¿Qué son las detecciones de riesgo?
Microsoft Entra ID Protection proporciona a las organizaciones información sobre actividades sospechosas en su inquilino y les permite responder rápidamente para evitar que se produzca más riesgo. Las detecciones de riesgo son un recurso eficaz que puede incluir cualquier actividad sospechosa o anómala relacionada con una cuenta de usuario en el directorio. Las detecciones de riesgo de protección de identificadores se pueden vincular a un usuario individual o a un evento de inicio de sesión y contribuir a la puntuación de riesgo general del usuario que se encuentra en el informe Usuarios de riesgo.
Las detecciones de riesgo de usuario pueden marcar una cuenta de usuario legítima como en riesgo, cuando un posible actor de amenazas obtiene acceso a una cuenta al poner en peligro sus credenciales o cuando detecta algún tipo de actividad anómala del usuario. Las detecciones de riesgo de inicio de sesión representan la probabilidad de que una solicitud de autenticación determinada no sea el propietario autorizado de la cuenta. Tener la capacidad de identificar el riesgo en el nivel de usuario e inicio de sesión es fundamental para que los clientes puedan proteger su inquilino.
Niveles de riesgo
ID Protection clasifica el riesgo en tres niveles: bajo, medio y alto. Los niveles de riesgo calculados por nuestros algoritmos de aprendizaje automático y que representan la confianza que tiene Microsoft en que una entidad no autorizada conozca una o varias de las credenciales del usuario.
- Una detección de riesgos con nivel de riesgo Alto indica que Microsoft está muy seguro de que la cuenta está en peligro.
- Una detección de riesgos con nivel de riesgo bajo indica que hay anomalías presentes en el inicio de sesión o en una credencial de usuario’, pero estamos menos seguros de que estas anomalías significan que la cuenta está en peligro.
Muchas detecciones pueden desencadenarse en más de uno de nuestros niveles de riesgo en función del número o gravedad de las anomalías detectadas. Por ejemplo, las propiedades de inicio de sesión desconocidas pueden activarse en un nivel alto, medio o bajo en función de la confianza en las señales. Algunas detecciones, como Filtración de credenciales e IP del actor de amenazas verificado, siempre son de alto riesgo.
Este nivel de riesgo es importante al decidir qué detecciones priorizar, investigar y corregir. También desempeñan un papel clave en configurar directivas de acceso condicional basadas en riesgos, ya que cada directiva se puede establecer como desencadenador para un riesgo bajo, medio, alto o ningún riesgo detectado. En función de la tolerancia al riesgo de su organización, puede crear directivas que requieran MFA o restablecimiento de contraseña cuando la protección de identificadores detecte un determinado nivel de riesgo para uno de los usuarios. Estas directivas pueden guiar al usuario a corregirse automáticamente para resolver el riesgo.
Importante
Todas las detecciones de nivel de riesgo "bajo" y los usuarios persistirán en el producto durante 6 meses, después de lo cual se eliminarán automáticamente para proporcionar una experiencia de investigación más limpia. Los niveles de riesgo medio y alto se conservarán hasta que se solucionen o se descarten.
En función de la tolerancia al riesgo de la organización, puede crear directivas que requieran MFA o restablecimiento de contraseña cuando la protección de identificadores detecte un determinado nivel de riesgo. Estas directivas pueden guiar al usuario a corregirse automáticamente y resolver el riesgo, o bien bloquear, todo dependerá de las tolerancias.
Detecciones en tiempo real y sin conexión
Id Protection utiliza técnicas para aumentar la precisión de las detecciones de riesgo de usuario e inicio de sesión mediante el cálculo de algunos riesgos en tiempo real o sin conexión después de la autenticación. La detección de riesgos en tiempo real en el inicio de sesión ofrece la ventaja de identificar el riesgo a tiempo para que los clientes puedan investigar rápidamente el riesgo potencial. En las detecciones que calculan el riesgo sin conexión, pueden proporcionar más información sobre cómo el actor de amenazas obtuvo acceso a la cuenta y el impacto en el usuario legítimo. Algunas detecciones se pueden desencadenar tanto sin conexión como durante el inicio de sesión, lo que aumenta la confianza en ser precisos en el riesgo.
