¿Qué es Identity Protection?
Identity Protection permite a las organizaciones realizar tres tareas clave:
- Automatizar la detección y corrección de riesgos basados en la identidad.
- Investigar los riesgos con los datos del portal.
- Exportar datos de detección de riesgo a otras herramientas.
Identity Protection usa los aprendizajes que Microsoft ha adquirido de su puesto en organizaciones con Azure Active Directory, el espacio de consumidor con cuentas de Microsoft y juegos con Xbox para proteger a los usuarios. Microsoft analiza billones de señales al día para identificar amenazas y proteger a los clientes frente a ellas.
Las señales que genera y con las que se alimenta Identity Protection se pueden insertar en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar una investigación más detallada.
¿Por qué es importante la automatización?
En la entrada de blog Cyber Signals: Defending against cyber threat with the latest research, insights, and trends (Ciberseñales: defensa contra amenazas cibernéticas con las últimas investigaciones, conclusiones y tendencias), con fecha del 3 febrero de 2022, compartimos un informe de inteligencia sobre amenazas con las estadísticas siguientes:
- Se analizaron 24 billones de señales de seguridad combinadas con inteligencia de la que se realizó el seguimiento mediante la supervisión de más de 40 grupos nacionales y estatales, y más de 140 grupos de amenazas...
- ... Desde enero hasta diciembre de 2021, se han bloqueado más de 25 600 millones de ataques de autenticación por fuerza bruta de Azure AD...
La magnitud de la escala de señales y ataques necesita cierto nivel de automatización para poder mantenerse al día.
Detección de riesgos
Identity Protection detecta riesgos de muchos tipos, entre los que se incluyen los siguientes:
- Uso de una dirección IP anónima
- Viaje atípico
- Dirección IP vinculada al malware
- Propiedades de inicio de sesión desconocidas
- Credenciales con fugas
- Difusión de contraseña
- Y mucho más...
Las señales de riesgo pueden desencadenar esfuerzos de corrección, como exigir a los usuarios que usen la autenticación multifactor, que restablezcan su contraseña mediante el autoservicio de restablecimiento de contraseña o que bloqueen el acceso hasta que un administrador tome medidas.
Puede encontrar más información sobre estos y otros riesgos, y cómo y cuándo se calculan, en el artículo ¿Qué es el riesgo?.
Investigación de riesgos
Los administradores pueden revisar las detecciones y realizar acciones manuales sobre ellas si es necesario. Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:
- Usuarios de riesgo
- Inicios de sesión no seguros
- Detecciones de riesgo
Puede encontrar más información en el artículo Cómo investigar los riesgos.
Niveles de riesgo
Identity Protection clasifica el riesgo en niveles: bajo, medio y alto.
Microsoft no proporciona detalles específicos sobre cómo se calcula el riesgo. Cada nivel de riesgo aporta una mayor confianza sobre el hecho de que el usuario o el inicio de sesión están en peligro. Por ejemplo, cosas como un caso de propiedades de inicio de sesión desconocidas para un usuario podría no ser tan amenazante como la filtración de credenciales para otro usuario.
Uso adicional de la información de riesgo
Los datos de Identity Protection se pueden exportar a otras herramientas para su archivo y posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Identity Protection en el artículo Introducción a Azure Active Directory Identity Protection y Microsoft Graph
Puede encontrar información sobre la integración de información de Identity Protection con Microsoft Azure Sentinel en el artículo Conexión de datos de Azure AD Identity Protection.
Las organizaciones pueden elegir almacenar datos durante períodos más prolongados cambiando la configuración de diagnóstico en Azure AD. Pueden optar por enviar datos a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a Event Hubs o enviar datos a la solución de un asociado. Puede encontrar información detallada sobre cómo hacerlo en el artículo Procedimiento de exportación de datos de riesgo.
Roles necesarios
Identity Protection requiere que los usuarios tengan el rol Lector de seguridad, Operador de seguridad, Administrador de seguridad, Lector global o Administrador global para poder acceder.
| Role | Puede hacer | No se puede hacer |
|---|---|---|
| Administrador global | Acceso completo a Identity Protection | |
| Administrador de seguridad | Acceso completo a Identity Protection | Restablecer la contraseña de un usuario |
| Operador de seguridad | Ver la información general y todos los informes de Identity Protection Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso |
Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas |
| Lector de seguridad | Ver la información general y todos los informes de Identity Protection | Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas Enviar comentarios sobre las detecciones |
| Lector global | Acceso de solo lectura a Identity Protection |
Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.
Los administradores de acceso condicional pueden crear directivas que tengan en cuenta el riesgo de inicio de sesión o del usuario como una condición. Obtenga más información en el artículo Acceso condicional: Condiciones.
Requisitos de licencia
Necesita licencias de Azure AD Premium P2 para usar esta característica. Para obtener la licencia que más se ajuste a sus requisitos, consulte Comparación de las características con disponibilidad general de Azure AD.
| Capacidad | Detalles | Aplicaciones de Azure AD Free y Microsoft 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| Directivas de riesgo | Directivas de riesgo de inicio de sesión y de usuario (mediante Identity Protection o el acceso condicional) | No | No | Sí |
| Informes de seguridad | Información general | No | No | Sí |
| Informes de seguridad | Usuarios de riesgo | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Acceso total |
| Informes de seguridad | Inicios de sesión no seguros | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Acceso total |
| Informes de seguridad | Detecciones de riesgo | No | Información limitada. No hay ningún cajón de detalles. | Acceso total |
| Notificaciones | Alertas detectadas sobre usuarios en riesgo | No | No | Sí |
| Notificaciones | Resumen semanal | No | No | Sí |
| Directiva de registro de MFA | No | No | Sí |
Puede encontrar más información sobre estos informes completos en el artículo Procedimiento: investigar los riesgos.