjunto de entradas de registro.
Para leer entradas de registro en carpetas, cuentas de facturación u organizaciones, agrega las marcas --folder
, --billing-account
o --organization
.
Para leer todos los registros de tu dominio, puedes ejecutar el siguiente comando.
gcloud logging read "resource.type=microsoft_ad_domain AND resource.labels.fqdn=DOMAIN_NAME"
Obtén más información sobre cómo leer entradas de registro con la herramienta de gcloud
y el comando gcloud logging read
.
Interpreta los registros
Cada log_entry
contiene los siguientes campos.
- El
log_name
es el registro del evento donde se registra este evento. - El
provider_name
es el proveedor de eventos que publicó este evento. - El
version
es el número de versión del evento. - El
event_id
es el identificador de este evento. - El
machine_name
es la computadora en la que se registró este evento. - El
xml
es la representación XML del evento. Cumple con el esquema de evento. - El objeto
message
es una representación del evento en lenguaje natural.
ID de los eventos exportados
En la siguiente tabla, se muestran los ID de evento que se exportan.
Categoría de auditoría | ID de eventos |
---|---|
Seguridad de inicio de sesión de la cuenta | 4767, 474, 4775, 4776, 4777 |
Seguridad de la administración de cuentas | 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 479, 4730, 473, 4472, 473, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 5756 , 4757, 4758, 4764, 4765, 7676, 4780, 4781, 4782, 4793, 7998, 4799, 5376, 5377 |
Seguridad de acceso de DS | 5136, 5137, 5138, 5139, 5141 |
Seguridad de logotipos | 4624, 4625, 4634, 4647, 4648, 4672, 766 y 4964 |
Seguridad de los cambios en la política | 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719, |
Seguridad de uso de Privilege | 4985 |
Seguridad del sistema | 4612, 4621 |
Si detectas algún ID de evento y no los ves en la tabla de ID de eventos exportados, usa la herramienta de seguimiento de problemas{101. } para informar un error. Usa el componente Seguimientos públicos > Cloud Platform > Identidad y seguridad > Servicio administrado para Microsoft AD.
Cómo exportar registros
Puedes exportar los registros de auditoría de Microsoft AD administrado a Pub/Sub, BigQuery o Cloud Storage. Obtén más información sobre cómo exportar registros a otros servicios de Google Cloud.
También puedes exportar registrosrequisitos de cumplimiento :estadísticas de seguridad y acceso , y a SIEM externa, comoSplunk ,Elasticsearch yDatadog para crear el adjunto de VLAN de supervisión.
Obtén asistencia
Para obtener asistencia durante la vista previa, puedes enviar preguntas a google-cloud-managed-microsoft-ad-discuss@googlegroups.com o informar un error en el Seguimiento de problemas.