Operaciones de seguridad para infraestructura

La infraestructura tiene muchos componentes donde pueden producirse vulnerabilidades si no están configurados correctamente. Como parte de la estrategia de supervisión y alertas para la infraestructura, supervise y alerte los eventos en las áreas siguientes:

  • Autenticación y autorización

  • Componentes de autenticación híbrida, incluidos los Servidores de federación

  • Directivas

  • Suscripciones

La supervisión y la alerta de los componentes de la infraestructura de autenticación son fundamentales. Cualquier riesgo individual puede dar lugar a un riesgo total del entorno en su conjunto. Muchas empresas que usan Azure AD funcionan en un entorno de autenticación híbrida. Los componentes locales y de la nube deben incluirse en su estrategia de supervisión y alerta. Tener un entorno de autenticación híbrida también introduce otro vector de ataque al entorno.

Se recomienda que todos los componentes se consideren recursos del plano de control o nivel 0, así como las cuentas que se usan para administrarlos. Consulte Protección de recursos con privilegios para obtener instrucciones sobre cómo diseñar e implementar el entorno. Esta guía incluye recomendaciones para cada uno de los componentes de autenticación híbrida que podrían usarse para un inquilino de Azure AD.

Un primer paso para poder detectar eventos inesperados y posibles ataques consiste en establecer una base de referencia. Para todos los componentes locales que se enumeran en este artículo, consulte Implementación de acceso con privilegios, que forma parte de la guía de Protección de recursos con privilegios.

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Azure AD y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Azure AD con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de administración de eventos e información de seguridad (SIEM).

  • Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.

  • Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con SIEM: los registros de Azure AD se pueden integrar con otras SIEMs como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

  • Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

En el resto de este artículo se explica lo que supervisar y sobre qué alertar. Está organizado por tipo de amenaza. Si hay soluciones creadas previamente específicas, encontrará vínculos a ellas después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Infraestructura de autenticación

En entornos híbridos que contienen recursos y cuentas tanto locales como basados en la nube, la infraestructura de Active Directory es una parte clave de la pila de autenticación. La pila también es objetivo de ataques, por lo que debe configurarse para mantener un entorno seguro y debe supervisarse correctamente. Los ejemplos de tipos de ataque actuales que se usan en la infraestructura de autenticación emplean técnicas de Difusión de contraseña y Solorigate. A continuación se incluyen vínculos a artículos recomendados:

A continuación se incluyen vínculos a artículos específicos que se centran en la supervisión y las alertas de la infraestructura de autenticación:

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar Nivel de riesgo Where Notas
Tendencias de bloqueo de extranet Alto Azure AD Connect Health Use la información de Supervisión de AD FS mediante Azure AD Connect Health para conocer herramientas y técnicas que ayudan a detectar tendencias de bloqueo de extranet.
Inicios de sesión con error Alto Portal de Connect Health Exporte o descargue el informe de IP de riesgo y siga las instrucciones de Informe de direcciones IP de riesgo (versión preliminar pública) para conocer los pasos siguientes.
Cumple con los requisitos de privacidad Bajo Azure AD Connect Health Configure Azure AD Conectar Health para deshabilitar las colecciones de datos y la supervisión según el artículo Privacidad del usuario y Azure AD Connect Health.
Posible ataque por fuerza bruta en LDAP Media Microsoft Defender for Identity Use el sensor para ayudar a detectar posibles ataques por fuerza bruta contra LDAP.
Reconocimiento de enumeración de cuentas Media Microsoft Defender for Identity Use el sensor para ayudar a realizar el reconocimiento de enumeración de cuentas.
Correlación general entre Azure AD y Azure AD FS Media Microsoft Defender for Identity Use funcionalidades para correlacionar las actividades entre los entornos de Azure AD y Azure AD FS.

Supervisión de la autenticación transferida

Con la autenticación transferida de Azure Active Directory (Azure AD), los usuarios inician sesión mediante la validación de sus contraseñas directamente en la instancia de Active Directory local.

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Errores de autenticación transferida de Azure AD Media Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80001: No es posible conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
Errores de autenticación transferida de Azure AD Media Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS8002: Se ha agotado el tiempo de espera al conectarse a Active Directory. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
Errores de autenticación transferida de Azure AD Media Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80004: El nombre de usuario transferido al agente no era válido. Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto.
Errores de autenticación transferida de Azure AD Media Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80005: La validación encontró una excepción WebException impredecible. Se trata de un error transitorio. Vuelva a intentarlo. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft.
Errores de autenticación transferida de Azure AD Media Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin AADSTS80007: Error al establecer comunicación con Active Directory. Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto.
Errores de autenticación transferida de Azure AD Alto API de la función LogonUserA de Win32 Eventos de inicio de sesión 4624(s): una cuenta ha iniciado sesión correctamente
—correlacionar con—
4625(F): No se pudo iniciar sesión en una cuenta.
Use con los nombres de usuario sospechosos en el controlador de dominio que autentica las solicitudes. Instrucciones en Función LogonUserA (winbase.h)
Errores de autenticación transferida de Azure AD Media Script de PowerShell del controlador de dominio Vea la consulta después de la tabla. Use la información de Conexión de Azure AD: solución de problemas de autenticación transferida para obtener instrucciones.

