Guía de operaciones de seguridad de Azure Active Directory para aplicaciones

Las aplicaciones proporcionan una superficie de ataque para las infracciones de seguridad y deben supervisarse. Aunque no son objetivos de ataque tan frecuentes como las cuentas de usuario, pueden producirse infracciones. Dado que las aplicaciones a menudo se ejecutan sin intervención humana, los ataques pueden ser más difíciles de detectar.

En este artículo se proporcionan instrucciones para supervisar y alertar sobre eventos de aplicaciones. Se actualizan periódicamente para ayudarle a garantizar lo siguiente:

  • Impedir que las aplicaciones malintencionadas obtengan acceso injustificado a los datos

  • Impedir que las aplicaciones se vean afectadas por personas que actúan con mala intención

  • Recopilar información que le permita compilar y configurar nuevas aplicaciones de forma más segura

Si no está familiarizado con cómo funcionan las aplicaciones en Azure Active Directory (Azure AD), consulte Aplicaciones y entidades de servicio en Azure AD.

Nota

Si aún no ha revisado la información general sobre las operaciones de seguridad de Azure Active Directory, puede hacerlo ahora si lo desea.

Qué se debe tener presente

A medida que supervisa los registros de aplicaciones en busca de incidentes de seguridad, revise la lista que aparece a continuación para ayudar a diferenciar la actividad normal de la malintencionada. Los siguientes eventos pueden indicar problemas de seguridad. Cada uno se trata en el artículo.

  • Cualquier cambio que se produzca fuera de los procesos y programaciones empresariales normales

  • Cambios en las credenciales de las aplicaciones

  • Permisos de aplicación

    • Entidad de servicio asignada a un rol de control de acceso basado en roles (RBAC) de Azure o a un rol de Azure AD

    • Aplicación con permisos con privilegios elevados

    • Cambios en Azure Key Vault

    • Usuario final que otorga consentimiento a las aplicaciones

    • Se detuvo el consentimiento del usuario final en función del nivel de riesgo

  • Cambios de configuración de las aplicaciones

    • Identificador de recursos universal (URI) cambiado o no estándar

    • Cambios en los propietarios de las aplicaciones

    • Direcciones URL de cierre de sesión modificadas

Dónde buscar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Azure AD y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Azure AD con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial con funcionalidades de administración de eventos e información de seguridad (SIEM).

  • Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.

  • Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con una instancia de SIEM- Los registros de Azure AD se pueden integrar con otras instancias de SIEM, como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

  • Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: detecta riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

Gran parte de lo que supervisa y alerta son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Use el libro para ver un resumen e identificar los efectos durante un periodo de tiempo. También puede usar el libro para investigar los inicios de sesión de un usuario específico.

En el resto de este artículo, se describe lo que se recomienda supervisar y alertar sobre ello. El artículo está organizado por tipo de amenaza. Cuando hay soluciones previamente creadas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Credenciales de aplicaciones

Muchas aplicaciones usan credenciales para autenticarse en Azure AD. Las credenciales adicionales agregadas fuera de los procesos esperados podrían ser un actor malintencionado que use esas credenciales. Se recomienda encarecidamente usar certificados X509 emitidos por entidades de confianza o administradas en lugar de usar secretos de cliente. Sin embargo, si necesita usar secretos de cliente, siga las prácticas de protección adecuadas para mantener seguras las aplicaciones. Tenga en cuenta que las actualizaciones de las aplicaciones y la entidad de servicio se registran como dos entradas en el registro de auditoría.

  • Supervise las aplicaciones para identificar aquellas con tiempos de expiración de credenciales largos.

  • Reemplace las credenciales de larga duración por credenciales que tengan una duración corta. Asegúrese de que las credenciales no se confirman en los repositorios de código y se almacenan de forma segura.

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Se han agregado credenciales a las aplicaciones existentes. Alto Registros de auditoría de Azure AD Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización de certificados de aplicaciones y administración de secretos
- y -
Actividad: Actualización de entidad de servicio y aplicación
Alerta cuando las credenciales: se agregan fuera del horario comercial o de los flujos de trabajo normales; son de tipos que no se usan en el entorno; o se agregan a un flujo que no pertenece al protocolo SAML que admite la entidad de servicio.
Plantilla de Microsoft Sentinel

Reglas sigma
Sean credenciales que tengan una duración mayor de la que permiten las directivas. Media Microsoft Graph Estado y fecha de finalización de las credenciales de clave de aplicación
- y -
Credenciales de contraseña de aplicación
Puede usar la API de Microsoft Graph para buscar la fecha de inicio y finalización de las credenciales y evaluar las que tienen una duración mayor de la permitida. Consulte el script de PowerShell que sigue a esta tabla.

Están disponibles las siguientes alertas y supervisión creadas previamente:

Permisos de aplicación

Al igual que una cuenta de administrador, a las aplicaciones se les pueden asignar roles con privilegios. A las aplicaciones se les pueden asignar roles de Azure AD, como Administrador global, o roles Azure RBAC, como Propietario de la suscripción. Dado que pueden ejecutarse sin un usuario presente y como un servicio en segundo plano, supervise concienzudamente cada vez que se conceda a una aplicación un rol o permiso con privilegios elevados.

Entidad de servicio asignada a un rol

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Aplicación asignada a un rol Azure RBAC o de Azure AD De alto a medio Registros de auditoría de Azure AD Tipo: entidad de servicio
Actividad: "Agregar miembro al rol" o "Agregar miembro apto al rol"
O bien
"Agregar miembro con ámbito a rol".
En el caso de roles con privilegios elevados, como el administrador global, el riesgo es alto. Para los roles con menos privilegios, el riesgo es medio. Se envía una alerta cada vez que se asigna una aplicación a un rol de Azure o de Azure AD fuera de los procedimientos normales de configuración o administración de cambios.
Plantilla de Microsoft Sentinel

Reglas sigma

Aplicación con permisos con privilegios elevados

Las aplicaciones deben seguir el principio de privilegios mínimos. Investigue los permisos de aplicación para asegurarse de que son realmente necesarios. Puede crear un informe de concesión de consentimiento de aplicaciones para ayudar a identificar las aplicaciones existentes y resaltar los permisos con privilegios.

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Aplicación a la que se le han concedido permiso con privilegios elevados, como permisos con " .All" (Directory.ReadWrite.All) o permisos de amplio alcance (Mail. ) Alto Registros de auditoría de Azure AD "Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph)
- y -
AppRole.Value identifica un permiso de aplicación con privilegios elevados (rol de aplicación).
Las aplicaciones concedieron permisos amplios, como " .All” (Directory.ReadWrite.All) o permisos de amplio alcance (Mail. )
Plantilla de Microsoft Sentinel

Reglas sigma
Administrador que concede permisos de aplicación (roles de aplicación) o permisos delegados con privilegios elevados Alto Portal de Microsoft 365 "Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph)
"Agregar concesión de permisos delegados"
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph)
- y -
DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados.
Se envía una alerta cuando un administrador global, un administrador de aplicaciones o un administrador de aplicaciones en la nube da su consentimiento a una aplicación. Analice especialmente consentimientos fuera de la actividad normal y los procedimientos de cambio.
Plantilla de Microsoft Sentinel
Plantilla de Microsoft Sentinel
Plantilla de Microsoft Sentinel

Reglas sigma
A la aplicación se le conceden permisos para Microsoft Graph, Exchange, SharePoint o Azure AD Alto Registros de auditoría de Azure AD "Agregar concesión de permisos delegados"
O bien
"Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph, Exchange Online, entre otros)
Se envía una alerta como en la fila anterior.
Plantilla de Microsoft Sentinel

Reglas sigma
Se conceden permisos de aplicación (roles de aplicación) para otras API Media Registros de auditoría de Azure AD "Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
Los destinos identifican cualquier otra API.
Se envía una alerta como en la fila anterior.
Reglas sigma
Los permisos delegados con privilegios elevados se conceden en nombre de todos los usuarios. Alto Registros de auditoría de Azure AD "Agregar concesión de permisos delegados", donde los destinos identifican una API con datos confidenciales (como Microsoft Graph).
DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados.
- y -
DelegatedPermissionGrant.ConsentType es "AllPrincipals".
Se envía una alerta como en la fila anterior.
Plantilla de Microsoft Sentinel
Plantilla de Microsoft Sentinel
Plantilla de Microsoft Sentinel

Reglas sigma

Para obtener más información sobre la supervisión de permisos de aplicación, consulte este tutorial: Investigación y corrección de aplicaciones de OAuth de riesgo.

Azure Key Vault

Use Azure Key Vault para almacenar los secretos del inquilino. Se recomienda prestar especial atención a los cambios en la configuración y las actividades de Key Vault.

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Cómo y cuándo se accede a los almacenes de claves y quién lo hace Media Registros de Azure Key Vault Tipo de recurso: Instancias de Key Vault Busque: cualquier acceso a Key Vault fuera de los procesos y horas normales, cualquier cambio en Key Vault ACL.
Plantilla de Microsoft Sentinel

Reglas sigma

Después de configurar Azure Key Vault, habilite el registro. Consulte cómo y cuándo acceden a sus Key Vaults y configure alertas en Key Vault par notificar a los usuarios asignados o a las listas de distribución por correo electrónico, teléfono, mensaje de texto o medianteEvent Grid si el estado se ve afectado. Además, la configuración de la supervisión con la información detallada de Key Vault le proporcionará una instantánea de las solicitudes, el rendimiento, los fallos y la latencia de Key Vault. Log Analytics también tiene algunas consultas de ejemplo para Azure Key Vault a las que se puede acceder después de seleccionar el Key Vault y, a continuación, en "Supervisión", seleccionar "Registros".

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Consentimiento del usuario final a la aplicación Bajo Registros de auditoría de Azure AD Actividad: Consentimiento a la aplicación / ConsentContext.IsAdminConsent = false Busque: cuentas de alto perfil o con privilegios elevados, aplicaciones que solicitan permisos de alto riesgo, aplicaciones con nombres sospechosos, por ejemplo genérico, mal escrito, etc.
Plantilla de Microsoft Sentinel

Reglas sigma

El acto de dar su consentimiento a una aplicación no es en sí mismo malintencionado. Sin embargo, investigue las nuevas concesiones de consentimiento del usuario final en busca de aplicaciones sospechosas. Puede restringir las operaciones de consentimiento del usuario.

Para obtener más información sobre las especificaciones de consentimiento, vea los recursos siguientes:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
El consentimiento del usuario final se detuvo debido a un consentimiento basado en riesgos Media Registros de auditoría de Azure AD Directorio principal/ApplicationManagement/Consentimiento a la aplicación
Motivo del estado de error: Microsoft.online.Security.userConsent
BlockedForRiskyAppsExceptions
Supervise y analice cada vez que se detenga el consentimiento debido al riesgo. Busque: cuentas de alto perfil o con privilegios elevados, aplicaciones que solicitan permisos de alto riesgo, aplicaciones con nombres sospechosos, por ejemplo genérico, mal escrito, etc.
Plantilla de Microsoft Sentinel

Reglas sigma

Flujos de autenticación de aplicaciones

Hay varios flujos definidos en el protocolo OAuth 2.0. El flujo recomendado para una aplicación depende del tipo de aplicación que se está compilando. En algunos casos, hay una selección de flujos disponibles para la aplicación. En este caso, se recomiendan algunos flujos de autenticación sobre otros. En concreto, evite las credenciales de contraseña del propietario del recurso (ROPC) porque requieren que el usuario exponga sus credenciales de contraseña actuales a la aplicación. A continuación, la aplicación usa esas credenciales para autenticar al usuario en el proveedor de identidades. La mayoría de las aplicaciones deben usar el flujo de código de autenticación o el flujo de código de autenticación con Proof Key for Code Exchange (PKCE), ya que se recomienda encarecidamente este flujo.

El único escenario en el que se sugiere ROPC es para pruebas automatizadas de aplicaciones. Consulte Ejecución de pruebas de integración automatizadas para obtener más información.

El flujo de código de dispositivo es otro flujo de protocolo de OAuth 2.0 específicamente para dispositivos restringidos de entrada y no se usa en todos los entornos. Cuando el flujo de código del dispositivo aparece en el entorno y no se usa en un escenario de dispositivo restringido de entrada. Se garantiza más investigación para una aplicación mal configurada o potencialmente algo malintencionado.

Supervise la autenticación de aplicaciones mediante la siguiente formación:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Aplicaciones que usan el flujo de autenticación ROPC Media Registro de inicios de sesión de Azure AD Estado: correcto

Protocolo de autenticación: ROPC
El alto nivel de confianza se coloca en esta aplicación, ya que las credenciales se pueden almacenar en caché o almacenarse. Si es posible, mueva a un flujo de autenticación más seguro. Esto solo se debería usar en las pruebas automatizadas de las aplicaciones, si es que se hace. Para más información, consulte Plataforma de identidad de Microsoft y credenciales de contraseña de propietario de recursos de OAuth 2.0

Reglas sigma
Aplicaciones que usan el flujo de código del dispositivo Baja a media Registro de inicios de sesión de Azure AD Estado: correcto

Protocolo de autenticación: código de dispositivo
Los flujos de código de dispositivo se usan para dispositivos restringidos de entrada que pueden no estar presentes en todos los entornos. Si aparecen flujos de código de dispositivo correctos, sin necesidad de ellos, investigue la validez. Para más información, consulte Flujo de concesión de autorización de dispositivo de OAuth 2.0 y la Plataforma de identidad de Microsoft.

Reglas sigma

Cambios de configuración de las aplicaciones

Supervisión de cambios en la configuración de la aplicación. En concreto, la configuración cambia al identificador uniforme de recursos (URI), la propiedad y la dirección URL de cierre de sesión.

Cambios de URI y URI de redirección pendientes

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
URI pendiente Alto Registros de Azure AD y registro de aplicaciones Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización de aplicación
Éxito: nombre de propiedad AppAddress
Busque URI pendientes, por ejemplo, que apunten a un nombre de dominio que ya no existe o a uno que no posee explícitamente.
Plantilla de Microsoft Sentinel

Vínculo al repositorio Sigma
Cambios de configuración de URI de redirección Alto Registros de Azure AD Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización de aplicación
Éxito: nombre de propiedad AppAddress
Busque URI que no usen HTTPS*, URI con caracteres comodín al final o el dominio de la dirección URL, URI que NO sean exclusivos de la aplicación, URI que apunten a un dominio que no controle.
Plantilla de Microsoft Sentinel

Reglas sigma

Se envía una alerta cada vez que se detecten estos cambios.

URI de AppID agregado, modificado o quitado

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Cambios en el URI de AppID Alto Registros de Azure AD Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización
Application
Actividad: Actualización de la entidad de servicio
Busque las modificaciones del URI de AppID, como agregar, modificar o quitar el URI.
Plantilla de Microsoft Sentinel

Reglas sigma

Se envía una alerta cada vez que se detecten estos cambios fuera de los procedimientos de administración de cambios aprobados.

Nuevo propietario

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Cambios en la propiedad de las aplicaciones Media Registros de Azure AD Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Incorporación de un propietario a una aplicación
Busque cualquier instancia de un usuario que se agrega como propietario de la aplicación fuera de las actividades normales de administración de cambios.
Plantilla de Microsoft Sentinel

Reglas sigma

URL de cierre de sesión modificada o quitada

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Cambios en la dirección URL de cierre de sesión Bajo Registros de Azure AD Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización de aplicación
- y -
Actividad: Actualización de la entidad de servicio
Busque cualquier modificación en una dirección URL de cierre de sesión. Las entradas en blanco o las entradas en ubicaciones inexistentes impedirían que un usuario terminara una sesión.
Plantilla de Microsoft Sentinel
Reglas sigma

Recursos

Pasos siguientes

Información general de operaciones de seguridad de Azure AD

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura