Uso de Azure Monitor para recopilar y analizar registros de seguridad

Uso de Azure Monitor para recopilar y analizar registros de seguridad

01/02/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en el uso de Azure Monitor para la recopilación centralizada y el análisis eficaz de registros de seguridad en entornos de Azure. En un panorama de nube en constante evolución, la visibilidad de las actividades y eventos de seguridad es fundamental para detectar amenazas, investigar incidentes, garantizar el cumplimiento y mantener una postura de seguridad sólida. Azure Monitor, con su componente Log Analytics, proporciona una potente plataforma para agregar, almacenar, consultar y analizar datos de registro de múltiples fuentes [1].

Introducción

La proliferación de servicios y recursos en la nube de Azure genera un volumen masivo de datos de registro. Estos registros contienen información crucial sobre lo que sucede en su entorno, desde intentos de inicio de sesión exitosos y fallidos, cambios de configuración, hasta actividad de red y eventos de seguridad. Sin embargo, sin una estrategia eficaz de recopilación y análisis, estos registros pueden convertirse en un "pantano de datos", lo que dificulta identificar patrones maliciosos o responder rápidamente a incidentes [2].

Azure Monitor es un servicio de supervisión integral que recopila, analiza y actúa sobre datos de telemetría de sus entornos Azure y locales. Su componente Log Analytics es un servicio de almacenamiento de registros basado en la nube que le permite recopilar datos de registro y métricas de una variedad de fuentes, incluidos recursos de Azure, sistemas operativos invitados de máquinas virtuales, agentes de monitoreo y servicios de seguridad como Microsoft Defender para la nube y Azure AD. El Kusto Query Language (KQL) es la herramienta utilizada para interactuar con estos datos, permitiendo consultas complejas y análisis profundos [3].

Esta guía práctica cubrirá la configuración de un espacio de trabajo de Log Analytics, la conexión de diferentes fuentes de datos de seguridad, el uso de KQL para realizar análisis de seguridad, la creación de alertas basadas en patrones de registro y la visualización de datos a través de libros de trabajo. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y explicaciones concisas para que el lector pueda implementar, probar y validar estas características. Además, se analizarán consejos de seguridad, verificación de cumplimiento y mejores prácticas para garantizar una recopilación y análisis de registros de seguridad efectivos, autónomos, profesionales y confiables.

¿Por qué Azure Monitor y Log Analytics son cruciales para la seguridad?

  • Centralización de registros: agrega registros de múltiples fuentes locales y de Azure en una única ubicación, lo que simplifica el análisis y la correlación de eventos.
  • Análisis potente: utiliza Kusto Query Language (KQL), un lenguaje de consulta rico y flexible, para realizar análisis complejos e identificar patrones de ataque o anomalías.
  • Detección de amenazas: Permite la creación de alertas de seguridad basadas en consultas KQL, notificando a los equipos sobre actividades sospechosas en tiempo real.
  • Investigación de incidentes: Facilita la investigación de incidentes de seguridad al proporcionar acceso rápido a datos históricos y la capacidad de correlacionar eventos de diferentes fuentes.
  • Cumplimiento y auditoría: ayuda a cumplir con los requisitos de cumplimiento al proporcionar pistas de auditoría detalladas y la capacidad de generar informes de seguridad.
  • Visualización de datos: proporciona libros de trabajo y paneles para ver tendencias de seguridad, estado de cumplimiento y métricas operativas.

Requisitos previos

Para usar Azure Monitor para la recopilación y el análisis de registros de seguridad, necesitará los siguientes elementos:

  1. Suscripción activa de Azure: una suscripción de Azure para crear y administrar recursos.
  2. Acceso administrativo: una cuenta con el rol de "Propietario", "Colaborador" o "Colaborador de Log Analytics" en Azure Portal (https://portal.azure.com).
  3. Recursos de Azure existentes: Recursos de Azure (máquinas virtuales, redes, aplicaciones, etc.) que desea monitorear.

Paso a paso: recopilación y análisis de registros de seguridad con Azure Monitor

Configuremos un área de trabajo de Log Analytics y recopilemos registros de seguridad.

1. Creación de un espacio de trabajo de Log Analytics

Un área de trabajo de Log Analytics es un entorno único para almacenar datos de registro.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Iniciar sesiónn con una cuenta que tenga los permisos necesarios.
  3. En el campo de búsqueda superior, escriba "Espacios de trabajo de Log Analytics" y selecciónelo de los resultados.