Las detecciones desencadenadas en tiempo real tardan entre 5 y 10 minutos en exponer los detalles de los informes. Las detecciones sin conexión tardan hasta 48 horas en exponerse en los informes, ya que se tarda en evaluar las propiedades del riesgo potencial.
Nota:
Nuestro sistema puede detectar que el evento de riesgo que contribuyó a la puntuación de riesgo del usuario era:
- Falso positivo
- La directiva ha corregido el riesgo del usuario:
- Completando la autenticación multifactor
- Protección del cambio de contraseña
Nuestro sistema descartará el estado de riesgo y se mostrará un detalle de riesgo de AI confirmado de inicio de sesión seguro y dejará de contribuir al riesgo global del usuario.
Detecciones de riesgo asignadas a riskEventType
| Detección de riesgos | Tipo de detección | Tipo | riskEventType |
|---|---|---|---|
| detecciones de riesgo de inicio de sesión | |||
| Actividad desde una dirección IP anónima | Sin conexión | Premium | riskyIPAddress |
| riesgo adicional detectado (inicio de sesión) | En tiempo real o sin conexión | No Premium | generic = Clasificación de detección Premium para inquilinos que no son P2 |
| Vulneración de identidad de usuario confirmada por el administrador | Sin conexión | No Premium | adminConfirmedUserCompromised |
| Token anómalo | En tiempo real o sin conexión | Premium | anomalousToken |
| Dirección IP anónima | Tiempo real | No Premium | anonymizedIPAddress |
| Viaje atípico | Sin conexión | Premium | unlikelyTravel |
| Viaje imposible | Sin conexión | Premium | mcasImpossibleTravel |
| Dirección IP malintencionada | Sin conexión | Premium | maliciousIPAddress |
| Acceso masivo a archivos confidenciales | Sin conexión | Premium | mcasFinSuspiciousFileAccess |
| Información sobre amenazas de Microsoft Entra (inicio de sesión) | En tiempo real o sin conexión | No Premium | investigationsThreatIntelligence |
| Nuevo país | Sin conexión | Premium | newCountry |
| Difusión de contraseñas | Sin conexión | Premium | passwordSpray |
| Explorador sospechoso | Sin conexión | Premium | suspiciousBrowser |
| Reenvío sospechoso desde la bandeja de entrada | Sin conexión | Premium | suspiciousInboxForwarding |
| Reglas de manipulación sospechosa de la bandeja de entrada | Sin conexión | Premium | mcasSuspiciousInboxManipulationRules |
| anomalía del emisor de tokens | Sin conexión | Premium | tokenIssuerAnomaly |
| Propiedades de inicio de sesión desconocidas | Tiempo real | Premium | unfamiliarFeatures |
| IP de actor de amenazas comprobada | Tiempo real | Premium | nationStateIP |
| detecciones de riesgo de usuario | |||
| Riesgo adicional detectado (usuario) | En tiempo real o sin conexión | No Premium | generic = Clasificación de detección Premium para inquilinos que no son P2 |
| Actividad anómala del usuario | Sin conexión | Premium | anomalousUserActivity |
| Atacante en el medio | Sin conexión | Premium | attackerinTheMiddle |
| Credenciales con fugas | Sin conexión | No Premium | leakedCredentials |
| Información sobre amenazas de Microsoft Entra (usuario) | En tiempo real o sin conexión | No Premium | investigationsThreatIntelligence |
| Posible intento de acceso al token de actualización principal (PRT) | Sin conexión | Premium | attemptedPrtAccess |
| Tráfico de API sospechoso | Sin conexión | Premium | suspiciousAPITraffic |
| Patrones de envío sospechosos | Sin conexión | Premium | suspiciousSendingPatterns |
| El usuario notificó una actividad sospechosa | Sin conexión | Premium | userReportedSuspiciousActivity |
Detecciones de Premium
Las detecciones premium siguientes solo están visibles para los clientes de Microsoft Entra ID P2.
