Compartir a través de

Tutorial: Configuración de análisis de seguridad para datos de Azure Active Directory B2C con Microsoft Sentinel

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Aumente la seguridad de su entorno de Azure Active Directory B2C (Azure AD B2C) enrutando los registros y la información de auditoría a Microsoft Sentinel. Microsoft Sentinel escalable es una solución nativa de la nube, de administración de eventos e información de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR). Use la solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas para Azure AD B2C.

Aprende más:

Otros usos de Microsoft Sentinel, con Azure AD B2C, son:

  • Detecte amenazas no detectadas previamente y minimice los falsos positivos con funciones de análisis e inteligencia de amenazas
  • Investigue las amenazas con inteligencia artificial (IA)
    • Busque actividades sospechosas a gran escala y benefíciese de la experiencia de años de trabajo en ciberseguridad en Microsoft
  • Responda rápidamente a los incidentes con la orquestación y automatización de tareas comunes
  • Cumpla con los requisitos de seguridad y cumplimiento de su organización

En este tutorial, aprenderá a:

  • Transferencia de registros de Azure AD B2C a un área de trabajo de Log Analytics
  • Habilitación de Microsoft Sentinel en un área de trabajo de Log Analytics
  • Creación de una regla de ejemplo en Microsoft Sentinel para desencadenar un incidente
  • Configurar una respuesta automatizada

Configuración de Azure AD B2C con Log Analytics de Azure Monitor

Para definir dónde se envían los registros y las métricas de un recurso,

  1. Habilite la Configuración de Diagnóstico en Microsoft Entra ID, en su inquilino Azure AD B2C.
  2. Configure Azure AD B2C para enviar registros a Azure Monitor.

Más información, Supervisión de Azure AD B2C con Azure Monitor.

Implementación de una instancia de Microsoft Sentinel

Después de configurar la instancia de Azure AD B2C para enviar registros a Azure Monitor, habilite una instancia de Microsoft Sentinel.

Importante

Para habilitar Microsoft Sentinel, obtenga permisos de colaborador para la suscripción en la que reside el área de trabajo de Microsoft Sentinel. Para usar Microsoft Sentinel, use los permisos Colaborador o Lector en el grupo de recursos al que pertenece el área de trabajo.

  1. Inicie sesión en Azure Portal.

  2. Seleccione la suscripción en la que se crea el área de trabajo de Log Analytics.

  3. Busque y seleccione Microsoft Sentinel.

    El recorte de pantalla de Azure Sentinel introducido en el campo de búsqueda y la opción Azure Sentinel que aparece.

  4. Selecciona Agregar.

  5. En el campo de búsqueda de áreas de trabajo , seleccione la nueva área de trabajo.

    Captura de pantalla del campo de búsqueda de áreas de trabajo en Elegir un área de trabajo para agregarla a Azure Sentinel.

  6. Seleccione Agregar Microsoft Sentinel.

    Nota:

    Es posible ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos están aislados en una sola área de trabajo.
    Consulte Inicio rápido: Incorporación de Microsoft Sentinel

Creación de una regla de Microsoft Sentinel

Después de habilitar Microsoft Sentinel, reciba una notificación cuando ocurra algo sospechoso en el inquilino de Azure AD B2C.

Puede crear reglas de análisis personalizadas para detectar amenazas y comportamientos anómalos en su entorno. Estas reglas buscan eventos específicos, o conjuntos de eventos, y le avisan cuando se cumplen los umbrales o las condiciones de los eventos. A continuación, se generan incidentes para su investigación.

Consulte Creación de reglas de análisis personalizadas para detectar amenazas

Nota:

Microsoft Sentinel tiene plantillas para crear reglas de detección de amenazas que buscan actividad sospechosa en los datos. Durante este tutorial, crearás una regla.

Regla de notificación para acceso forzado fallido

Siga estos pasos para recibir notificaciones sobre dos o más intentos de acceso forzado fallidos en su entorno. Un ejemplo es el ataque de fuerza bruta.

  1. En Microsoft Sentinel, en el menú de la izquierda, seleccione Análisis.

  2. En la barra superior, seleccione + Crear>regla de consulta programada.

    Captura de pantalla de la opción Crear en Analytics.

