Configuración de Azure Monitor en inquilinos externos

Se aplica a: Círculo verde con un símbolo de marca de verificación blanca que indica que el siguiente contenido se aplica a los inquilinos externos. Inquilinos externos (más información)

Azure Monitor proporciona una solución completa para recopilar, analizar y responder a los datos de supervisión de los entornos locales y en la nube. La configuración de diagnóstico en el recurso supervisado especifica qué datos se van a enviar y dónde enviarlos. Para Microsoft Entra, puede enviar datos a Azure Storage, Log Analytics o Azure Event Hubs.

Al transferir registros de inquilinos externos a otras soluciones de supervisión o ubicaciones de almacenamiento, tenga en cuenta que estos registros pueden contener datos personales. Al procesar datos personales, use las medidas de seguridad adecuadas para protegerlos. Estas medidas deben evitar el procesamiento no autorizado o ilegal mediante medidas de seguridad técnicas y organizativas adecuadas.

En este artículo se describe cómo configurar Azure Monitor en un inquilino externo para poder recopilar y analizar datos en el inquilino. También se explica cómo configurar las configuraciones de diagnóstico para enviar registros y métricas a un área de trabajo de Log Analytics en el inquilino del entorno laboral.

Descripción general de la implementación

Los clientes externos usan la monitorización de Microsoft Entra. A diferencia de los inquilinos del personal, un inquilino externo no puede tener una suscripción asociada. Para habilitar la supervisión en un inquilino externo, inicie sesión en el inquilino del personal para autenticar la suscripción durante la configuración.
También puede usar Azure Lighthouse para habilitar la configuración de diagnóstico de un inquilino de personal (el cliente) dentro del inquilino externo (el proveedor de servicios).

En esta configuración, usas un asistente. Puede iniciar el asistente desde cualquiera de estos puntos de entrada: la página Configuración de diagnóstico o la página Almacén de seguridad. En este artículo se tratan ambos enfoques.

Requisitos previos

Importante

Esta característica solo admite el nuevo rol propietario de Azure Role-Based Access Control (RBAC), no los roles de administrador clásicos. Para obtener instrucciones sobre cómo convertir roles de administrador clásicos en RBAC de Azure, consulte Administradores de suscripciones clásicas de Azure. Después de completar la conversión, actualice la página para aplicar los cambios.

Iniciar el asistente para configurar Azure Lighthouse

Para configurar Azure Lighthouse en un inquilino externo, inicie el asistente desde la página Configuración de diagnóstico o desde la página Almacén de seguridad. Elija una de las siguientes pestañas con los puntos de entrada para empezar.

  1. Inicia sesión en el Centro de administración Microsoft Entra.
  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior y cambia a tu inquilino externo desde el menú Directorios y suscripciones.
  3. Vaya a Entra ID en su tenant externo y seleccione Supervisión y estado de salud>Configuración de diagnóstico.
  4. Seleccione Iniciar configuración para iniciar el asistente.

Captura de pantalla que muestra cómo iniciar el asistente.

Configura Azure Lighthouse en el asistente

Los pasos siguientes le guían a través del asistente para configurar la configuración de Azure Lighthouse en el inquilino externo.

Paso 1: Iniciar sesión en el entorno del personal

Para configurar Azure Lighthouse, inicie sesión con una cuenta que tenga acceso a la suscripción que posee el inquilino de configuración externo.

Captura de pantalla que muestra cómo iniciar sesión en el inquilino del personal.

Paso 2: Rellenar los detalles del proyecto

En este paso, proporcione los detalles del proyecto. Al crear un grupo de recursos y un área de trabajo de Log Analytics al mismo tiempo, solo puede seleccionar una ubicación. Esta ubicación se limita a las regiones disponibles para el grupo de recursos y el área de trabajo de Log Analytics. Para acceder a la lista completa de ubicaciones, cree el grupo de recursos y el área de trabajo de Log Analytics por separado de antemano.

  1. Seleccione una suscripción en la lista desplegable.
  2. Use un grupo de recursos existente o cree uno nuevo.
  3. Proporcione un nombre para el nuevo área de trabajo de Log Analytics. Este nombre debe ser único por grupo de recursos.
  4. Seleccione una región disponible.
  5. Seleccione Siguiente.

Captura de pantalla que muestra cómo seleccionar una suscripción.

Paso 3: Seleccionar el acceso de usuario

Elija los usuarios o grupos del inquilino externo que puedan acceder al área de trabajo de Log Analytics. Los usuarios seleccionados necesitan al menos el rol Administrador de seguridad para configurar la configuración de diagnóstico.