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Supervisión para la creación de nuevos inquilinos de Azure AD

Es posible que las organizaciones necesiten supervisar y alertar sobre la creación de nuevos inquilinos de Azure AD cuando las identidades de su inquilino organizativo inician la acción. La supervisión de este escenario proporciona visibilidad sobre cuántos inquilinos se crean y los usuarios finales pueden acceder a ellos.

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Creación de un nuevo inquilino de Azure AD mediante una identidad del inquilino. Media Registros de auditoría de Azure AD Categoría: administración de directorios

Actividad: crear empresa
Los destinos muestran el TenantID creado

Conector AppProxy

Azure AD y Application Proxy de Azure AD ofrecen a los usuarios remotos una experiencia de inicio de sesión único (SSO). Los usuarios se conectan de forma segura a las aplicaciones locales sin una red privada virtual (VPN) ni servidores de doble conexión ni reglas de firewall. Si el servidor del conector Application Proxy de Azure AD está en peligro, los atacantes podrían modificar la experiencia de SSO o cambiar el acceso a las aplicaciones publicadas.

Para configurar la supervisión de Application Proxy, consulte Solución de problemas y mensajes de error de Application Proxy. El archivo de datos que registra la información se puede encontrar en Registros de aplicaciones y servicios\Microsoft\AadApplicationProxy\Connector\Admin. Para obtener una guía de referencia completa de la actividad de auditoría, consulte Referencia sobre actividades de auditoría de Azure AD. Aspectos específicos que supervisar:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Errores de Kerberos Media Varias herramientas Media Guía de errores de autenticación Kerberos en Errores de Kerberos en Solución de problemas y mensajes de error de Application Proxy.
Problemas de seguridad de DC Alto Registros de auditoría de seguridad de DC Id. de evento 4742(S): Se cambió una cuenta de equipo
- y -
Marca: de confianza para delegación
O bien
Marca: de confianza para autenticarse para delegación
Investigue todo cambio de marca.
Ataques similares a pass-the-ticket Alto Siga las instrucciones en:
Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038)
Tutorial: Alertas de credenciales en peligro
Comprensión y uso de las rutas de desplazamiento lateral con Microsoft Defender for Identity
Reconocimiento de los perfiles de entidades

Configuración de la autenticación heredada

Para que la autenticación multifactor (MFA) sea efectiva, también es necesario bloquear la autenticación heredada. Luego tiene que supervisar el entorno y alertar sobre cualquier uso de la autenticación heredada. Los protocolos de autenticación heredados, como POP, SMTP, IMAP y MAPI, no pueden aplicar MFA. Esto convierte estos protocolos en los puntos de entrada preferidos de los atacantes. Para más información sobre las herramientas que puede usar para bloquear la autenticación heredada, consulte Nuevas herramientas para bloquear la autenticación heredada en su organización.

La autenticación heredada se captura en el registro de inicios de sesión de Azure AD como parte de los detalles del evento. Puede usar el libro de Azure Monitor para ayudar a detectar el uso de la autenticación heredada. Para más información, consulte Inicios de sesión que utilizan una autenticación heredada, que forma parte de Uso de los libros de Azure Monitor en informes de Azure Active Directory. También puede usar el libro Protocolos no seguros para Microsoft Sentinel. Para obtener más información, vea Guía de implementación del libro de protocolos no seguros de Microsoft Sentinel. Entre las actividades específicas que se deben supervisar se incluyen:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Autenticaciones heredadas Alto Registro de inicios de sesión de Azure AD ClientApp: POP
ClientApp: IMAP
ClientApp: MAPI
ClientApp: SMTP
ClientApp: ActiveSync en EXO
Otros clientes = SharePoint y EWS
En entornos de dominio federados, las autenticaciones con errores no se registran, por lo que no aparecerán en el registro.

Azure AD Connect

Azure AD Conectar brinda una ubicación centralizada que permite la sincronización de cuentas y atributos entre el entorno local y el entorno de Azure AD basado en la nube. Azure AD Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Ofrece las siguientes características:

  • Sincronización de hash de contraseña: Un método de inicio de sesión que sincroniza el hash de la contraseña de un usuario de AD local con Azure AD.

