Operaciones de seguridad de Microsoft Entra para dispositivos
Los dispositivos no se usan normalmente como destino en ataques basados en identidades, pero se pueden usar para satisfacer y engañar los controles de seguridad, o para suplantar a los usuarios. Los dispositivos pueden tener una de las cuatro relaciones con Microsoft Entra ID:
Los dispositivos registrados y unidos se emiten como token de actualización principal (PRT), que se puede usar como artefacto de autenticación principal y, en algunos casos, como artefacto de autenticación multifactor. Los atacantes pueden intentar registrar sus propios dispositivos, usar PRT en dispositivos legítimos para acceder a datos empresariales, robar tokens basados en PRT de dispositivos de usuario legítimos o encontrar configuraciones incorrectas en controles basados en dispositivos en Microsoft Entra ID. Con dispositivos unidos a Microsoft Entra híbrido, los administradores inician y controlan el proceso de unión, lo que reduce los métodos de ataque disponibles.
Para más información sobre los métodos de integración de dispositivos, consulte Elección de los métodos de integración en el artículo Planeamiento de la implementación de dispositivos de Microsoft Entra.
Para reducir el riesgo de que los actores no válidos ataquen la infraestructura a través de dispositivos, supervise lo siguiente
Registro de dispositivos y unión a Microsoft Entra
Dispositivos no compatibles que acceden a aplicaciones
Recuperación de claves de BitLocker
Roles de administrador de dispositivos
Inicios de sesión en máquinas virtuales
Dónde mirar
Los archivos de registro que usa para la investigación y supervisión son:
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:
Microsoft Sentinel : permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).
Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.
Azure Monitor : permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubs integrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.
Microsoft Defender for Cloud Apps : permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.
Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.
Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen e identificar los efectos durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico.
En el resto de este artículo se describe lo que se recomienda supervisar y alertar, y se organiza por el tipo de amenaza. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.
Registros de dispositivos y combinaciones fuera de la directiva
Los dispositivos registrados en Microsoft Entra y unidos a Microsoft Entra poseen tokens de actualización principales (PRT), que son el equivalente de un único factor de autenticación. En ocasiones, estos dispositivos pueden contener notificaciones de autenticación sólida. Para más información sobre cuándo los PRT contienen notificaciones de autenticación segura, vea ¿Qué es un token de actualización principal? Para evitar que los actores no válidos se registren o se unan a dispositivos, es necesaria la autenticación multifactor (MFA) para registrar o unir dispositivos. A continuación, supervise los dispositivos registrados o unidos sin MFA. También tendrá que estar atento a los cambios en la configuración y las directivas de MFA, así como en las directivas de cumplimiento de dispositivos.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Registro de dispositivos o unión completados sin MFA | Media | Registros de inicio de sesión | Actividad: autenticación correcta en el servicio de registro de dispositivos. And No se requiere MFA |
Se alerta cuando: cualquier dispositivo se ha registrado o unido sin MFA Plantilla de Microsoft Sentinel Reglas sigma |
| Cambios en el botón de alternancia de MFA de registro de dispositivos en Microsoft Entra ID | Alto | Registro de auditoría | Actividad: establecimiento de directivas de registro de dispositivos | Busque: el botón de alternancia establecido en desactivado. No hay ninguna entrada de registro de auditoría. Programación de comprobaciones periódicas. Reglas sigma |
| Cambios en las directivas de acceso condicional que requieren un dispositivo compatible o unido a un dominio. | Alto | Registro de auditoría | Cambios en las directivas de acceso condicional |
Se alerta cuando: se realizan cambios a cualquier directiva que requiera unión a un dominio o compatibilidad, cambios en ubicaciones de confianza, cuentas o dispositivos agregados a excepciones de directiva de MFA. |
Puede crear una alerta que notifique a los administradores adecuados cuando un dispositivo se registre o se una sin MFA mediante Microsoft Sentinel.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
También puede usar Microsoft Intune para establecer y supervisar las directivas de cumplimiento de dispositivos.
Inicio de sesión de dispositivo no compatible
Es posible que no se pueda bloquear el acceso a todas las aplicaciones de nube y software como servicio con directivas de acceso condicional que requieran dispositivos compatibles.
