Configurar alertas de seguridad para roles de Azure AD en Privileged Identity Management

La tecnología Privileged Identity Management (PIM) genera alertas cuando se producen actividades sospechosas o no seguras en su organización en Azure Active Directory (Azure AD), que es parte de Microsoft Entra. Cuando se desencadena una alerta, se muestra en el panel de Privileged Identity Management. Seleccione la alerta para ver un informe en el que se enumeren los usuarios o roles que activaron la alerta.

Captura de pantalla que muestra la página de alertas, con una lista de las alertas y su gravedad.

Alertas de seguridad

En esta sección se enumeran todas las alertas de seguridad para roles de Azure AD, y cómo resolverlas y evitarlas. La gravedad tiene el significado siguiente:

  • Alta: requiere acción inmediata debido a la infracción de una directiva.
  • Media: No requiere acción inmediata, pero señala una posible infracción de una directiva.
  • Baja: No requiere acción inmediata, pero sugiere un cambio de directiva preferible.

Los administradores no están usando sus roles con privilegios

Gravedad: Baja

Descripción
¿Por qué se recibe esta alerta? El hecho de que los usuarios tengan asignados roles con privilegios que no necesitan aumenta la probabilidad de un ataque. También es más fácil para los atacantes pasar desapercibidos en cuentas que no se usan de manera activa.
Solución Revise los usuarios de la lista y quíteles los roles con privilegios que no necesiten.
Prevención Asigne roles con privilegios solo a los usuarios que tengan una justificación empresarial.
Programe revisiones de acceso periódicas para comprobar que los usuarios todavía necesitan el acceso.
Acción de mitigación en el portal Quítele a la cuenta su rol con privilegios.
Desencadenador Se desencadena si un usuario pasa por un número especificado de días sin activar un rol.
Número de días Esta configuración especifica el número máximo de días, de 0 a 100, que un usuario puede pasar sin activar un rol.

No se necesita la autenticación multifactor para la activación de los roles

Gravedad: Baja

Descripción
¿Por qué se recibe esta alerta? Sin autenticación multifactor, los usuarios en peligro pueden activar roles con privilegios.
Solución Revise la lista de roles y pida autenticación multifactor para cada rol.
Prevención Exija MFA para cada rol.
Acción de mitigación en el portal Hace que la autenticación multifactor sea necesaria para la activación del rol con privilegios.

La organización no tiene Azure AD Premium P2

Gravedad: Baja

Descripción
¿Por qué se recibe esta alerta? La organización actual de Azure AD no incluye Azure AD Premium P2.
Solución Revise la información sobre las ediciones de Azure AD. Actualice a Azure AD Premium P2.

Posibles cuentas obsoletas en un rol con privilegios

Gravedad: Media

Descripción
¿Por qué se recibe esta alerta? Esta alerta ya no se desencadena en función de la última fecha de cambio de la contraseña para una cuenta. Esta alerta es para las cuentas de un rol con privilegios, que no hayan iniciado sesión durante los últimos n días, donde n es un número de días comprendido entre 1 y 365 que se puede configurar. Estas cuentas podrían ser cuentas de servicio o compartidas que no se mantienen y son vulnerables a los atacantes.
Solución Revise las cuentas de la lista. Si ya no necesitan acceso, quíteles sus roles con privilegios.
Prevención Asegúrese de que las cuentas que se compartan tengan contraseñas seguras que cambian cuando se produce algún cambio en los usuarios que conocen la contraseña.
Revise con regularidad las cuentas con roles con privilegios mediante revisiones de acceso y quite las asignaciones de roles que no sean necesarias.
Acción de mitigación en el portal Quítele a la cuenta su rol con privilegios.
procedimientos recomendados Las cuentas de acceso compartido, de servicio y de emergencia que se autentican mediante una contraseña y que se asignan a roles administrativos con privilegios elevados, como administrador global o administrador de seguridad, deben rotar sus contraseñas para los siguientes casos: Después de un incidente de seguridad que implique el mal uso o compromiso de derechos de acceso administrativosDespués de cambiar los privilegios del usuario para que deje de ser administrador (por ejemplo, cuando un empleado que era administrador deja el departamento de TI o abandona la organización).A intervalos regulares (por ejemplo, trimestral o anualmente), incluso si no se ha producido ninguna infracción conocida o cambio en el personal de TI.Dado que varias personas tienen acceso a las credenciales de estas cuentas, se deben girar las credenciales para garantizar que las personas que dejan sus roles no puedan seguir accediendo a las cuentas. Más información sobre la protección de cuentas

Los roles se están asignando fuera de Privileged Identity Management

Gravedad: Alta

Descripción
¿Por qué se recibe esta alerta? Las asignaciones de roles con privilegios realizadas fuera de Privileged Identity Management no se supervisan correctamente y podrían ser objeto de un ataque activo.
Solución Revise los usuarios de la lista y quítelos de los roles con privilegios asignados fuera de Privileged Identity Management. También puede habilitar o deshabilitar la alerta y su notificación por correo electrónico que la acompaña en la configuración de alertas.
Prevención Investigue a qué usuarios se les asignan roles con privilegios fuera de Privileged Identity Management y que prohíben las asignaciones futuras desde allí.
Acción de mitigación en el portal Quita el usuario de su rol con privilegios.

Hay demasiados administradores globales

Gravedad: Baja

Descripción
¿Por qué se recibe esta alerta? El administrador global es el rol con más privilegios. Si un administrador global está en peligro, el atacante obtiene acceso a todos sus permisos, lo que pone en riesgo todo el sistema.
Solución Revise los usuarios de la lista y quite los que no necesiten tener el rol de administrador global.
En su lugar, asigne roles con privilegios inferiores a estos usuarios.
Prevención Asigne a los usuarios el rol con privilegios mínimos que necesiten.
Acción de mitigación en el portal Quítele a la cuenta su rol con privilegios.
Desencadenador Se desencadena si se cumplen dos criterios diferentes, y puede configurar ambos. En primer lugar, debe alcanzar un umbral determinado de asignaciones de roles de administradores globales. En segundo lugar, un porcentaje determinado de las asignaciones de roles totales deben ser administradores globales. Si solo cumple una de estas medidas, la alerta no aparecerá.
Número mínimo de administradores globales Esta configuración especifica el número de asignaciones de roles de administradores globales, de 2 a 100, que considera que son demasiado pocos para su organización de Azure AD.
Porcentaje de Administradores globales Esta configuración especifica el porcentaje mínimo de administradores que son administradores globales, del 0 % al 100 %, por debajo del cual no desea que la organización de Azure AD DIP.

Se activan roles con demasiada frecuencia

Gravedad: Baja

Descripción
¿Por qué se recibe esta alerta? Varias activaciones del mismo rol con privilegios por el mismo usuario es un signo de un ataque.
Solución Revise los usuarios de la lista y asegúrese de que la duración de la activación de su rol con privilegios se establezca con tiempo suficiente para realizar sus tareas.
Prevención Asegúrese de que la duración de la activación de los roles con privilegios sea lo suficientemente larga como para que los usuarios realicen sus tareas.
Exija la autenticación multifactor para los roles con privilegios que tengan cuentas compartidas por varios administradores.
Acción de mitigación en el portal N/D
Desencadenador Se desencadena si un usuario activa el mismo rol con privilegios varias veces dentro de un período especificado. Puede configurar el período de tiempo y el número de activaciones.
Período de tiempo de renovación de activaciones Esta opción especifica el período de tiempo, en días, horas, minutos y segundos, que quiere usar para realizar el seguimiento de renovaciones sospechosas.
Number of activation renewals (Número de renovaciones de activación) Esta configuración especifica el número de activaciones, de 2 a 100, en las que le gustaría recibir notificaciones, dentro del período de tiempo elegido. Puede cambiar este valor moviendo el control deslizante o escribiendo un número en el cuadro de texto.

Personalización de la configuración de alertas de seguridad

Siga estos pasos para configurar las alertas de seguridad para roles de Azure AD en Privileged Identity Management.

  1. Inicie sesión en Azure Portal.

  2. Abra Azure AD Privileged Identity Management. Para información sobre cómo agregar el icono de Privileged Identity Management en el panel, consulte Primer uso de PIM.

  3. En el menú izquierdo, seleccione Roles de Azure AD.

  4. En el menú de la izquierda, seleccione Alertas y Configuración.

    Captura de pantalla de la página de alertas, con la configuración resaltada.

  5. Personalice la configuración de las diferentes alertas para que encajen con su entorno y con sus objetivos de seguridad.

    Captura de pantalla de la página de configuración de alertas.

Pasos siguientes