  • Sincronización: responsable de la creación de usuarios, grupos y otros objetos. A continuación, debe asegurarse de que la información de identidad de los usuarios y los grupos de su entorno local coincide con la de la nube. Esta sincronización también incluye los códigos hash de contraseña.

  • Seguimiento de estado Azure AD Connect Health puede proporcionar una sólida supervisión y una ubicación central en Azure Portal donde se puede ver esta actividad.

La sincronización de la identidad entre el entorno local y el entorno en la nube presenta una nueva superficie de ataque para el entorno local y el basado en la nube. Es recomendable que:

  • Los servidores de Azure AD Connect principal y de almacenamiento provisional se traten como sistemas de nivel 0 en el plano de control.

  • Siga un conjunto estándar de directivas que rigen cada tipo de cuenta y su uso en su entorno.

  • Instale Azure AD Connect y Connect Health. Ofrecen principalmente datos operativos para el entorno.

El registro de las operaciones de Azure AD Connect se produce de maneras diferentes:

  • El asistente de Azure AD Connect registra los datos en \ProgramData\AADConnect. Cada vez que se invoca al asistente, se crea un archivo de registro de seguimiento con marca de tiempo. El registro de seguimiento se puede importar en Sentinel u otras herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para su análisis.

  • Algunas operaciones inician un script de PowerShell para capturar información de registro. Para recopilar estos datos, debe asegurarse de que el registro de bloques de script esté habilitado.

Cambios en la configuración de supervisión

Azure AD usa el motor de datos de Microsoft SQL Server o SQL para almacenar información de configuración de Azure AD Connect. Por lo tanto, la supervisión y la auditoría de los archivos de registro asociados a la configuración deben incluirse en la estrategia de supervisión y auditoría. En concreto, incluya las siguientes tablas en la estrategia de supervisión y alertas.

Elementos para supervisar Where Notas
mms_management_agent Registros de auditoría del servicio SQL Consulte Registros de SQL Server Audit
mms_partition Registros de auditoría del servicio SQL Consulte Registros de SQL Server Audit
mms_run_profile Registros de auditoría del servicio SQL Consulte Registros de SQL Server Audit
mms_server_configuration Registros de auditoría del servicio SQL Consulte Registros de SQL Server Audit
mms_synchronization_rule Registros de auditoría del servicio SQL Consulte Registros de SQL Server Audit

Para obtener información sobre qué y cómo supervisar la información de configuración, consulte:

Supervisión y solución de problemas de sincronización

Una función de Azure AD Connect es sincronizar la sincronización de hash entre la contraseña local de un usuario y Azure AD. Si las contraseñas no se sincronizan según lo esperado, la sincronización puede afectar a la totalidad o parte de los usuarios. Use lo siguiente para ayudar a comprobar el funcionamiento correcto o para solucionar problemas:

Recursos importantes para la supervisión

Elementos para supervisar Recursos
Validación de la sincronización de hash Consulte, Solución de problemas de sincronización de hash de contraseña con la sincronización de Azure AD Connect.
Modificaciones en los espacios del conector Consulte Solución de problemas de objetos y atributos de Azure AD Connect.
Modificaciones en las reglas que configuró Supervisar los cambios en: filtrado, dominio y unidad organizativa, atributo y cambios basados en grupos
Cambios de SQL y MSDE Cambios en los parámetros de registro y adición de funciones personalizadas.

Supervise lo siguiente:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Cambios de Scheduler Alto PowerShell Set-ADSyncScheduler Buscar modificaciones en la programación
Cambios en las tareas programadas Alto Registros de auditoría de Azure AD Actividad = 4699(S): se eliminó una tarea programada
O bien
Actividad = 4701(s): se deshabilitó una tarea programada
O bien
Actividad = 4701(s): se actualizó una tarea programada
Supervisar todo

Supervisión del inicio de sesión único de conexión directa

El inicio de sesión único de conexión directa (SSO de conexión directa) de Azure Active Directory (Azure AD) permite iniciar sesión automáticamente a los usuarios en equipos de escritorio corporativos conectados a la red de la empresa. El inicio de sesión único de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones basadas en la nube sin necesidad de usar otros componentes locales. El inicio de sesión único usa las funcionalidades de autenticación transferida y sincronización de hash de contraseña proporcionadas por Azure AD Connect.

La supervisión de la actividad de inicio de sesión único y de Kerberos puede ayudarle a detectar patrones generales de ataque de robo de credenciales. Use la siguiente información para la supervisión:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Errores asociados a errores de validación de inicio de sesión único y Kerberos Media Registro de inicios de sesión de Azure AD Lista de códigos de error de inicio de sesión único en Inicio de sesión único.
Consulta sobre solución de problemas Media PowerShell Consulte Query en la tabla siguiente. Compruebe cada bosque con inicio de sesión único habilitado. Compruebe cada bosque con inicio de sesión único habilitado.
Eventos relacionados con Kerberos Alto Supervisión de Microsoft Defender for Identity Revise la guía disponible en Rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity.
<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Directivas de protección con contraseña

Si implementa Protección con contraseña de Azure AD, la supervisión y la notificación son tareas fundamentales. En los vínculos siguientes se ofrece información detallada para ayudarle a conocer las distintas técnicas de supervisión, además de explicar dónde registra cada servicio la información y cómo envía notificaciones sobre el uso de la protección con contraseña de Azure AD.

Los servicios del agente de controlador de dominio (DC) y de proxy registran mensajes en el registro de eventos. Todos los cmdlets de PowerShell que se describe a continuación solo están disponibles en el servidor proxy (consulte el módulo de PowerShell AzureADPasswordProtection). El software del agente de controlador de dominio no instala ningún módulo de PowerShell.

Puede encontrar información detallada para planear e implementar la protección con contraseña local en Planeación e implementación de la protección con contraseña de Azure Active Directory local. Para detalles de supervisión, consulte Supervisión de protección con contraseña de Azure AD local. En cada controlador de dominio, el software del servicio del agente de DC escribe los resultados de cada operación de validación de contraseña individual (y otros estados) en el registro de eventos local siguiente:

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Admin

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Operational

  • \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Trace

El registro de administración del agente de controlador de dominio es la principal fuente de información de cómo se comporta el software. De manera predeterminada, el registro de seguimiento está desactivado y debe habilitarse antes de que se registren los datos. Para solucionar los problemas de proxy de aplicación y los mensajes de error, puede encontrar información detallada en Solución de problemas Application Proxy de Azure Active Directory. La información de estos eventos se registra en:

  • Registros de aplicaciones y servicios\Microsoft\AadApplicationProxy\Connector\Admin

  • Registro de auditoría de Azure AD, categoría Application Proxy

La referencia completa para las actividades de auditoría de Azure AD está disponible en Referencia sobre actividades de auditoría Azure Active Directory (Azure AD).

Acceso condicional

En Azure AD, el acceso a los recursos se puede proteger mediante la configuración de directivas de acceso condicional. Como administrador de TI, quiere tener la certeza de que las directivas de acceso condicional funcionan según lo previsto para garantizar que los recursos están protegidos correctamente. La supervisión y las alertas sobre los cambios en el servicio de acceso condicional garantiza que las directivas definidas por la organización para el acceso a los datos se aplican correctamente. Azure AD se registra cuando se realizan cambios en el acceso condicional y también proporciona libros para asegurarse de que las directivas proporcionan la cobertura esperada.

Vínculos de libro

Supervise los cambios en las directivas de acceso condicional mediante la siguiente información:

Elementos para supervisar Nivel de riesgo Where Filtro o subfiltro Notas
Nueva directiva de acceso condicional creada por actores no aprobados Media Registros de auditoría de Azure AD Actividad: Agregar directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?
Plantilla de Microsoft Sentinel

Reglas sigma
Directiva de acceso condicional eliminada por actores no aprobados Media Registros de auditoría de Azure AD Actividad: Eliminar directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?
Plantilla de Microsoft Sentinel

Reglas sigma
Directiva de acceso condicional actualizada por actores no aprobados Media Registros de auditoría de Azure AD Actividad: Actualizar directiva de acceso condicional

Categoría: Directiva

Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional?

Revise las propiedades modificadas y compare el valor "old" frente a "new"
Plantilla de Microsoft Sentinel

Reglas sigma
Eliminación de un usuario de un grupo usado para definir el ámbito de las directivas de acceso condicional críticas Media Registros de auditoría de Azure AD Actividad: Quitar miembro de grupo

Categoría: GroupManagement

Destino: Nombre principal de usuario
Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas.

"Destino" es el usuario que se ha quitado.

Reglas sigma
La adición de un usuario a un grupo usado para definir el ámbito de las directivas de acceso condicional críticas Bajo Registros de auditoría de Azure AD Actividad: Agregar miembro a grupo

Categoría: GroupManagement

Destino: Nombre principal de usuario
Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas.

"Destino" es el usuario que se ha agregado.

Reglas sigma

Pasos siguientes

Información general de operaciones de seguridad de Azure AD

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos