Actualmente estoy trabajando en un proyecto de transformación de la nube donde toda la infraestructura se está ubicando en Azure.
Actualmente utilizamos una solución SIEM para monitorear y evaluar eventos en todo el entorno. La adopción de Azure ha agregado un nivel adicional de acciones administrativas que tendríamos que vigilar.
Nuestro diseño utiliza grupos de AD que están asignados a roles RBAC y, por lo tanto, podemos monitorear los cambios en estos grupos para entender quién ha tenido acceso / revocado al recopilar nuestros registros de DC. Sin embargo, no podemos ver si alguien ha otorgado / revocado roles de RBAC a suscripciones, grupos de recursos o recursos de Azure. He reunido algunos scripts de Powershell que devolverían los datos necesarios, por lo que es bueno saber que los datos están allí y están disponibles, sin embargo, parece que no hay una forma nativa de obtener estos datos en una solución SIEM.
¿Alguien ha logrado obtener este tipo de datos en su SIEM? Imagino que se logrará teniendo un script de Powershell ejecutándose cada minuto para recuperar los datos y escribirlos en un archivo que el SIEM recopila o transmitirlos directamente al SIEM para analizarlos.
Esencialmente, mi objetivo es poner algo en su lugar para poder ver estos datos dentro de nuestro panel de control de SIEM, ya que creo que es un riesgo importante no tener visibilidad de tales acciones administrativas.
Gracias de antemano por cualquier orientación.