Guía de operaciones de seguridad de Azure Active Directory

Microsoft tiene un enfoque exitoso y probado para la seguridad de Confianza cero mediante principios de Defensa a fondo que usan la identidad como un plano de control. Las organizaciones siguen abrazando un mundo de cargas de trabajo híbridas para la escala, los ahorros de costos y la seguridad. Azure Active Directory (Azure AD) juega un papel fundamental en la estrategia de administración de identidad. Recientemente, las noticias sobre el compromiso de la identidad y la seguridad han hecho que los equipos de TI empresariales consideren cada vez más su postura de seguridad de la identidad como una medida del éxito de la seguridad defensiva.

Cada vez más, las organizaciones deben adoptar una combinación de aplicaciones locales y en la nube, a las que los usuarios acceden con cuentas locales y de solo nube. La administración de usuarios, aplicaciones y dispositivos tanto en el ámbito local como en la nube plantea escenarios complicados.

Identidad híbrida

Azure Active Directory crea una identidad de usuario común para la autenticación y autorización en todos los recursos, independientemente de la ubicación. A esto lo llamamos identidad híbrida.

Para lograr la identidad híbrida con Azure AD, se puede usar uno de tres métodos de autenticación, en función de los escenarios. Los tres métodos son:

A medida que audite las operaciones de seguridad actuales o establezca operaciones de seguridad para su entorno de Azure, es recomendable que:

  • Lea partes específicas de la guía de seguridad de Microsoft para establecer una línea de base de conocimiento sobre la protección del entorno de Azure híbrido o basado en la nube.
  • Audite su estrategia de cuenta y contraseña y los métodos de autenticación para ayudar a disuadir a los vectores de ataque más comunes.
  • Cree una estrategia de supervisión continua y alertas sobre actividades que puedan indicar una amenaza de seguridad.

Público

La guía de operaciones de seguridad de Azure AD está pensada para equipos empresariales de operaciones de seguridad e identidades de TI y proveedores de servicios administrados que necesitan contrarrestrar las amenazas a través de una mejor configuración de seguridad de identidades y perfiles de supervisión. Esta guía es especialmente pertinente para los administradores de TI y los arquitectos de identidades que aconsejan a los equipos de pruebas de penetración y defensivos del centro de operaciones de seguridad (SOC) mejorar y mantener su posición de seguridad de identidad.

Ámbito

En esta introducción se proporcionan las recomendaciones de estrategia y auditoría de contraseñas y lecturas previas sugeridas. En este artículo también se proporciona información general sobre las herramientas disponibles para entornos híbridos de Azure y entornos de Azure totalmente basados en la nube. Por último, proporcionamos una lista de orígenes de datos que puede usar para supervisar y alertar, así como para configurar su entorno y estrategia de Administración de eventos e información de seguridad (SIEM). En el resto de las instrucciones se presentan estrategias de supervisión y alertas en las áreas siguientes:

  • Cuentas de usuario. Guía específica para cuentas de usuario sin privilegios ni privilegios administrativos, incluida la creación y el uso anómalos de cuentas e inicios de sesión inusuales.

  • Cuentas con privilegios. Guía específica para cuentas de usuario con privilegios que tienen permisos elevados para realizar tareas administrativas. Las tareas incluyen asignaciones de roles de Azure AD, asignaciones de roles de recursos de Azure y administración de acceso para recursos y suscripciones de Azure.

  • Privileged Identity Management (PIM). Guía específica para usar PIM para administrar, controlar y supervisar el acceso a los recursos.

  • Aplicaciones. Guía específica sobre las cuentas que se usan para proporcionar autenticación a las aplicaciones.

  • Dispositivos. Guía específica para la supervisión y las alertas de dispositivos registrados o unidos fuera de las directivas, uso no compatible, administración de roles de administración de dispositivos e inicios de sesión en máquinas virtuales.

  • Infraestructura. Guía específica para la supervisión y las alertas sobre amenazas de los entornos híbridos y basados exclusivamente en la nube.

