Configurar alertas de seguridad para roles de Azure AD en Privileged Identity Management
La tecnología Privileged Identity Management (PIM) genera alertas cuando se producen actividades sospechosas o no seguras en su organización en Azure Active Directory (Azure AD), que es parte de Microsoft Entra. Cuando se desencadena una alerta, se muestra en el panel de Privileged Identity Management. Seleccione la alerta para ver un informe en el que se enumeren los usuarios o roles que activaron la alerta.
Alertas de seguridad
En esta sección se enumeran todas las alertas de seguridad para roles de Azure AD, y cómo resolverlas y evitarlas. La gravedad tiene el significado siguiente:
- Alta: requiere acción inmediata debido a la infracción de una directiva.
- Media: No requiere acción inmediata, pero señala una posible infracción de una directiva.
- Baja: No requiere acción inmediata, pero sugiere un cambio de directiva preferible.
Los administradores no están usando sus roles con privilegios
Gravedad: Baja
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | El hecho de que los usuarios tengan asignados roles con privilegios que no necesitan aumenta la probabilidad de un ataque. También es más fácil para los atacantes pasar desapercibidos en cuentas que no se usan de manera activa. |
| Solución | Revise los usuarios de la lista y quíteles los roles con privilegios que no necesiten. |
| Prevención | Asigne roles con privilegios solo a los usuarios que tengan una justificación empresarial. Programe revisiones de acceso periódicas para comprobar que los usuarios todavía necesitan el acceso. |
| Acción de mitigación en el portal | Quítele a la cuenta su rol con privilegios. |
| Desencadenador | Se desencadena si un usuario pasa por un número especificado de días sin activar un rol. |
| Número de días | Esta configuración especifica el número máximo de días, de 0 a 100, que un usuario puede pasar sin activar un rol. |
No se necesita la autenticación multifactor para la activación de los roles
Gravedad: Baja
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | Sin autenticación multifactor, los usuarios en peligro pueden activar roles con privilegios. |
| Solución | Revise la lista de roles y pida autenticación multifactor para cada rol. |
| Prevención | Exija MFA para cada rol. |
| Acción de mitigación en el portal | Hace que la autenticación multifactor sea necesaria para la activación del rol con privilegios. |
La organización no tiene Azure AD Premium P2
Gravedad: Baja
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | La organización actual de Azure AD no incluye Azure AD Premium P2. |
| Solución | Revise la información sobre las ediciones de Azure AD. Actualice a Azure AD Premium P2. |
Posibles cuentas obsoletas en un rol con privilegios
Gravedad: Media
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | Esta alerta ya no se desencadena en función de la última fecha de cambio de la contraseña para una cuenta. Esta alerta es para las cuentas de un rol con privilegios, que no hayan iniciado sesión durante los últimos n días, donde n es un número de días comprendido entre 1 y 365 que se puede configurar. Estas cuentas podrían ser cuentas de servicio o compartidas que no se mantienen y son vulnerables a los atacantes. |
| Solución | Revise las cuentas de la lista. Si ya no necesitan acceso, quíteles sus roles con privilegios. |
| Prevención | Asegúrese de que las cuentas que se compartan tengan contraseñas seguras que cambian cuando se produce algún cambio en los usuarios que conocen la contraseña. Revise con regularidad las cuentas con roles con privilegios mediante revisiones de acceso y quite las asignaciones de roles que no sean necesarias. |
| Acción de mitigación en el portal | Quítele a la cuenta su rol con privilegios. |
| procedimientos recomendados | Las cuentas de acceso compartido, de servicio y de emergencia que se autentican mediante una contraseña y que se asignan a roles administrativos con privilegios elevados, como administrador global o administrador de seguridad, deben rotar sus contraseñas para los siguientes casos:
|
Los roles se están asignando fuera de Privileged Identity Management
Gravedad: Alta
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | Las asignaciones de roles con privilegios realizadas fuera de Privileged Identity Management no se supervisan correctamente y podrían ser objeto de un ataque activo. |
| Solución | Revise los usuarios de la lista y quítelos de los roles con privilegios asignados fuera de Privileged Identity Management. También puede habilitar o deshabilitar la alerta y su notificación por correo electrónico que la acompaña en la configuración de alertas. |
| Prevención | Investigue a qué usuarios se les asignan roles con privilegios fuera de Privileged Identity Management y que prohíben las asignaciones futuras desde allí. |
| Acción de mitigación en el portal | Quita el usuario de su rol con privilegios. |
Hay demasiados administradores globales
Gravedad: Baja
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | El administrador global es el rol con más privilegios. Si un administrador global está en peligro, el atacante obtiene acceso a todos sus permisos, lo que pone en riesgo todo el sistema. |
| Solución | Revise los usuarios de la lista y quite los que no necesiten tener el rol de administrador global. En su lugar, asigne roles con privilegios inferiores a estos usuarios. |
| Prevención | Asigne a los usuarios el rol con privilegios mínimos que necesiten. |
| Acción de mitigación en el portal | Quítele a la cuenta su rol con privilegios. |
| Desencadenador | Se desencadena si se cumplen dos criterios diferentes, y puede configurar ambos. En primer lugar, debe alcanzar un umbral determinado de asignaciones de roles de administradores globales. En segundo lugar, un porcentaje determinado de las asignaciones de roles totales deben ser administradores globales. Si solo cumple una de estas medidas, la alerta no aparecerá. |
| Número mínimo de administradores globales | Esta configuración especifica el número de asignaciones de roles de administradores globales, de 2 a 100, que considera que son demasiado pocos para su organización de Azure AD. |
| Porcentaje de Administradores globales | Esta configuración especifica el porcentaje mínimo de administradores que son administradores globales, del 0 % al 100 %, por debajo del cual no desea que la organización de Azure AD DIP. |
Se activan roles con demasiada frecuencia
Gravedad: Baja
| Descripción | |
|---|---|
| ¿Por qué se recibe esta alerta? | Varias activaciones del mismo rol con privilegios por el mismo usuario es un signo de un ataque. |
| Solución | Revise los usuarios de la lista y asegúrese de que la duración de la activación de su rol con privilegios se establezca con tiempo suficiente para realizar sus tareas. |
| Prevención | Asegúrese de que la duración de la activación de los roles con privilegios sea lo suficientemente larga como para que los usuarios realicen sus tareas. Exija la autenticación multifactor para los roles con privilegios que tengan cuentas compartidas por varios administradores. |
| Acción de mitigación en el portal | N/D |
| Desencadenador | Se desencadena si un usuario activa el mismo rol con privilegios varias veces dentro de un período especificado. Puede configurar el período de tiempo y el número de activaciones. |
| Período de tiempo de renovación de activaciones | Esta opción especifica el período de tiempo, en días, horas, minutos y segundos, que quiere usar para realizar el seguimiento de renovaciones sospechosas. |
| Number of activation renewals (Número de renovaciones de activación) | Esta configuración especifica el número de activaciones, de 2 a 100, en las que le gustaría recibir notificaciones, dentro del período de tiempo elegido. Puede cambiar este valor moviendo el control deslizante o escribiendo un número en el cuadro de texto. |
Personalización de la configuración de alertas de seguridad
Siga estos pasos para configurar las alertas de seguridad para roles de Azure AD en Privileged Identity Management.
Inicie sesión en Azure Portal.
Abra Azure AD Privileged Identity Management. Para información sobre cómo agregar el icono de Privileged Identity Management en el panel, consulte Primer uso de PIM.
En el menú izquierdo, seleccione Roles de Azure AD.
En el menú de la izquierda, seleccione Alertas y Configuración.
Personalice la configuración de las diferentes alertas para que encajen con su entorno y con sus objetivos de seguridad.
