Libro de informes de operaciones confidenciales
Como administrador de TI, debe ser capaz de identificar los riesgos en su entorno para asegurarse de que puede mantenerlo en buen estado.
El libro de informes de operaciones confidenciales está pensado para ayudar a identificar la actividad sospechosa en las aplicaciones y entidades de servicio que podría indicar riesgos para su entorno.
En este artículo se proporciona información general sobre el libro de Informe de operaciones confidenciales.
Requisitos previos
Para usar libros de Azure para Microsoft Entra ID, necesita lo siguiente:
- Un inquilino de Microsoft Entra con una licencia Premium P1
- Un área de trabajo de Log Analytics y acceso a la misma
- Los roles adecuados para Azure Monitor y Microsoft Entra ID
Área de trabajo de Log Analytics
Debe crear un área de trabajo de Log Analyticsantesde poder utilizar los libros de trabajo de Microsoft Entra. varios factores que determinan el acceso a las áreas de trabajo de Log Analytics. Necesita los roles adecuados para el área de trabajo y los recursos que envían los datos.
Para obtener más información, consulte Administración del acceso a las áreas de trabajo de Log Analytics.
Roles de Azure Monitor
Azure Monitor proporciona dos roles integrados para ver los datos de supervisión y editar la configuración de supervisión. El control de acceso basado en rol (RBAC) de Azure también proporciona dos roles integrados de Log Analytics que conceden acceso similar.
Ver:
- Lector de supervisión
- Lector de Log Analytics
Vista y modificación de la configuración:
- Colaborador de supervisión
- Colaborador de Log Analytics
Roles de Microsoft Entra
El acceso de solo lectura permite ver los datos de registro de Microsoft Entra ID dentro de un libro, consultar datos de Log Analytics o leer registros en el centro de administración de Microsoft Entra. El acceso de actualización agrega la capacidad de crear y editar la configuración de diagnóstico para enviar datos de Microsoft Entra a un área de trabajo de Log Analytics.
Lectura:
- Lector de informes
- Lector de seguridad
- Lector global
Actualizar:
- Administrador de seguridad
Para obtener más información sobre los roles integrados de Microsoft Entra, consulte roles integrados de Microsoft Entra.
Para más información sobre los roles RBAC de Log Analytics, consulte Roles integrados de Azure.
Descripción
Este libro identifica las operaciones confidenciales recientes que se han realizado en el inquilino y que pueden poner en peligro la entidad de servicio.
Si su organización no estuviera familiarizada con los libros de Azure Monitor, debería integrar los registros de inicio de sesión y auditoría de Microsoft Entra con Azure Monitor antes de acceder al libro. Esta integración le permite almacenar, consultar y visualizar los registros mediante libros durante dos años como máximo. Solo se almacenan los eventos de inicio de sesión y auditoría creados después de la integración de Azure Monitor, por lo que el libro no contendrá información anterior a esa fecha. Conozca mejor los requisitos previos de los libros de Azure Monitor para Microsoft Entra ID. Si se integró previamente los registros de inicio de sesión y auditoría de Microsoft Entra con Azure Monitor, se puede usar el libro para evaluar la información pasada.
Cómo acceder al libro
Inicie sesión en el Centro de administración de Microsoft Entra con la combinación adecuada de roles.
Vaya a Identidad>Supervisión y estado>Libros.
Seleccione el libro Informe de operaciones confidenciales en la sección Solución de problemas.
Secciones
Este libro se divide en cuatro secciones:
Modificación de métodos de autenticación y credenciales de aplicaciones y entidades de servicio: este informe marca los actores que han cambiado recientemente muchas credenciales de entidad de servicio, así como el número de credenciales de cada tipo de entidad de servicio que han cambiado.
Concesión de nuevos permisos a las entidades de servicio: este libro también resalta los permisos de OAuth 2.0 concedidos recientemente a las entidades de servicio.
Actualizaciones de pertenencia a grupos y roles de directorio para entidades de servicio
Modificación de la configuración de federación: este informe subraya cuándo un usuario o una aplicación modifica la configuración de federación de un dominio. Por ejemplo, informa cuando un nuevo objeto TrustedRealm de Servicios de federación de Active Directory (ADFS), como un certificado de firma, se agrega al dominio. La modificación de la configuración de federación de dominios no es algo que sea muy frecuente.
Modificación de métodos de autenticación y credenciales de aplicaciones y entidades de servicio
Una de las formas más comunes de que los atacantes obtengan persistencia en el entorno es agregar nuevas credenciales a las aplicaciones y entidades de servicio existentes. Las credenciales permiten al atacante autenticarse con la aplicación o la entidad de servicio de destino, de forma que se le concede acceso a todos los recursos para los que tiene permisos.
En esta sección se incluyen los datos siguientes para ayudarle a detectar:
Todas las credenciales nuevas agregadas a aplicaciones y entidades de servicio, incluido el tipo de credencial.
Actores principales y la cantidad de modificaciones de credenciales que realizaron.
Escala de tiempo de todos los cambios de credenciales.
Concesión de nuevos permisos a las entidades de servicio
En los casos en los que el atacante no puede encontrar una entidad de servicio o una aplicación con un conjunto de permisos con privilegios elevados a través de los cuales obtener acceso, a menudo intentará agregar los permisos a otra entidad de servicio o aplicación.
En esta sección se incluye un desglose de las concesiones de permisos de AppOnly a las entidades de servicio existentes. Los administradores deben investigar cualquier caso de concesión excesiva de permisos elevados, incluidos, entre otros, Exchange Online y Microsoft Graph.
Actualizaciones de pertenencia a grupos y roles de directorio para entidades de servicio
Siguiendo la lógica del atacante de agregar nuevos permisos a las entidades de servicio y las aplicaciones existentes, otra estrategia es agregarlos a los roles o grupos de directorio existentes.
En esta sección se incluye información general de todos los cambios realizados en las pertenencias a entidades de servicio y se deben revisar por si se han producido adiciones a roles y grupos con privilegios elevados.
Modificación de la configuración de federación
Otra estrategia común para obtener un punto de apoyo a largo plazo en el entorno es:
- Modificar las confianzas de dominios federados del inquilino.
- Agregar un IDP de SAML adicional controlado por el atacante como origen de autenticación de confianza.
En esta sección se incluyen los datos siguientes:
Cambios realizados en las confianzas de federación de dominio existentes
Adición de nuevos dominios y confianzas
Filtros
En este párrafo se enumeran los filtros admitidos de cada sección.
Modificación de métodos de autenticación y credenciales de aplicaciones y entidades de servicio
- Intervalo de horas
- Nombre de operación
- Credential:
- Actor
- Excluir actor
Concesión de nuevos permisos a las entidades de servicio
- Intervalo de horas
- Aplicación cliente
- Recurso
Actualizaciones de pertenencia a grupos y roles de directorio para entidades de servicio
- Intervalo de horas
- Operación
- Inicio de un usuario o una aplicación
Modificación de la configuración de federación
- Intervalo de horas
- Operación
- Inicio de un usuario o una aplicación
procedimientos recomendados
-
- Use credenciales de entidad de aplicaciones y servicios modificadas** para buscar credenciales agregadas a entidades de servicios que no se usen con frecuencia en su organización. Use los filtros presentes en esta sección para investigar más a fondo alguno de los actores sospechosos o entidades de servicio que se modificaron.
Use los nuevos permisos concedidos a las entidades de servicio para buscar permisos amplios o excesivos que estén siendo agregados a las entidades de servicio por actores que puedan estar comprometidos.
Use la sección de configuración de federación modificada para confirmar que el dominio/URL de destino agregado o modificado es un comportamiento legítimo del administrador. Las acciones que modifican o agregan confianzas de federación de dominio son poco frecuentes y deben tratarse con la máxima fidelidad para que se investiguen lo antes posible.