Confirme la selección con el botón Seleccionar . Después de seleccionar los usuarios o grupos, asigne un rol a ellos. Puede elegir entre los siguientes roles:

  • Colaborador: puede leer los datos y la configuración de supervisión.
  • Colaborador de Log Analytics: puede leer y escribir datos y configuración de supervisión.
  • Colaborador de supervisión: puede leer todos los datos de supervisión y editar la configuración de supervisión.
  • Colaborador de directivas de supervisión: puede administrar características relacionadas con la seguridad, incluida la visualización y administración de alertas e informes de seguridad.

Después de seleccionar los usuarios o grupos y asignar un rol, seleccione Siguiente para continuar.

Captura de pantalla que muestra cómo agregar usuarios, grupos y roles.

Opcional: Adición de etiquetas al área de trabajo de Log Analytics

Puede agregar etiquetas al área de trabajo de Log Analytics. Las etiquetas son pares de nombre y valor que le ayudan a clasificar los recursos y ver la facturación consolidada aplicando la misma etiqueta a varios recursos y grupos de recursos. Para más información, consulte Uso de etiquetas para organizar los recursos de Azure.

Paso 4: Revisión y creación del área de trabajo de Log Analytics

Revise la configuración. Si necesita realizar cambios, use el botón Atrás para volver a los pasos anteriores. Si todo parece correcto, seleccione Crear para configurar el área de trabajo de Log Analytics y asignar los usuarios o grupos seleccionados el rol especificado. La configuración del área de trabajo de Log Analytics y la asignación de roles pueden tardar unos minutos, por lo que no cierre la ventana del explorador.

Captura de pantalla que muestra cómo revisar y crear el área de trabajo de Log Analytics.

Una vez completada la instalación, verá un mensaje de confirmación. Seleccione Listo y configure las opciones de diagnóstico para empezar a enviar registros y métricas al área de trabajo de Log Analytics.

Captura de pantalla que muestra el mensaje de finalización de la instalación.

Configuración de diagnóstico

La configuración de diagnóstico le permite recopilar registros de recursos y enviar métricas de plataforma y el registro de actividad a diferentes destinos. Puede crear hasta cinco configuraciones de diagnóstico diferentes para enviar varios registros y métricas a diferentes destinos. Siga estos pasos para configurar las opciones de diagnóstico en el inquilino externo.

  1. Seleccione Agregar configuración en Agregar configuración de diagnóstico.
  2. Si selecciona Revisar antes de agregar la configuración, puede ver la suscripción y el grupo de recursos en el lado derecho. Estos campos son de solo lectura. Para realizar cambios, quite la información del proveedor de servicios existente e inicie de nuevo el asistente. Si está satisfecho con la selección, seleccione Listo para continuar con el paso siguiente. Este paso es opcional.

Nota:

Si selecciona Revisar antes de agregar la configuración, la suscripción y el grupo de recursos aparecen en el lado derecho. Estos campos son de solo lectura. Para realizar cambios, quite la información del proveedor de servicios existente y reinicie el asistente.
Mantenga abierta la ventana mientras se ejecuta la comprobación de la suscripción en segundo plano. Si cierra o actualiza la ventana antes de que finalice la comprobación, es posible que tenga que reiniciar el asistente desde Inicio de la instalación.

Captura de pantalla que muestra la página Agregar configuración de diagnóstico.

  1. Seleccione Agregar configuración de diagnóstico para agregar una nueva configuración o Editar para editar una existente. Es posible que necesite varias configuraciones de diagnóstico para un recurso si desea enviar datos a varios destinos del mismo tipo.
  2. Asigne un nombre descriptivo a la configuración.
  3. Registros y métricas que se van a enrutar: en el caso de los registros, elija un grupo de categorías o active las casillas individuales de cada categoría de datos que quiera enviar a los destinos especificados más adelante. La lista de categorías es diferente en cada servicio de Azure. Seleccione AllMetrics si desea recopilar métricas de plataforma.
  4. Detalles de destino: active la casilla para cada destino que se debe incluir en la configuración de diagnóstico y proporcione los detalles de cada uno. Si selecciona área de trabajo de Log Analytics como destino, es posible que tenga que especificar el modo de recopilación. Consulte Modo de recopilación para obtener más información.

Visualiza tus datos con consultas de registros

Una vez configuradas las opciones de diagnóstico y los flujos de datos en el área de trabajo de Log Analytics, use consultas de registro para analizar y visualizar los datos. Las consultas de registro se escriben en el lenguaje de consulta kusto (KQL) y pueden ayudarle a obtener información de los registros y las métricas recopilados. Puede realizar estas configuraciones tanto en su plantilla como en el locatario externo.

Creación de una consulta

Las consultas de registro le ayudan a obtener el máximo valor de los datos recopilados en los registros de Azure Monitor. Un lenguaje de consulta eficaz le permite unir datos de varias tablas, agregar grandes conjuntos de datos y realizar operaciones complejas con un código mínimo. Puede responder prácticamente a cualquier pregunta y realizar análisis siempre que recopile los datos auxiliares y comprenda cómo construir la consulta correcta. Para más información, consulta Introducción a las consultas de registro en Azure Monitor.

  1. Inicia sesión en Azure Portal.
  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. En la ventana Área de trabajo de Log Analytics, selecciona Registros
  4. En el editor de consultas, pegue la siguiente consulta del lenguaje de consulta Kusto. Esta consulta muestra el uso de la directiva por operación durante los últimos X días. El período predeterminado está establecido en 90 días (90d). Tenga en cuenta que la consulta solo se centra en la operación en la que una directiva emite un token o código.
AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last
  1. Seleccione Run (Ejecutar). Los resultados de la consulta se muestran en la parte inferior de la pantalla.
  2. Para guardar la consulta para su uso posterior, selecciona Guardar.

Captura de pantalla del editor de registro de Log Analytics.

  1. Rellena la siguiente información:
  • Nombre: escriba el nombre de la consulta.
  • Guardar como: seleccione query.
  • Categoría: seleccione Log.
  1. Selecciona Guardar.

También puedes cambiar la consulta para visualizar los datos mediante el operador render.

  AuditLogs
  | where TimeGenerated  > ago(90d)
  | where OperationName contains "issue"
  | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
  | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
  | summarize SignInCount = count() by Policy
  | order by SignInCount desc  nulls last
  | render  piechart

Captura de pantalla del gráfico circular del editor de registro de Log Analytics.

Cambio del período de retención de datos

Los registros de Azure Monitor se escalan para admitir la recopilación, la indexación y el almacenamiento de grandes cantidades de datos cada día desde cualquier origen de su empresa o desplegados en Azure. De forma predeterminada, los registros se conservan durante 30 días, pero puede aumentar la duración de retención hasta dos años. Para más información, consulte Administración del uso y los costos con los registros de Azure Monitor. Después de seleccionar el plan de tarifa, puede cambiar el período de retención de datos.

Deshabilitar supervisión y recopilación de datos

Para dejar de recopilar registros en el área de trabajo de Log Analytics, elimine la configuración de diagnóstico que ha creado. Sigue incurriendo en cargos por conservar los datos de registro que ya ha recopilado en el espacio de trabajo. Si ya no necesita los datos de supervisión recopilados, puede eliminar el área de trabajo de Log Analytics y el grupo de recursos que creó para Azure Monitor. Al eliminar el área de trabajo de Log Analytics, se eliminan todos los datos del área de trabajo y se evita que se incurre en otros cargos de retención de datos.

Uso de Microsoft Sentinel con identificador externo

Una vez que los registros de identificador externo de un inquilino externo se envían a un área de trabajo de Log Analytics en un inquilino empresarial, puede incorporarlos a Microsoft Sentinel para supervisión, reglas de incidentes, alertas y libros. Debe configurar Sentinel desde el inquilino del personal, ya que no se admite la configuración directa desde el inquilino externo. Para usar Sentinel:

  1. Enviar registros a un área de trabajo de Log Analytics en un inquilino de la plantilla mediante la configuración de diagnóstico de Azure Monitor. No se admite la configuración directa desde el inquilino externo.

  2. En Azure Portal, agregue Microsoft Sentinel al área de trabajo de Log Analytics. Para obtener más información, consulte Incorporación a Microsoft Sentinel.

  3. En el Portal de Defender, abra el Centro de contenido de Microsoft Sentinel e instale el paquete de contenido entra ID.

Características compatibles

  • Análisis y alertas: Configurar reglas de incidentes mediante plantillas precompiladas; Las alertas desencadenadas aparecen correctamente.

  • Libros de trabajo: Visualice y analice los registros recopilados utilizando libros de trabajo predefinidos.

Para obtener más información, consulte la documentación de Microsoft Sentinel.

Estos pasos habilitan la supervisión centralizada, la gestión de incidentes y la visualización de los registros de ID externo cuando se utiliza una configuración admitida de inquilino de fuerza laboral.

Contenido relacionado

  • Last updated on