Otras áreas de Confianza cero abordadas en el Memorándum 22-09

Los demás artículos de esta guía abordan el pilar de identidad de los principios de Confianza cero, tal y como se describe en la Oficina de Administración y Presupuesto (OMB) M 22-09 memorándum para los Jefes de Agencias y Departamentos Ejecutivos. En este artículo se tratan las áreas del modelo de madurez de Confianza cero más allá del pilar de identidad y se abordan los temas siguientes:

• Visibilidad
• Análisis
• Automatización y orquestación
• Gobernanza

Visibilidad

Es importante supervisar el inquilino de Microsoft Entra. Adopte una mentalidad de vulneración y cumpla los estándares de cumplimiento establecidos en el Memorándum 22-09 y el Memorándum 21-31. Hay tres tipos de registro principales que se usan para el análisis de seguridad y la ingesta:

• Registros de auditoría de Azure para supervisar las actividades operativas del directorio, como crear, eliminar y actualizar objetos como usuarios o grupos.
  • Use esto también para realizar cambios en las configuraciones de Microsoft Entra, como las modificaciones en una directiva de acceso condicional
  • Consulte Registros de auditoría en Microsoft Entra ID
• Los registros de aprovisionamiento tienen información sobre los objetos sincronizados desde Microsoft Entra ID a aplicaciones como Service Now con Microsoft Identity Manager
  • Consulte Aprovisionamiento de registros en Microsoft Entra ID
• Registros de inicio de sesión de Microsoft Entra para supervisar todas las actividades de inicio de sesión asociadas a usuarios, aplicaciones y entidades de servicio.
  • Los registros de inicio de sesión tienen categorías para su diferenciación.
  • Los inicios de sesión interactivos muestran inicios de sesión correctos y con errores, directivas aplicadas y otros metadatos.
  • Los inicios de sesión de usuario no interactivos no muestran ninguna interacción durante el inicio de sesión: clientes que inician sesión en nombre del usuario, como aplicaciones móviles o clientes de correo electrónico.
  • Los inicios de sesión de la entidad de servicio muestran el inicio de sesión de la entidad de servicio o la aplicación: servicios o aplicaciones que acceden a servicios, aplicaciones o el directorio de Microsoft Entra a través de la API REST
  • Identidades administradas para el inicio de sesión de recursos de Azure: recursos de Azure o aplicaciones que acceden a recursos de Azure, como un servicio de aplicaciones web que se autentica en un back-end de Azure SQL.
  • Consulte, Registros de inicio de sesión en Microsoft Entra ID (versión preliminar)

En los inquilinos gratuitos de Microsoft Entra ID, las entradas de registro se almacenan durante 7 días. Los inquilinos con una licencia de Microsoft Entra ID P1 o P2 conservan las entradas de registro durante 30 días.

Asegúrese de que una herramienta de administración de eventos e información de seguridad (SIEM) ingiere registros. Use eventos de inicio de sesión y auditoría para correlacionar los registros de aplicación, infraestructura, datos, dispositivo y red.

Se recomienda integrar los registros de Microsoft Entra con Microsoft Sentinel. Configure un conector para ingerir registros de inquilinos de Microsoft Entra.

Más información:

• ¿Qué es Microsoft Sentinel?
• Conexión de Microsoft Entra ID a Microsoft Sentinel

En el inquilino de Microsoft Entra, puede configurar las opciones de diagnóstico para enviar los datos a una cuenta de Azure Storage, Azure Event Hubs o un área de trabajo de Log Analytics. Use estas opciones de almacenamiento para integrar otras herramientas SIEM para recopilar los datos.

Más información:

• ¿Qué es la supervisión de Microsoft Entra?
• Dependencias de la implementación de la supervisión y los informes de Microsoft Entra

Análisis

Puede usar análisis en las siguientes herramientas para agregar información de Microsoft Entra ID y mostrar tendencias en la posición de seguridad en comparación con la línea base. El análisis también se puede usar como la manera de evaluar y buscar patrones o amenazas en Microsoft Entra ID.

• Microsoft Entra ID Protection analiza los inicios de sesión y otros orígenes de telemetría en busca de comportamientos de riesgo
  • Identity Protection asigna una puntuación de riesgo a los eventos de inicio de sesión.
  • Evite los inicios de sesión o fuerce una autenticación por pasos para acceder a un recurso o aplicación en función de la puntuación de riesgo.
  • Consulte ¿Qué es Identity Protection?.
• En los informes con uso y perspectivas de Microsoft Entra se muestra información similar a los libros de Azure Sentinel, incluidas las aplicaciones que tienen las tendencias de uso o inicio de sesión más altas.
  • Uso de informes para comprender las tendencias agregadas que podrían indicar un ataque u otros eventos
  • Consulte Uso e información en Microsoft Entra ID
• Microsoft Sentinel analiza información de Microsoft Entra ID:
  • El análisis de comportamiento de usuarios y entidades (UEBA) de Microsoft Sentinel ofrece inteligencia sobre posibles amenazas de entidades de usuario, host, dirección IP y aplicación.
  • Use plantillas de reglas de análisis para buscar amenazas y alertas en los registros de Microsoft Entra. El analista de seguridad u operaciones puede hacer una evaluación de las amenazas y corregirlas.
  • Los libros de Microsoft Sentinel ayudan a visualizar los orígenes de datos de Microsoft Entra. Visualice los inicios de sesión por país, región o aplicaciones.
  • Consulte Libros de Microsoft Sentinel que se usan comúnmente.
  • Consulte Visualización de los datos recopilados.
  • Consulte Identificación de amenazas avanzadas con UEBA en Microsoft Sentinel.

Automatización y orquestación

La automatización en Confianza cero ayuda a corregir alertas debido a amenazas o cambios de seguridad. En Microsoft Entra ID, las integraciones de automatización ayudan a aclarar acciones para mejorar la posición de seguridad. La automatización se basa en la información recibida de la supervisión y los análisis.

Use las llamadas de la API REST de Microsoft Graph para acceder a Microsoft Entra ID mediante programación. Este acceso requiere una identidad de Microsoft Entra con autorizaciones y ámbito. Con Graph API, integre otras herramientas.

Recomendamos configurar una función de Azure o una aplicación lógica de Azure para usar una identidad administrada asignada por el sistema. La aplicación lógica o la función tiene pasos o código para automatizar las acciones. Asigne permisos a la identidad administrada para conceder a la entidad de servicio los permisos de directorio para realizar acciones. Conceda derechos mínimos a las identidades administradas.

Obtenga más información en Qué son las identidades administradas de recursos de Azure.

Otro punto de integración de automatización son los módulos de Microsoft Graph PowerShell. Use Microsoft Graph PowerShell para realizar tareas o configuraciones comunes en Microsoft Entra ID o incorporarlas en funciones de Azure o en runbooks de Azure Automation.

Gobernanza

Documente los procesos para operar el entorno de Microsoft Entra. Use Microsoft Entra características para la funcionalidad de gobernanza aplicada a ámbitos en Microsoft Entra ID.

Más información:

• Guía de referencia de operaciones de Gobierno de Microsoft Entra ID
• Guía de operaciones de seguridad de Microsoft Entra
• ¿Qué es Microsoft Entra ID Governance?
• Cumplimiento de los requisitos de autorización del Memorándum 22-09.

Pasos siguientes

• Cumplimiento de los requisitos de identidad del memorándum 22-09 con Microsoft Entra ID
• Enterprise de administración de identidades de todo el sistema
• Cumplimiento de los requisitos de autenticación multifactor del memorándum 22-09
• Cumplimiento de los requisitos de autorización del Memorándum 22-09
• Protección de la identidad con Confianza cero