Detecciones de riesgo de inicio de sesión premium
Actividad desde una dirección IP anónima
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección identifica que los usuarios estaban activos desde una dirección IP identificada como una dirección IP de proxy anónima.
Token anómalo
Calculado en tiempo real o sin conexión. Esta detección indica características anómalas en el token, como una duración inusual o un token reproducido desde una ubicación desconocida. Esta detección abarca los tokens de sesión y los tokens de actualización.
Un token anómalo está ajustado para generar más ruido que otras detecciones en el mismo nivel de riesgo. Se ha optado por este equilibrio para aumentar la probabilidad de detectar tokens reproducidos que, de lo contrario, podrían pasar desapercibidos. Hay una probabilidad más alta de lo normal de que algunas de las sesiones marcadas por esta detección sean falsos positivos. Se recomienda investigar las sesiones marcadas por esta detección en el contexto de otros inicios de sesión del usuario. Si la ubicación, la aplicación, la dirección IP, el Agente de usuario u otras características son inesperadas para el usuario, el administrador debe considerar este riesgo como un indicador de la posible reproducción de tokens.
Viaje atípico
Calculado sin conexión. Este tipo de detección de riesgo identifica dos inicios de sesión procedentes de ubicaciones geográficamente distantes, donde al menos una de las ubicaciones puede también ser inusual para el usuario, según su comportamiento anterior. El algoritmo tiene en cuenta múltiples factores, como el tiempo transcurrido entre los dos inicios de sesión y el tiempo que habría necesitado el usuario para viajar de la primera ubicación a la segunda. Este riesgo podría indicar que otro usuario está usando las mismas credenciales.
Este algoritmo omite "falsos positivos" obvios que contribuyen a una condición de viaje imposible, como las VPN y las ubicaciones que usan con regularidad otros usuarios de la organización. El sistema tiene un período de aprendizaje inicial de 14 días o 10 inicios de sesión, lo que ocurra primero, durante el cual aprende el comportamiento de inicio de sesión del nuevo usuario.
Viaje imposible
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección identifica las actividades del usuario (en una sola o varias sesiones) que se originan en ubicaciones geográficamente distantes dentro de un período de tiempo menor que el tiempo necesario para viajar desde la primera ubicación a la segunda. Este riesgo podría indicar que otro usuario está usando las mismas credenciales.
Dirección IP malintencionada
Calculado sin conexión. Esta detección indica el inicio de sesión desde una dirección IP malintencionada. Una dirección IP se considera malintencionada si se recibe una alta tasa de errores debidos a credenciales no válidas desde la dirección IP u otros orígenes de reputación de IP.
Acceso masivo a archivos confidenciales
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección examina el entorno y desencadena alertas cuando los usuarios acceden a varios archivos desde Microsoft SharePoint Online o Microsoft OneDrive. Una alerta solo se desencadena si el número de archivos a los que se accede es poco frecuente para el usuario y los archivos pueden contener información confidencial.
Nuevo país
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización.
Difusión de contraseña
Calculado sin conexión. Un ataque de difusión de contraseñas es aquel por el que se ataca a varios nombres de usuario mediante contraseñas comunes, en un único ataque por la fuerza bruta, para obtener acceso no autorizado. Esta detección de riesgos se desencadena cuando se realiza un ataque de difusión de contraseñas. Por ejemplo, el atacante se autentica correctamente en la instancia detectada.
Explorador sospechoso
Calculado sin conexión. La detección sospechosa del explorador indica un comportamiento anómalo basado en la actividad de inicio de sesión sospechosa en varios inquilinos de distintos países en el mismo explorador.
Reenvío sospechoso desde la bandeja de entrada
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.
Reglas de manipulación sospechosa de la bandeja de entrada
Calculado sin conexión. Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección analiza su entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario. Esta detección puede indicar que: la cuenta del usuario está en peligro, los mensajes se están ocultando intencionadamente, y el buzón se está usando para distribuir correo no deseado o malware en su organización.
Anomalía del emisor de tokens
Calculado sin conexión. Esta detección de riesgo indica que el emisor del token SAML asociado puede estar en peligro. Las notificaciones incluidas en el token son inusuales o coinciden con patrones de atacante conocidos.
Propiedades de inicio de sesión desconocidas
Calculado en tiempo real. Este tipo de detección de riesgos considera que el historial de inicio de sesión anterior busca inicios de sesión anómalos. El sistema almacena información sobre inicios de sesión anteriores y desencadena una detección de riesgos cuando se produce un inicio de sesión con propiedades desconocidas para el usuario. Estas propiedades pueden incluir IP, ASN, ubicación, dispositivo, explorador y subred IP del inquilino. Los usuarios recién creados se encuentran en un período de "modo de aprendizaje" en el que la detección de riesgos de propiedades de inicio de sesión desconocidas está desactivada mientras nuestros algoritmos aprenden el comportamiento del usuario. La duración del modo de aprendizaje es dinámica y depende de cuánto tiempo tarde el algoritmo en recopilar información suficiente sobre los patrones de inicio de sesión del usuario. La duración mínima es de cinco días. Un usuario puede volver al modo de aprendizaje tras un largo período de inactividad.
También se ejecuta esta detección para una autenticación básica o para protocolos heredados. Dado que estos protocolos no tienen propiedades modernas, como Id. de cliente, hay datos limitados para reducir los falsos positivos. Se recomienda que los clientes realicen la migración a la autenticación moderna.
Se pueden detectar propiedades de inicio de sesión desconocidas en inicios de sesión interactivos y no interactivos. Cuando esta detección se realiza en inicios de sesión no interactivos, merece mayor supervisión debido al riesgo de ataques de reproducción de tokens.
Seleccionar un riesgo de propiedades de inicio de sesión desconocido le permite ver información adicional que muestra más detalles sobre por qué se desencadenó este riesgo.
IP de actor de amenazas comprobada
Calculado en tiempo real. Este tipo de detección de riesgos indica la actividad de inicio de sesión que es coherente con las direcciones IP conocidas asociadas a actores del estado nacional o a grupos de ciberdelincuencia, en función de los datos del Centro de inteligencia sobre amenazas de Microsoft (MSTIC).
Detecciones de riesgo de usuario premium
Actividad anómala del usuario
Calculado sin conexión. Esta detección de riesgos tiene como base el comportamiento normal del usuario administrativo en Microsoft Entra ID y detecta patrones anómalos de comportamiento, como los cambios sospechosos en el directorio. La detección se desencadena en el administrador que realiza el cambio o en el objeto que se cambió.
Atacante en el medio
Calculado sin conexión. También conocido como Adversario en el Medio, esta detección de alta precisión se desencadena cuando una sesión de autenticación está vinculada a un proxy inverso malintencionado. En este tipo de ataque, el adversario puede interceptar las credenciales del usuario, incluidos los tokens emitidos al usuario. El equipo de Investigación de seguridad de Microsoft aprovecha Microsoft 365 Defender para capturar el riesgo identificado y eleva al usuario a Alto riesgo. Se recomienda que los administradores investiguen manualmente al usuario cuando se desencadene esta detección para asegurarse de que se borra el riesgo. La eliminación de este riesgo podría requerir el restablecimiento de contraseña seguro o la revocación de sesiones existentes.