  3. En el Asistente para reglas de Analytics, vaya a General.

  4. En Nombre, escriba un nombre para los inicios de sesión fallidos.

  5. En Descripción, indique que la regla notifica sobre dos o más inicios de sesión fallidos en un plazo de 60 segundos.

  6. En Tácticas, seleccione una categoría. Por ejemplo, seleccione Preataque.

  7. En Gravedad, seleccione un nivel de gravedad.

  8. El estado es Habilitado de forma predeterminada. Para cambiar una regla, vaya a la pestaña Reglas activas .

    Captura de pantalla de Crear nueva regla con opciones y selecciones.

  9. Haga clic en la pestaña Establecer la lógica de la regla.

  10. Introduzca una consulta en el campo Consulta de regla . En el ejemplo de consulta se organizan los inicios de sesión mediante UserPrincipalName.

    Captura de pantalla del texto de la consulta en el campo Consulta de regla en Establecer lógica de regla.

  11. Vaya a Programación de consultas.

  12. En Ejecutar consulta cada, escriba 5 y minutos.

  13. En Buscar datos del último, escriba 5 y minutos.

  14. En Generar alerta cuando el número de resultados de la consulta, seleccione Es mayor que y 0.

  15. En Agrupación de eventos, seleccione Agrupar todos los eventos en una sola alerta.

  16. En Detener la ejecución de la consulta después de generar la alerta, seleccione Desactivado.

  17. Seleccione Siguiente: Configuración de incidentes (versión preliminar).

Captura de pantalla de las selecciones y opciones de programación de consultas.

  1. Vaya a la pestaña Revisar y crear para revisar la configuración de las reglas.

  2. Cuando aparezca el banner Validación superada , seleccione Crear.

    Captura de pantalla de la configuración seleccionada, el banner Validación pasada y la opción Crear.

Consulta la regla y los incidentes que genera. Busque la regla personalizada recién creada de tipo Programado en la tabla en la pestaña Reglas activas de la página principal

  1. Vaya a la pantalla Análisis .
  2. Seleccione la pestaña Reglas activas .
  3. En la tabla, en Programado, busque la regla.

Puede editar, habilitar, deshabilitar o eliminar la regla.

Captura de pantalla de las reglas activas con las opciones Habilitar, Deshabilitar, Eliminar y Editar.

Clasificar, investigar y remediar incidentes

Un incidente puede incluir varias alertas y es una agregación de pruebas relevantes para una investigación. En el nivel de incidente, puede establecer propiedades como Gravedad y Estado.

Más información: Investigación de incidentes con Microsoft Sentinel.

  1. Vaya a la página Incidentes .

  2. Seleccione un incidente.

  3. A la derecha, aparece información detallada del incidente, incluida la gravedad, las entidades, los eventos y el ID del incidente.

    Captura de pantalla que muestra información del incidente.

  4. En el panel Incidentes , elija Ver detalles completos.

  5. Revise las pestañas que resumen el incidente.

    Captura de pantalla de una lista de incidentes.

  6. Seleccione Evidencia>Eventos>Vínculo a Log Analytics.

  7. En los resultados, consulte el valor de identidad UserPrincipalName al intentar iniciar sesión.

    Captura de pantalla de los detalles del incidente.

Respuesta automatizada

Microsoft Sentinel tiene funciones de orquestación, automatización y respuesta de seguridad (SOAR). Adjunte acciones automatizadas, o un libro de estrategias, a las reglas de análisis.

Ver, ¿Qué es SOAR?

Notificación por correo electrónico de un incidente

Para esta tarea, use un cuaderno de estrategias del repositorio de GitHub de Microsoft Sentinel.

  1. Vaya a un cuaderno de estrategias configurado.
  2. Edite la regla.
  3. En la pestaña Respuesta automatizada , seleccione el cuaderno de estrategias.

Más información: Incidente-Correo electrónico-Notificación

Captura de pantalla de las opciones de respuesta automatizada para una regla.

Recursos

Para obtener más información sobre Microsoft Sentinel y Azure AD B2C, consulte:

Paso siguiente

Control de falsos positivos en Microsoft Sentinel