Simular detección de riesgos en Microsoft Entra ID Protection

Los administradores pueden simular detecciones de riesgo en Microsoft Entra ID Protection para rellenar los datos y probar las directivas de acceso condicional basadas en riesgos.

En este artículo se indican los pasos para simular los siguientes tipos de detecciones de riesgos:

• Dirección IP anónima (fácil)
• Propiedades de inicio de sesión desconocidas (moderado)
• Viaje atípico (difícil)
• Credenciales filtradas en GitHub para identidades de carga de trabajo (moderada)

Otras detecciones de riesgos no se pueden simular de forma segura.

Puede encontrar más información sobre cada detección de riesgos en los artículos ¿Qué es el riesgo para la identidad de usuario y carga de trabajo?

Simular una dirección IP anónima

Para completar el procedimiento siguiente, necesitará:

• Tor Browser para simular direcciones IP anónimas. Es posible que necesite usar una máquina virtual si su organización restringe el uso de Tor Browser.
• Una cuenta de prueba que aún no esté registrada para la autenticación multifactor de Microsoft Entra ID.

Para simular un inicio de sesión desde una dirección IP anónima, realice los pasos siguientes:

1. Con el explorador Tor, vaya a https://myapps.microsoft.com.
2. Escriba las credenciales de la cuenta que desea que aparezcan en el informe Inicios de sesión desde direcciones IP anónimas .

El inicio de sesión se muestra en el informe en un plazo de 10 a 15 minutos.

Simular propiedades desconocidas de Sign-In

Para simular ubicaciones desconocidas, debe usar una ubicación y un dispositivo que su cuenta de prueba no haya usado antes.

El siguiente procedimiento usa:

• Una conexión VPN para simular una nueva ubicación
• Una máquina virtual para simular un nuevo dispositivo

Para completar el procedimiento siguiente, es necesario usar una cuenta de usuario que tenga al menos 30 días de historial de inicio de sesión y métodos de autenticación multifactor utilizables.

Para simular un inicio de sesión desde una ubicación desconocida, realice los pasos siguientes:

1. Mediante la VPN nueva, vaya a https://myapps.microsoft.com y escriba las credenciales de la cuenta de prueba.
2. Al iniciar sesión con su cuenta de prueba, no supere el desafío de la autenticación multifactor.

El inicio de sesión se muestra en el informe en un plazo de 10 a 15 minutos.

Simular viajes atípicos

Simular la condición de viaje atípico es complicado. El algoritmo usa el aprendizaje automático para descartar falsos positivos, como un viaje atípico desde dispositivos conocidos o inicios de sesión de VPN usados por otros usuarios del directorio. Además, el algoritmo requiere un historial de inicios de sesión de 14 días o 10 inicios de sesión del usuario antes de empezar a generar detecciones de riesgos. Debido a los complejos modelos de aprendizaje automático y a las reglas anteriores, es probable que los pasos siguientes no den lugar a una detección de riesgos. Puede replicar estos pasos para varias cuentas de Microsoft Entra para simular esta detección.

Para simular una detección de riesgos de viaje inusual, realice los pasos siguientes:

1. Use su explorador habitual para ir a https://myapps.microsoft.com.
2. Escriba las credenciales de la cuenta para la que desea generar una detección de riesgos de viaje atípico.
3. Cambie el agente de usuario. Puede cambiar el agente de usuario en Microsoft Edge desde las Herramientas de desarrollo (F12).
4. Cambie la dirección IP. Puede cambiar la dirección IP mediante una VPN, un complemento de Tor, o iniciando una nueva máquina virtual en Azure en otro centro de datos.
5. Inicie sesión en https://myapps.microsoft.com con las mismas credenciales que antes y pocos minutos después del inicio de sesión anterior.

El inicio de sesión se muestra en el informe en un plazo de 2 a 4 horas.

Credenciales filtradas para identidades de carga de trabajo

Esta detección de riesgo indica que se han filtrado las credenciales válidas de la aplicación. Esta filtración puede producirse cuando alguien inserta las credenciales en el artefacto de código público en GitHub. Por lo tanto, para simular esta detección, necesita una cuenta de GitHub y puede registrar una cuenta de GitHub si aún no tiene una.

Simular credenciales filtradas en GitHub para identidades de carga de trabajo

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

2. Navegar a Entra ID>Registros de aplicaciones.

3. Seleccione Nuevo registro para registrar una nueva aplicación o reutilizar una aplicación obsoleta existente.

4. Seleccione Certificados y secretos>Nuevo secreto de cliente , agregue una descripción del secreto de cliente y establezca una expiración para el secreto o especifique una duración personalizada y seleccione Agregar. Registre el valor del secreto para su uso posterior para la confirmación de GitHub.

   Nota

   No puede recuperar el secreto de nuevo después de salir de esta página.

5. Consiga el TenantID y el Application(Client)ID en la página Información general.

6. Asegúrese de deshabilitar la aplicación a través dePropiedades de> Aplicacionesempresariales>entra ID> Establecido habilitado para que los usuarios inicien sesión enNo.

7. Cree un repositorio público de GitHub, agregue la siguiente configuración y confirme el cambio como un archivo con la extensión .txt.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. En aproximadamente 8 horas, podrá ver una detección de credenciales filtradas en Protección de ID>Panel>Detección de Riesgos>Detección de identidades de carga de trabajo, donde otra información contiene la URL de su confirmación en GitHub.

Prueba de las directivas de riesgo

En esta sección se proporcionan pasos para probar el usuario y las directivas de riesgo de inicio de sesión creadas en el artículo Cómo: Configurar y habilitar directivas de riesgo.

Directiva de riesgo de usuario

Para probar una directiva de seguridad de riesgo del usuario, realice los pasos siguientes:

1. Configure una directiva de riesgo de usuario destinada a los usuarios con los que planea probar.
2. Eleve el riesgo del usuario de una cuenta de prueba simulando, por ejemplo, una de las detecciones de riesgos varias veces.
3. Espere unos minutos y, después, compruebe que el riesgo se ha elevado para el usuario. De lo contrario, simule más detecciones de riesgos para el usuario.
4. Vuelva a la directiva de riesgo y establezca Aplicar directiva en Activado y Guarde el cambio de directiva.
5. Ahora puede probar el acceso condicional basado en riesgos del usuario mediante un inicio de sesión con un usuario con un nivel de riesgo elevado.

Directiva de seguridad de riesgo de inicio de sesión

Para probar la directiva de riesgo de inicio de sesión, realice los pasos siguientes:

1. Configure una directiva de riesgo de inicio de sesión dirigida a los usuarios con los que planea realizar pruebas.
2. Ahora puede probar el acceso condicional basado en riesgo de inicio de sesión mediante el inicio de sesión con una sesión de riesgo (por ejemplo, mediante Tor Browser).

Contenido relacionado

• ¿Qué es el riesgo?
• Protección de identidades de trabajo con el sistema Identity
• Cómo: Configurar y habilitar directivas de riesgo
• Protección de ID de Microsoft Entra