¿Qué es Identity Protection?

Identity Protection usa los aprendizajes que Microsoft ha adquirido de su puesto en organizaciones con Azure Active Directory, el espacio de consumidor con cuentas de Microsoft y juegos con Xbox para proteger a los usuarios. Microsoft analiza billones de señales al día para identificar amenazas y proteger a los clientes frente a ellas. Identity Protection permite a las organizaciones realizar tres tareas clave:

Las señales que genera y con las que se alimenta Identity Protection se pueden insertar en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar una investigación más detallada.

¿Por qué es importante la automatización?

En la entrada de blog Cyber Signals: Defending against cyber threat with the latest research, insights, and trends (Ciberseñales: defensa contra amenazas cibernéticas con las últimas investigaciones, conclusiones y tendencias), con fecha del 3 febrero de 2022, compartimos un informe de inteligencia sobre amenazas con las estadísticas siguientes:

  • Se analizaron 24 billones de señales de seguridad combinadas con inteligencia de la que se realizó el seguimiento mediante la supervisión de más de 40 grupos nacionales y estatales, y más de 140 grupos de amenazas...
  • ... Desde enero hasta diciembre de 2021, se han bloqueado más de 25 600 millones de ataques de autenticación por fuerza bruta de Azure AD...

La magnitud de la escala de señales y ataques necesita cierto nivel de automatización para poder mantenerse al día.

Detección de riesgos

Identity Protection detecta riesgos de muchos tipos, entre los que se incluyen los siguientes:

  • Uso de una dirección IP anónima
  • Viaje atípico
  • Dirección IP vinculada al malware
  • Propiedades de inicio de sesión desconocidas
  • Credenciales con fugas
  • Difusión de contraseña
  • Y mucho más...

Las señales de riesgo pueden desencadenar esfuerzos de corrección, como exigir a los usuarios que usen la autenticación multifactor, que restablezcan su contraseña mediante el autoservicio de restablecimiento de contraseña o que bloqueen el acceso hasta que un administrador tome medidas.

Puede encontrar más información sobre estos y otros riesgos, y cómo y cuándo se calculan, en el artículo ¿Qué es el riesgo?.

Investigación de riesgos

Los administradores pueden revisar las detecciones y realizar acciones manuales sobre ellas si es necesario. Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:

  • Usuarios de riesgo
  • Inicios de sesión no seguros
  • Detecciones de riesgo

Puede encontrar más información en el artículo Cómo investigar los riesgos.

Niveles de riesgo

Identity Protection clasifica el riesgo en niveles: bajo, medio y alto.

Microsoft no proporciona detalles específicos sobre cómo se calcula el riesgo. Cada nivel de riesgo aporta una mayor confianza sobre el hecho de que el usuario o el inicio de sesión están en peligro. Por ejemplo, cosas como un caso de propiedades de inicio de sesión desconocidas para un usuario podría no ser tan amenazante como la filtración de credenciales para otro usuario.

Uso adicional de la información de riesgo

Los datos de Identity Protection se pueden exportar a otras herramientas para su archivo y posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Identity Protection en el artículo Introducción a Azure Active Directory Identity Protection y Microsoft Graph

Puede encontrar información sobre la integración de información de Identity Protection con Microsoft Azure Sentinel en el artículo Conexión de datos de Azure AD Identity Protection.

Las organizaciones pueden elegir almacenar datos durante períodos más prolongados cambiando la configuración de diagnóstico en Azure AD. Pueden optar por enviar datos a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a Event Hubs o enviar datos a la solución de un asociado. Puede encontrar información detallada sobre cómo hacerlo en el artículo Procedimiento de exportación de datos de riesgo.

Roles necesarios

Identity Protection requiere que los usuarios tengan el rol Lector de seguridad, Operador de seguridad, Administrador de seguridad, Lector global o Administrador global para poder acceder.

Role Puede hacer No se puede hacer
Administrador global Acceso completo a Identity Protection
Administrador de seguridad Acceso completo a Identity Protection Restablecer la contraseña de un usuario
Operador de seguridad Ver la información general y todos los informes de Identity Protection

Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso
Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas
Lector de seguridad Ver la información general y todos los informes de Identity Protection Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas

Enviar comentarios sobre las detecciones
Lector global Acceso de solo lectura a Identity Protection

Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.

Los administradores de acceso condicional pueden crear directivas que tengan en cuenta el riesgo de inicio de sesión o del usuario como una condición. Obtenga más información en el artículo Acceso condicional: Condiciones.

Requisitos de licencia

Para usar esta función, necesita licencias de Azure AD Premium P2. Para obtener la licencia que más se ajuste a sus requisitos, consulte Comparación de las características con disponibilidad general de Azure AD.

Capacidad Detalles Aplicaciones de Azure AD Free y Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Directivas de riesgo Directivas de riesgo de inicio de sesión y de usuario (mediante Identity Protection o el acceso condicional) No No
Informes de seguridad Información general No No
Informes de seguridad Usuarios de riesgo Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Acceso total
Informes de seguridad Inicios de sesión no seguros Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Acceso total
Informes de seguridad Detecciones de riesgo No Información limitada. No hay ningún cajón de detalles. Acceso total
Notificaciones Alertas detectadas sobre usuarios en riesgo No No
Notificaciones Resumen semanal No No
Directiva de registro de MFA No No

Puede encontrar más información sobre estos informes completos en el artículo Procedimiento: investigar los riesgos.

Pasos siguientes