¿Cuál es el gráfico de ataques de identidad? (versión preliminar)

El gráfico de ataques de identidad de Microsoft Sentinel visualiza cómo se conectan las identidades a los recursos de Azure a través de permisos y pertenencias a grupos. Los analistas de seguridad pueden usar el gráfico para identificar rutas de desplazamiento lateral, que son las posibles rutas que un atacante podría tomar para pasar de una identidad o recurso a otro mediante la explotación de permisos existentes, pertenencias a grupos o relaciones de confianza, a menudo para escalar privilegios o llegar a recursos confidenciales.

El gráfico de ataque de identidad predefinido representa el entorno como entidades y relaciones interconectadas, lo que facilita la respuesta a preguntas complejas, como "¿A qué recursos podría llegar un atacante si esta cuenta está en peligro?" o "¿Qué identidades tienen rutas de acceso a recursos críticos?"

Los analistas de SOC, los cazadores de amenazas, los ingenieros de seguridad en la nube y los equipos de IAM pueden usar el gráfico para comprender y reducir el riesgo de identidad en Azure y Entra.

Funcionamiento del gráfico de ataques de identidad

El gráfico de ataque de identidad usa datos de recursos del recurso Entra ID del lago Microsoft Sentinel y conectores de azure resource graph para crear un modelo completo del entorno:

  • Identidades: usuarios, entidades de servicio, identidades administradas y grupos
  • Recursos: suscripciones de Azure, grupos de recursos, máquinas virtuales, cuentas de almacenamiento y otros recursos
  • Relaciones de acceso y permisos: asignaciones de roles y pertenencias a grupos que crean rutas de acceso a los recursos a los que pueden acceder

Después de la instalación, use Graph Query Language (GQL) para descubrir los riesgos ocultos que son difíciles de detectar con los métodos tradicionales.

Puede consultar el gráfico para:

  • Rutas de desplazamiento lateral de superficie: busque todas las rutas que un atacante podría tomar de una identidad comprometida para llegar a recursos críticos.
  • Identificación de cuentas con privilegios excesivos: detección de identidades con permisos excesivos o rutas de acceso indirectas a roles con privilegios
  • Priorización de la corrección: céntrese en las rutas de acceso más cortas a los recursos más confidenciales

Requisitos previos

Para configurar el gráfico de ataques de identidad, asegúrese de cumplir los siguientes requisitos previos:

  • Lago de datos de Microsoft Sentinel habilitado en su entorno
  • Permisos para activar o actualizar los recursos de Microsoft Entra ID y los conectores de Azure Resource Graph
  • Administrador global, administrador de seguridad para crear el gráfico

Configuración del gráfico de ataque de identidad

Siga estos pasos para configurar el gráfico de ataques de identidad:

  1. En el portal de Microsoft Defender, vaya a Microsoft Sentinel>Graphs.

  2. Busque la tarjeta de grafo de ataque de identidad y seleccione Configurar gráfico.

  3. Siga los pasos de configuración y active o actualice los conectores necesarios.

  4. Seleccione Activar gráfico para crear el gráfico.

  5. Seleccione Gráfico de consultas en el icono del gráfico para ver la página de consulta de grafos.

    Captura de pantalla que muestra el panel de información general del gráfico de ataques de identidad de Microsoft Sentinel.

Después de activar el gráfico, el gráfico comienza a ingerir datos y a crear relaciones. El procesamiento inicial puede tardar hasta 48 horas.

Exploración y consulta del gráfico de ataque de identidad

Siga estos pasos para consultar el gráfico cuando el gráfico esté listo para usarse:

  1. Use la pestaña Esquema para comprender los tipos de entidades y relaciones del gráfico.

    Captura de pantalla que muestra la pestaña esquema en la página de consulta de grafos.

  2. Seleccione cualquier nodo para ver los metadatos detallados.

  3. Use la pestaña Gráfico para visualizar las relaciones y las rutas de acceso de privilegios. Escriba sus propias consultas de GQL o use las consultas predefinidas para empezar.

    Captura de pantalla que muestra la consulta predefinida en el gráfico.

    Nota:

    Se recomienda empezar con las consultas predefinidas, que están diseñadas para exponer escenarios de investigación comunes y de alto valor. Estas consultas le ayudan a obtener un valor inmediato sin escribir GQL desde cero.

  4. Seleccione Ejecutar consulta GQL para ver los resultados.

    Captura de pantalla que muestra la pestaña del gráfico para visualizar la consulta.

Contenido relacionado

  • Last updated on