Contenido de referencia importante

Microsoft tiene muchos productos y servicios que le permiten personalizar su entorno de TI para adaptarlo a sus necesidades. Se recomienda revisar la guía siguiente correspondiente al entorno operativo:

Orígenes de datos

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal puede ver los registros de auditoría de Azure AD. Descargue los registros como archivos de valores separados por comas (CSV) o de notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Azure AD con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de administración de eventos e información de seguridad (SIEM).

  • Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.

  • Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con una solución de SIEM. Los registros de Azure AD se pueden integrar con otras soluciones de SIEM, como Splunk, ArcSight, QRadar y Sumo Logic, mediante la integración de Azure Event Hubs. Para más información, vea Transmisión de registros de Azure Active Directory a un centro de eventos de Azure.

  • Microsoft Defender para aplicaciones en la nube: le permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o más directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen de impacto e identificar el impacto durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico. Para más información, vea Información detallada e informes del acceso condicional.

En el resto de este artículo se explica lo que supervisar y sobre qué alertar. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

  • Identity Protection genera tres informes clave que se pueden usar para ayudar en la investigación:

  • Usuarios de riesgo contiene información sobre qué usuarios están en peligro, detalles sobre detecciones, historial de todos los inicios de sesión de riesgo e historial de riesgos.

  • Inicios de sesión de riesgo contiene información en torno a la circunstancia de un inicio de sesión que puede indicar circunstancias sospechosas. Para más información sobre la investigación de la información de este informe, vea Instrucciones: Investigación de riesgos.

  • Detecciones de riesgo contiene información sobre las señales de riesgo detectadas por Azure AD Identity Protection que informa sobre el inicio de sesión y el riesgo del usuario. Para obtener más información, consulte la guía de operaciones de seguridad de Azure AD para cuentas de usuario.

Para más información, vea ¿Qué es Identity Protection?

Orígenes de datos para la supervisión de controladores de dominio

Para obtener los mejores resultados, se recomienda supervisar los controladores de dominio mediante Microsoft Defender for Identity. Este enfoque facilita las mejores capacidades de detección y automatización. Siga la guía de estos recursos:

Si no tiene previsto usar Microsoft Defender for Identity, supervise los controladores de dominio mediante uno de estos métodos:

Componentes de la autenticación híbrida

Como parte de un entorno híbrido de Azure, los siguientes elementos se deben tomar como referencia e incluirse en la estrategia de supervisión y alertas.

Componentes de la autenticación basada en la nube

Como parte de un entorno basado en la nube de Azure, los siguientes elementos se deben tomar como referencia e incluirse en la estrategia de supervisión y alertas.

  • Application Proxy de Azure AD: este servicio en la nube proporciona acceso remoto seguro a aplicaciones web locales. Para más información, consulte Acceso remoto a aplicaciones locales mediante Azure AD Application Proxy.

  • Azure AD Connect: servicios usados para una solución de Azure AD Connect. Para más información, consulte ¿Qué es Azure AD Connect?.

  • Azure AD Connect Health: Service Health proporciona un panel personalizable que realiza un seguimiento del estado de los servicios de Azure en las regiones donde los use. Para más información, consulte Azure AD Connect Health.

  • Autenticación multifactor de Azure MFA: la autenticación multifactor de Azure AD requiere que un usuario proporcione más de una forma de prueba para la autenticación. Este método puede proporcionar un primer paso proactivo para proteger el entorno. Para más información, vea Azure AD Multi-Factor Authentication.

  • Grupos dinámicos: la configuración dinámica de pertenencia a grupos de seguridad para administradores de Azure AD puede establecer reglas para rellenar los grupos creados en Azure AD en función de atributos de usuario. Para más información, consulte Grupos dinámicos y colaboración B2B de Azure Active Directory.