La administración de dispositivos móviles (MDM) le ayuda a mantener los dispositivos Windows 10 compatibles. Con Windows versión 1809, lanzamos una línea base de seguridad de directivas. Microsoft Entra ID se puede integrar con MDM para exigir el cumplimiento de dispositivos con las directivas corporativas y puede notificar el estado de cumplimiento de un dispositivo.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Inicios de sesión por parte de dispositivos no compatibles | Alto | Registros de inicio de sesión | DeviceDetail.isCompliant == false | Si requiere el inicio de sesión desde dispositivos compatibles, se alerta cuando: se realiza cualquier inicio de sesión desde dispositivos no compatibles o cualquier acceso sin MFA o una ubicación de confianza. Si trabaja para requerir dispositivos, supervise los inicios de sesión sospechosos. |
| Inicios de sesión por parte de dispositivos desconocidos | Bajo | Registros de inicio de sesión | DeviceDetail está vacío, tiene autenticación de un solo factor o proviene de una ubicación que no es de confianza | Busque: cualquier acceso desde dispositivos no compatibles, cualquier acceso sin MFA o ubicación de confianza Plantilla de Microsoft Sentinel Reglas sigma |
Uso de LogAnalytics para consultar
Inicios de sesión por parte de dispositivos no compatibles
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Inicios de sesión por parte de dispositivos desconocidos
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Dispositivos obsoletos
Los dispositivos obsoletos incluyen dispositivos que no han iniciado sesión durante un período de tiempo especificado. Los dispositivos pueden quedar obsoletos cuando un usuario obtiene un nuevo dispositivo o pierde un dispositivo, o cuando un dispositivo unido a Microsoft Entra se borra o se vuelve a aprovisionar. Los dispositivos también pueden permanecer registrados o unidos cuando el usuario ya no está asociado al inquilino. Los dispositivos obsoletos deben quitarse para que no se puedan usar sus tokens de actualización principales (PRT).
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Fecha del último inicio de sesión | Bajo | Graph API | approximateLastSignInDateTime | Use Graph API o PowerShell para identificar y quitar dispositivos obsoletos. |
Recuperación de claves de BitLocker
Los atacantes que han comprometido el dispositivo de un usuario pueden recuperar las claves de BitLocker en Microsoft Entra ID. No es habitual que los usuarios recuperen claves y deben supervisarse e investigarse.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Recuperación de claves | Media | Registros de auditoría | OperationName == "Read BitLocker key" | Busque: recuperación de claves, otro comportamiento anómalo por parte de los usuarios que recuperan claves. Plantilla de Microsoft Sentinel Reglas sigma |
En LogAnalytics, cree una consulta como
AuditLogs
| where OperationName == "Read BitLocker key"
Roles de administrador de dispositivos
Los administradores globales y los administradores de dispositivos en la nube obtienen automáticamente derechos de administrador local en todos los dispositivos unidos a Microsoft Entra. Es importante supervisar quién tiene estos derechos para mantener su entorno seguro.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Usuarios agregados a roles de administrador global o de dispositivo | Alto | Registros de auditoría | Tipo de actividad = Agregar miembro a rol. | Busque: nuevos usuarios agregados a estos roles de Microsoft Entra, comportamientos anómalos posteriores por máquinas o usuarios. Plantilla de Microsoft Sentinel Reglas sigma |
Inicios de sesión que no son de Azure AD en máquinas virtuales
Los inicios de sesión en máquinas virtuales (VM) de Windows o LINUX deben supervisarse para los inicios de sesión de cuentas que no sean cuentas de Microsoft Entra.
inicio de sesión de Microsoft Entra para LINUX
El inicio de sesión de Microsoft Entra para LINUX permite a las organizaciones iniciar sesión en sus máquinas virtuales LINUX de Azure mediante cuentas de Microsoft Entra a través del protocolo de shell seguro (SSH).
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Inicio de sesión de una cuenta que no es de Azure AD, especialmente a través de SSH | Alto | Registros de autenticación local | Ubuntu: supervisar /var/log/auth.log para el uso de SSH RedHat: supervisar /var/log/sssd/ para el uso de SSH |
Busque: entradas en las que las cuentas que no son de Azure AD se conectan correctamente a las máquinas virtuales. Consulte el ejemplo siguiente. |
Ejemplo de Ubuntu:
9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: Versión: 1.0.015570001; usuario: localusertest01
9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: El usuario "localusertest01" no es un usuario de Microsoft Entra; devolviendo resultado vacío.
9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: Versión: 1.0.015570001; usuario: localusertest01
9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: El usuario "localusertest01" no es un usuario de Microsoft Entra; devolviendo resultado vacío.
9 de mayo 23:49:43 ubuntu1804 sshd[3909]: Aceptado públicamente para localusertest01 desde el puerto 192.168.0.15 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 de mayo 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesión abierta para el usuario localusertest01 (uid=0).
Puede establecer una directiva para los inicios de sesión de máquinas virtuales LINUX y detectar y marcar las máquinas virtuales Linux que tengan cuentas locales no aprobadas agregadas. Para más información, consulte Uso de Azure Policy para garantizar estándares y evaluar el cumplimiento.
Inicios de sesión de Microsoft Entra para Windows Server
El inicio de sesión de Microsoft Entra para Windows permite a su organización iniciar sesión en las máquinas virtuales Windows 2019+ de Azure mediante cuentas de Microsoft Entra a través del protocolo de escritorio remoto (RDP).
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Inicio de sesión de una cuenta que no es de Azure AD, especialmente mediante RDP | Alto | Registros de eventos de Windows Server | Inicio de sesión interactivo en máquina virtual Windows | Evento 528, tipo de inicio de sesión 10 (RemoteInteractive). Muestra cuándo un usuario inicia sesión a través de Terminal Services o Escritorio remoto. |
Pasos siguientes
Introducción a las operaciones de seguridad de Microsoft Entra
Operaciones de seguridad para cuentas de usuario
Operaciones de seguridad para cuentas de consumidor
Operaciones de seguridad para cuentas con privilegios
Operaciones de seguridad para Privileged Identity Management