  4. Haga clic en + Crear.

  5. Conceptos básicos:

    • Suscripción: Selecciona tu suscripción.
    • Grupo de recursos: cree un nuevo grupo de recursos (por ejemplo, rg-loganalytics) o seleccione uno existente.
    • Nombre del espacio de trabajo de Log Analytics: asígnele un nombre único (por ejemplo, la-security-workspace).
    • Región: Seleccione la región.
  6. Haga clic en Revisar + crear y luego en Crear.

2. Conexión de fuentes de datos de seguridad

Conectemos algunas fuentes de datos de seguridad comunes a nuestro espacio de trabajo.

2.1. Conexión de registros de actividad de Azure (registro de actividad de Azure)

El registro de actividad de Azure proporciona un registro de los eventos del plano de control en su suscripción de Azure, incluida la creación, actualización y eliminación de recursos.

  1. En Azure Portal, navegue hasta su espacio de trabajo de Log Analytics (la-security-workspace).
  2. En el panel de navegación izquierdo, en "Fuentes de datos", seleccione Registros de diagnóstico.
  3. Haga clic en +Agregar configuración de diagnóstico.
  4. Seleccione la suscripción que desea monitorear.
  5. Nombre de configuración de diagnóstico: asígnele un nombre (por ejemplo: diag-activitylog).
  6. Categorías de registro: marque Registro de actividad.
  7. Detalles del destino: seleccione Enviar al espacio de trabajo de Log Analytics y elija su espacio de trabajo (la-security-workspace).
  8. Haga clic en Guardar.

2.2. Conexión de registros de auditoría de Azure Active Directory (registros de auditoría de Azure AD)

Los registros de auditoría de Azure AD registran actividades relacionadas con usuarios y directorios, como inicios de sesión, cambios de grupo y restablecimientos de contraseñas.

  1. En Azure Portal, navegue hasta Azure Active Directory.
  2. En el panel de navegación izquierdo, en "Monitoreo", seleccione Registros de diagnóstico.
  3. Haga clic en +Agregar configuración de diagnóstico.
  4. Nombre de configuración de diagnóstico: asígnele un nombre (por ejemplo, diag-azuread).
  5. Categorías de registro: marque AuditLogs y SignInLogs.
  6. Detalles del destino: seleccione Enviar al espacio de trabajo de Log Analytics y elija su espacio de trabajo (la-security-workspace).
  7. Haga clic en Guardar.

2.3. Conexión de registros de recursos de Azure (máquinas virtuales)

Para recopilar registros de seguridad de máquinas virtuales, puede instalar el agente de Log Analytics.

  1. En Azure Portal, navegue hasta una de sus máquinas virtuales.
  2. En el panel de navegación izquierdo, en "Monitoreo", seleccione Configuración de diagnóstico.
  3. Haga clic en +Agregar configuración de diagnóstico.
  4. Nombre de configuración de diagnóstico: asígnele un nombre (por ejemplo: diag-vm-security).
  5. Registros: marque Seguridad (para registros de eventos de seguridad de Windows/Linux).
  6. Detalles del destino: seleccione Enviar al espacio de trabajo de Log Analytics y elija su espacio de trabajo (la-security-workspace).
  7. Haga clic en Guardar.

3. Análisis de registros de seguridad con Kusto Query Language (KQL)

KQL es el lenguaje utilizado para consultar datos en Log Analytics. Exploremos algunas consultas de seguridad comunes.

  1. En Azure Portal, navegue hasta su espacio de trabajo de Log Analytics (la-security-workspace).
  2. En el panel de navegación izquierdo, seleccione Registros.
  3. Se abrirá la ventana de consulta. Puede comenzar a escribir sus consultas KQL aquí.

Ejemplos de consultas KQL de seguridad:

  • Eventos de inicio de sesión fallidos en Azure AD (últimas 24 horas): kusto Registros de inicio de sesión | donde TiempoGenerado > hace(24h) | donde tipo de resultado! = 0 | resumir el recuento () por UserDisplayName, IPAddress, ResultDescription | ordenar por count_desc

    • Explicación: Esta consulta busca todos los eventos de inicio de sesión fallidos (ResultType!= 0) en las últimas 24 horas, los resume por usuario, dirección IP y descripción del resultado, y los ordena por cuenta regresiva.

  • Actividades administrativas críticas en el Registro de actividad de Azure (últimos 7 días): kusto Actividad de Azure | donde TiempoGenerado > hace(7d) | donde OperationNameValue contiene "WRITE" o OperationNameValue contiene "DELETE" | donde ActivityStatusValue == "Éxito" | proyecto Tiempo generado, Llamante, Nombre de operación, Grupo de recursos, Recurso, _ResourceId | ordenar por desc generado por tiempo

    • Explicación: Esta consulta identifica operaciones de "ESCRIBIR" (crear/actualizar)y archivos BORRAR en el registro de actividad de Azure durante los últimos 7 días, proyectando campos relevantes como la hora, la persona que llama y el recurso afectado.

  • Eventos de seguridad de VM (intentos fallidos de inicio de sesión en Windows): kusto Evento de seguridad | donde EventID == 4625 // ID de evento para intentos fallidos de inicio de sesión en Windows | donde TiempoGenerado > hace(24h) | resumir recuento() por cuenta, computadora, dirección IP | ordenar por count_desc

    • Explicación: Esta consulta busca eventos de seguridad de Windows con EventID 4625 (intento fallido de inicio de sesión) en las últimas 24 horas, resumiendo por cuenta, computadora y dirección IP.

  • Visualización de datos: después de ejecutar una consulta, puede cambiar el tipo de visualización (por ejemplo, "Gráfico circular", "Gráfico de barras") para representar los datos de una manera más comprensible.

4. Creación de alertas de seguridad

Se pueden configurar alertas para notificar a los equipos de seguridad cuando se detectan patrones específicos en los registros.

  1. Después de ejecutar una consulta KQL que identifica un evento de seguridad que desea monitorear, haga clic en +Nueva regla de alerta en la barra de herramientas superior.

  2. Condición: La consulta KQL se completará automáticamente. Configure la Lógica de alerta (por ejemplo, Número de resultados Mayor que 5 en un período de 5 minutos).

  3. Acciones:
    • Haga clic en + Agregar grupo de acciones.
    • Cree un nuevo grupo de acciones (por ejemplo, actiongroup-security) o seleccione uno existente.
    • Configure las acciones deseadas, como Email/SMS/Push/Voice, Webhook, Automation (para activar una aplicación lógica o un runbook).
  4. Detalles: asigne un nombre a la regla de alerta (por ejemplo: Alerta_Logins_Falhos_AzureAD), una descripción y defina la gravedad.
  5. Haga clic en Revisar + crear y luego en Crear.

5. Uso de libros de trabajo para visualización de seguridad

Los libros de trabajo son lienzos flexibles que se pueden utilizar para analizar datos y crear informes visuales.

  1. En Azure Portal, navegue hasta su espacio de trabajo de Log Analytics (la-security-workspace).
  2. En el panel de navegación izquierdo, en "General", seleccione Libros de trabajo.
  3. Haga clic en + Nuevo.
  4. Puede agregar "Texto", "Consultas" (KQL), "Métricas" y "Parámetros" para crear un informe interactivo.
  5. Agregue una consulta KQL y configure la visualización en un gráfico. Guarde el libro de trabajo.

Validación y pruebas

Para validar la configuración, necesitará generar eventos de seguridad que activen sus consultas y alertas.

  1. Escenario (inicio de sesión fallido): intente iniciar sesión en Azure Portal o en una aplicación integrada en Azure AD varias veces con credenciales incorrectas (más que el límite definido en su regla de alerta).
  2. Acción esperada:
    • Los eventos de inicio de sesión fallidos deben aparecer en los registros de Log Analytics (tabla SigninLogs).
    • La alerta de seguridad configurada debería activarse y usted debería recibir una notificación (correo electrónico, SMS, etc.).
  3. Verificación:
    • Verifique los registros en Log Analytics con la consulta SigninLogs | donde TiempoGenerado > hace(5m) | donde TipoResultado!= 0.
    • Consulte la sección "Alertas de seguridad" en Azure Monitor o su bandeja de entrada de correo electrónico para recibir la notificación de alerta.

Consejos de seguridad y mejores prácticas

  • Retención de datos: configure la retención de datos de Log Analytics según los requisitos de cumplimiento de su organización (por ejemplo, 90 días, 1 año).
  • Control de acceso: implemente un control de acceso basado en roles (RBAC) para el área de trabajo de Log Analytics para garantizar que solo los usuarios autorizados puedan acceder y consultar los registros de seguridad.
  • Integración SIEM/SOAR: para capacidades avanzadas de detección y respuesta a incidentes, integre Log Analytics con un SIEM como Microsoft Sentinel. Esto permite la correlación de eventos, la automatización de respuestas y la orquestación.
  • Optimización de costos: supervise el volumen de datos ingeridos en Log Analytics. Utilice filtros de diagnóstico para recopilar solo registros relevantes y evitar recopilar datos excesivos para optimizar costos.
  • Consultas KQL eficientes: aprenda y utilice KQL de manera eficiente para optimizar el rendimiento de las consultas y reducir el tiempo de búsqueda.
  • Libros de trabajo compartidos: cree y comparta libros de trabajo útiles con su equipo para la visualización y el análisis colaborativos de datos de seguridad.
  • Monitoreo continuo: revise periódicamente las alertas generadas y ajuste las reglas en consecuencianecesario para reducir los falsos positivos y garantizar que se detecten amenazas reales.

Solución de problemas comunes

  • Los registros no aparecen en Log Analytics:
    • Verifique que la configuración de diagnóstico para el origen de datos sea correcta y apunte al espacio de trabajo de Log Analytics correcto.
    • Asegúrese de que el agente de Log Analytics esté instalado y funcione correctamente en las máquinas virtuales, si corresponde.
    • Puede haber un ligero retraso (unos minutos) para que los registros aparezcan en el espacio de trabajo.
    • Verificar los permisos de la identidad que envía los registros.
  • Las alertas no se activan:
    • Compruebe si la regla de alerta está "Habilitada".
    • Confirme que la consulta KQL en la regla de alerta devuelve los resultados esperados cuando se ejecuta manualmente.
    • Verifique la Lógica de alerta (umbral, frecuencia) para asegurarse de que se active por los eventos que está generando.
    • Verifique el "Grupo de acción" para asegurarse de que las notificaciones estén configuradas correctamente y que los destinatarios reciban los correos electrónicos/SMS.
  • Consultas KQL lentas o complejas:
    • Optimice sus consultas utilizando operadores como "dónde" y "proyecto" al comienzo de la consulta para filtrar los datos lo antes posible.
    • Evite el uso excesivo de operadores de "unión" en grandes conjuntos de datos.
    • Considere la posibilidad de crear funciones KQL para consultas complejas y reutilizables.
  • Falsos positivos en alertas:
    • Ajuste la "Lógica de alerta" (aumente el umbral, ajuste la ventana de tiempo) para reducir la sensibilidad.
    • Refinar la consulta KQL para que sea más específica y filtrar eventos legítimos.
    • Considere utilizar una lista blanca dentro de la consulta para ignorar actividades conocidas y seguras.

Conclusión

Azure Monitor y su componente Log Analytics son herramientas indispensables para recopilar y analizar registros de seguridad en cualquier entorno de Azure. Al centralizar los datos de registro de múltiples fuentes, permitir consultas potentes con KQL y ofrecer capacidades de alerta y visualización, Azure Monitor permite a los equipos de seguridad mantener una visibilidad profunda de su entorno. La implementación efectiva de estas capacidades es fundamental para detectar amenazas de manera proactiva, investigar incidentes de manera eficiente y garantizar el cumplimiento normativo. Con esta guía práctica, los profesionales de seguridad y administradores de TI estarán bien equipados para configurar, validar y administrar Azure Monitor, transformando datos de registro sin procesar en inteligencia de seguridad procesable para proteger sus organizaciones.

Referencias:

[1] Microsoft aprende. Descripción general de Azure Monitor. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/overview [2] Microsoft aprende. Prácticas recomendadas para los registros de Azure Monitor. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/logs/best-practices-logs [3] Microsoft aprende. Descripción general del lenguaje de consulta Kusto (KQL). Disponible en: https://learn.microsoft.com/pt-br/azure/data-explorer/kusto/query/ [4] Microsoft aprende. Recopile registros de actividad de Azure en el área de trabajo de Log Analytics. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/essentials/activity-log?tabs=azure-portal [5] Microsoft aprende. Integrar registros de Azure AD con registros de Azure Monitor. Disponible en: https://learn.microsoft.com/pt-br/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics [6] Microsoft aprende. Recopile eventos y contadores de rendimiento de máquinas virtuales con el agente de Log Analytics. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/agents/agent-windows [7] Microsoft aprende. Crear, ver y administrar alertas de registros mediante Azure Monitor. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/alerts/tutorial-log-alert [8] Microsoft aprende. Libros de trabajo de Azure Monitor. Disponible en: https://learn.microsoft.com/pt-br/azure/azure-monitor/visualize/workbooks-overview