Posible intento de acceso al token de actualización principal (PRT)
Calculado sin conexión. Este tipo de detección de riesgos se descubre utilizando la información proporcionada por Microsoft Defender para punto de conexión (MDE). Un token de actualización principal (PRT) es un artefacto de claves de autenticación de Microsoft Entra en dispositivos Windows 10, Windows Server 2016 y versiones posteriores, iOS y Android. Un PRT es un token web JSON (JWT) emitido a los agentes de tokens de primera entidad de Microsoft para habilitar el inicio de sesión único (SSO) en todas las aplicaciones que se usan en esos dispositivos. Los atacantes pueden intentar acceder a este recurso para desplazarse lateralmente a una organización o realizar el robo de credenciales. Esta detección mueve a los usuarios a alto riesgo y solo se desencadena en organizaciones que implementan MDE. Esta detección es de alto riesgo y se recomienda la corrección de estos usuarios. Aparece con poca frecuencia en la mayoría de las organizaciones debido a su bajo volumen.
Tráfico de API sospechoso
Calculado sin conexión. Esta detección de riesgos se notifica cuando se observa un tráfico anómalo de GraphAPI o enumeración de directorios. El tráfico de API sospechoso podría sugerir que un usuario está en peligro y que realiza el reconocimiento en el entorno.
Patrones de envío sospechosos
Calculado sin conexión. Este tipo de detección de riesgos se detecta mediante la información proporcionada por Microsoft Defender para Office 365 (MDO). Esta alerta se genera cuando alguien de su organización envió un correo electrónico sospechoso y corre el riesgo de ser o está restringido al envío de correo electrónico. Esta detección mueve a los usuarios a riesgo medio y solo se desencadena en organizaciones que implementan MDO. Esta detección es de bajo volumen y se ve con poca frecuencia en la mayoría de las organizaciones.
El usuario notificó una actividad sospechosa
Calculado sin conexión. Esta detección de riesgo se notifica cuando un usuario rechaza una solicitud de autenticación multifactor (MFA) y la notifica como actividad sospechosa. Una solicitud de MFA no iniciada por un usuario puede significar que sus credenciales están en peligro.
Detecciones no Premium
Los clientes sin licencias P2 de Microsoft Entra ID reciben detecciones tituladas riesgo adicional detectado sin la información detallada sobre la detección que hacen los clientes con licencias P2. Para más información, consulte los requisitos de licencia.
Detecciones de riesgo de inicio de sesión no premium
Riesgo adicional detectado (inicio de sesión)
Calculado en tiempo real o sin conexión. Esta detección indica que se descubrió una de las detecciones premium. Dado que las detecciones premium solo son visibles para los clientes de Microsoft Entra ID P2, se les denomina Riesgo adicional detectado para los clientes sin licencias de Id. de Entra P2 de Microsoft.
Vulneración de identidad de usuario confirmada por el administrador
Calculado sin conexión. Esta detección indica que un administrador ha seleccionado Confirmar que el usuario está en peligro en la interfaz de usuario de usuarios de riesgo o mediante riskyUsers API. Para ver qué administrador confirmó este usuario en peligro, compruebe el historial de riesgos del usuario (a través de la interfaz de usuario o la API).
Dirección IP anónima
Calculado en tiempo real. Este tipo de detección de riesgos indica inicios de sesión desde una dirección IP anónima (por ejemplo, el explorador Tor o redes VPN anónimas). Estas direcciones IP normalmente las usan actores que quieren ocultar su información de inicio de sesión (dirección IP, ubicación, dispositivo, etc.) con fines potencialmente malintencionados.
Inteligencia sobre amenazas de Microsoft Entra (iniciar sesión)
Calculado en tiempo real o sin conexión. Este tipo de detección de riesgo indica una actividad de usuario inusual para el usuario en cuestión o coherente con patrones de ataque conocidos. Esta detección está basada en las fuentes de inteligencia sobre amenazas internas y externas de Microsoft.
Detecciones de riesgo de usuario no premium
Riesgo adicional detectado (usuario)
Calculado en tiempo real o sin conexión. Esta detección indica que se descubrió una de las detecciones premium. Dado que las detecciones premium solo son visibles para los clientes de Microsoft Entra ID P2, se les denomina Riesgo adicional detectado para los clientes sin licencias de Id. de Entra P2 de Microsoft.
Credenciales con fugas
Calculado sin conexión. Este tipo de detección de riesgos indica que se han filtrado las credenciales válidas del usuario. Cuando los cibercriminales llegan a poner en peligro las contraseñas válidas de usuarios legítimos, es frecuente que compartan estas credenciales recopiladas. Normalmente lo hacen publicándolas en la Web oscura, los sitios de pegado, o bien mediante el intercambio o la venta de esas credenciales en el mercado negro. Cuando el servicio de credenciales filtradas de Microsoft adquiere las credenciales de usuario de la web profunda, los sitios de pegado u otros orígenes, se comparan con las credenciales válidas actuales de los usuarios de Microsoft Entra para encontrar coincidencias válidas. Para obtener más información sobre las credenciales filtradas, consulte preguntas comunes.
Inteligencia sobre amenazas de Microsoft Entra (usuario)
Calculado sin conexión. Este tipo de detección de riesgo indica una actividad de usuario inusual para el usuario en cuestión o coherente con patrones de ataque conocidos. Esta detección está basada en las fuentes de inteligencia sobre amenazas internas y externas de Microsoft.
Preguntas frecuentes
¿Qué ocurre si se usaron credenciales incorrectas para intentar iniciar sesión?
ID Protection genera detecciones de riesgo solo cuando se usan las credenciales correctas. Si se usan credenciales incorrectas en un inicio de sesión, no representa el riesgo de poner en peligro las credenciales.
¿Se requiere la sincronización de hash de contraseñas?
Las detecciones de riesgos, como las credenciales filtradas, requieren la presencia de elementos hash de contraseña para que se produzca la detección. Para obtener más información sobre la sincronización de hash de contraseñas, consulte Implementación de la sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.
¿Por qué se generan detecciones de riesgo para cuentas deshabilitadas?
Las cuentas de usuario en un estado deshabilitado se pueden volver a habilitar. Si las credenciales de una cuenta deshabilitada están en peligro y la cuenta se vuelve a habilitar, los actores no autorizados podrían usar esas credenciales para obtener acceso. Id Protection genera detecciones de riesgo para actividades sospechosas en estas cuentas deshabilitadas para alertar a los clientes sobre posibles riesgos de la cuenta. Si una cuenta ya no está en uso y no se habilitará de nuevo, los clientes deben considerar la posibilidad de eliminarla para evitar el riesgo. No se generan detecciones de riesgo para las cuentas eliminadas.
Preguntas comunes sobre credenciales filtradas
¿Dónde busca Microsoft las credenciales filtradas?
Microsoft busca las credenciales filtradas en varios lugares, por ejemplo, en:
- Sitios de pegado públicos en los que los actores incorrectos suelen publicar este material.
- Organismos de autoridad judicial.
- Otros grupos de Microsoft que investigan la web oscura.
¿Por qué no veo ninguna credencial filtrada?
Las credenciales filtradas se procesan siempre que Microsoft encuentra un nuevo lote disponible públicamente. Debido a la naturaleza confidencial, las credenciales filtradas se eliminan al poco tiempo de procesarse. Solo se encontraron nuevas credenciales filtradas después de habilitar la sincronización de hash de contraseñas (PHS) en el inquilino. No se realiza la comprobación con los pares de credenciales encontrados anteriormente.
No veo ningún evento de riesgo de credenciales filtrada
Si no ve ningún evento de riesgo de credenciales filtrada, se debe a los siguientes motivos:
- No tiene PHS habilitada para el inquilino.
- Microsoft no encontró ningún par de credenciales filtradas que coincidan con los usuarios.
¿Con qué frecuencia Microsoft procesa nuevas credenciales?
Las credenciales se procesan inmediatamente después de que se encuentren, normalmente en varios lotes al día.
Ubicaciones
La ubicación en las detecciones de riesgo se determina mediante la búsqueda de direcciones IP. Los inicios de sesión de ubicaciones con nombre de confianza mejorar la precisión del cálculo de riesgo de Microsoft Entra ID Protection, lo que reduce el riesgo de inicio de sesión de un usuario cuando se autentica desde una ubicación marcada como de confianza.