  • Acceso condicional: el acceso condicional es la herramienta que usa Azure Active Directory para reunir las señales, tomar decisiones y aplicar las directivas de la organización. El acceso condicional está en el centro del nuevo plano de control basado en identidades. Para más información, consulte ¿Qué es el acceso condicional?.

  • Protección de identidad: herramienta que permite a las organizaciones automatizar la detección y corrección de riesgos basados en identidades, investigar riesgos mediante datos del portal y exportar datos de detección de riesgos a su SIEM. Para más información, vea ¿Qué es Identity Protection?

  • Licencias basadas en grupos: las licencias se pueden asignar a grupos en lugar de directamente a los usuarios. Azure AD almacena información sobre los estados de asignación de licencias para los usuarios.

  • Servicio de aprovisionamiento: el aprovisionamiento automático hace referencia a la creación de identidades y roles de usuario en las aplicaciones en la nube a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian. Para más información, consulte Funcionamiento del aprovisionamiento de aplicaciones en Azure Active Directory.

  • Graph API: Microsoft Graph API es una API web de RESTful que le permite tener acceso a recursos de servicio de Microsoft Cloud. Después de registrar la aplicación y obtener los tokens de autenticación para un usuario o servicio, puede realizar solicitudes a Microsoft Graph API. Para más información, consulte Introducción a Microsoft Graph.

  • Servicio de dominio: Azure Active Directory Domain Services (Azure AD DS) proporciona servicios de dominio administrados como, por ejemplo, unión a un dominio o directivas de grupo. Para más información, vea ¿Qué es Azure Active Directory Domain Services?

  • Azure Resource Manager: Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Para más información, vea ¿Qué es Azure Resource Manager?

  • Identidad administrada: las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales. Además, proporcionan una identidad que usan las aplicaciones al conectarse a recursos que admiten la autenticación de Azure AD. Para obtener más información, consulte ¿Qué son las identidades administradas de recursos de Azure?

  • Privileged Identity Management (PIM) es un servicio de Azure AD que permite administrar, controlar y supervisar el acceso a recursos importantes de la organización. Para más información, consulte ¿Qué es Azure AD Privileged Identity Management?

  • Revisiones de acceso: las revisiones de acceso de Azure AD permiten a las organizaciones administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado. Para más información, vea ¿Qué son las revisiones de acceso de Azure AD?

  • Administración de derechos: la administración de derechos de Azure AD es una característica de la gobernanza de identidades. Las organizaciones pueden administrar el ciclo de vida de identidad y acceso a gran escala mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración. Para más información, vea ¿Qué es la administración de derechos de Azure AD?

  • Registros de actividad: el registro de actividad es un registro de la plataforma de Azure que proporciona información de los eventos en el nivel de suscripción. Este registro incluye información como cuándo se modificó un recurso o cuándo se inició una máquina virtual. Para información, consulte Registro de actividad de Azure.

  • Autoservicio de restablecimiento de contraseña: el autoservicio de restablecimiento de contraseña (SSPR) de Azure AD ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña. El administrador o el departamento de soporte técnico no son necesarios. Para obtener más información, Consulte cómo funciona: Autoservicio de restablecimiento de contraseña de Azure AD.

  • Servicios de dispositivo: la administración de identidades de los dispositivos es la base del acceso condicional basado en dispositivos. Con las directivas de acceso condicional basado en dispositivos puede asegurarse de que el acceso a los recursos del entorno solo es posible con los dispositivos administrados. Para más información, vea ¿Qué es una identidad de dispositivo?

  • Administración de grupos de autoservicio: puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Azure AD. El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución. Para más información, consulte Configuración de la administración de grupos de autoservicio en Azure Active Directory.

  • Detecciones de riesgo: contiene información sobre otros riesgos desencadenados cuando se detecta un riesgo y otra información pertinente, como la ubicación de inicio de sesión y los detalles de Microsoft Defender for Cloud Apps.

Pasos siguientes

Consulte estos artículos de la guía de operaciones de seguridad:

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura