Operaciones de seguridad para infraestructura

La infraestructura tiene muchos componentes donde pueden producirse vulnerabilidades si no están configurados correctamente. Como parte de la estrategia de supervisión y alertas para la infraestructura, supervise y alerte los eventos en las áreas siguientes:

• Autenticación y autorización

• Componentes de autenticación híbrida, incluidos los Servidores de federación

• Directivas

• Suscripciones

La supervisión y la alerta de los componentes de la infraestructura de autenticación son fundamentales. Cualquier riesgo individual puede dar lugar a un riesgo total del entorno en su conjunto. Muchas empresas que usan Microsoft Entra ID funcionan en un entorno de autenticación híbrida. Los componentes locales y de la nube deben incluirse en su estrategia de supervisión y alerta. Tener un entorno de autenticación híbrida también introduce otro vector de ataque al entorno.

Se recomienda que todos los componentes se consideren recursos del plano de control o nivel 0, así como las cuentas que se usan para administrarlos. Consulte Protección de recursos con privilegios para obtener instrucciones sobre cómo diseñar e implementar el entorno. Esta guía incluye recomendaciones para cada uno de los componentes de autenticación híbrida que podrían usarse para un inquilino de Microsoft Entra.

Un primer paso para poder detectar eventos inesperados y posibles ataques consiste en establecer una base de referencia. Para todos los componentes locales que se enumeran en este artículo, consulte Implementación de acceso con privilegios, que forma parte de la guía de Protección de recursos con privilegios.

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

• Registros de auditoría de Microsoft Entra

• Registros de inicio de sesión

• Registros de auditoría de Microsoft 365

• Registros de Azure Key Vault

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

• Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de administración de eventos e información de seguridad (SIEM).

• Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.

• Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

• Azure Event Hubs integrado con SIEM: los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

• Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

• Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

En el resto de este artículo se explica lo que supervisar y sobre qué alertar. Está organizado por tipo de amenaza. Si hay soluciones creadas previamente específicas, encontrará vínculos a ellas después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Infraestructura de autenticación

En entornos híbridos que contienen recursos y cuentas tanto locales como basados en la nube, la infraestructura de Active Directory es una parte clave de la pila de autenticación. La pila también es objetivo de ataques, por lo que debe configurarse para mantener un entorno seguro y debe supervisarse correctamente. Los ejemplos de tipos de ataque actuales que se usan en la infraestructura de autenticación emplean técnicas de Difusión de contraseña y Solorigate. A continuación se incluyen vínculos a artículos recomendados:

• Información general sobre la protección del acceso con privilegios: En este artículo se proporciona información general sobre las técnicas actuales que usan Confianza cero para crear y mantener un acceso con privilegios seguro.

• Actividades de dominio supervisado de Microsoft Defender for Identity: En este artículo encontrará una lista completa de actividades para supervisar y establecer alertas.

• Tutorial de alertas de seguridad de Microsoft Defender for Identity: En este artículo se dan instrucciones sobre cómo crear e implementar una estrategia de alertas de seguridad.

A continuación se incluyen vínculos a artículos específicos que se centran en la supervisión y las alertas de la infraestructura de autenticación:

• Conozca y use las rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity: técnicas de detección que puede usar para ayudar a detectar cuando se usen cuentas no confidenciales para acceder a cuentas confidenciales en toda su red.

• Trabajo con alertas de seguridad en Microsoft Defender for Identity: en este artículo se describe cómo revisar y administrar alertas una vez que se registran.

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar	Nivel de riesgo	Where	Notas
Tendencias de bloqueo de extranet	Alto	Microsoft Entra Connect Health	Use la información de Supervisión de AD FS mediante Microsoft Entra Connect Health para conocer herramientas y técnicas que ayudan a detectar tendencias de bloqueo de extranet.
Inicios de sesión con error	Alto	Portal de Connect Health	Exporte o descargue el informe de IP de riesgo y siga las instrucciones de Informe de direcciones IP de riesgo (versión preliminar pública) para conocer los pasos siguientes.
Cumple con los requisitos de privacidad	Bajo	Microsoft Entra Connect Health	Configure Microsoft Entra Conectar Health para deshabilitar las colecciones de datos y la supervisión según el artículo Privacidad del usuario y Microsoft Entra Connect Health.
Posible ataque por fuerza bruta en LDAP	Media	Microsoft Defender for Identity	Use el sensor para ayudar a detectar posibles ataques por fuerza bruta contra LDAP.
Reconocimiento de enumeración de cuentas	Media	Microsoft Defender for Identity	Use el sensor para ayudar a realizar el reconocimiento de enumeración de cuentas.
Correlación general entre Microsoft Entra ID y Azure AD FS	Media	Microsoft Defender for Identity	Use funcionalidades para correlacionar las actividades entre los entornos de Microsoft Entra ID y Azure AD FS.

Supervisión de la autenticación transferida

Con la autenticación de tránsito de Microsoft Entra, los usuarios inician sesión mediante la validación de sus contraseñas directamente en la instancia de Active Directory local.

A continuación, encontrará aspectos específicos que debe buscar:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Errores de autenticación de tránsito de Microsoft Entra	Media	Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin	AADSTS80001: No es posible conectarse a Active Directory.	Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
Errores de autenticación de tránsito de Microsoft Entra	Media	Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin	AADSTS8002: Se ha agotado el tiempo de espera al conectarse a Active Directory.	Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
Errores de autenticación de tránsito de Microsoft Entra	Media	Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin	AADSTS80004: El nombre de usuario transferido al agente no era válido.	Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto.
Errores de autenticación de tránsito de Microsoft Entra	Media	Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin	AADSTS80005: La validación encontró una excepción WebException impredecible.	Se trata de un error transitorio. Vuelva a intentarlo. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft.
Errores de autenticación de tránsito de Microsoft Entra	Media	Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin	AADSTS80007: Error al establecer comunicación con Active Directory.	Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto.
Errores de autenticación de tránsito de Microsoft Entra	Alto	API de la función LogonUserA de Win32	Eventos de inicio de sesión 4624(s): una cuenta ha iniciado sesión correctamente —correlacionar con— 4625(F): No se pudo iniciar sesión en una cuenta.	Use con los nombres de usuario sospechosos en el controlador de dominio que autentica las solicitudes. Instrucciones en Función LogonUserA (winbase.h)
Errores de autenticación de tránsito de Microsoft Entra	Media	Script de PowerShell del controlador de dominio	Vea la consulta después de la tabla.	Use la información de Microsoft Entra Connect: solución de problemas de autenticación de tránsito para obtener instrucciones.

Kusto

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>

</Query>

</QueryList>

Supervisión para la creación de nuevos inquilinos de Microsoft Entra

Es posible que las organizaciones necesiten supervisar y alertar sobre la creación de nuevos inquilinos de Microsoft Entra cuando las identidades de su inquilino organizativo inician la acción. La supervisión de este escenario proporciona visibilidad sobre cuántos inquilinos se crean y los usuarios finales pueden acceder a ellos.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Creación de un nuevo inquilino de Microsoft Entra mediante una identidad del inquilino.	Media	Registros de auditoría de Microsoft Entra	Categoría: administración de directorios Actividad: crear empresa	Los destinos muestran el TenantID creado

Conector de red privada

Microsoft Entra ID y el proxy de aplicación de Microsoft Entra ofrecen a los usuarios remotos una experiencia de inicio de sesión único (SSO). Los usuarios se conectan de forma segura a las aplicaciones locales sin una red privada virtual (VPN) ni servidores de doble conexión ni reglas de firewall. Si el servidor del conector de red privada de Microsoft Entra está en peligro, los atacantes podrían modificar la experiencia de inicio de sesión único (SSO) o cambiar el acceso a las aplicaciones publicadas.

Para configurar la supervisión de Application Proxy, consulte Solución de problemas y mensajes de error de Application Proxy. El archivo de datos que registra información se puede encontrar en Registros de aplicaciones y servicios\Microsoft\Microsoft\Entra private network\Connector\Admin. Para obtener una guía de referencia completa sobre la actividad de auditoría, consulte referencia de actividad de auditoría de Microsoft Entra. Aspectos específicos que supervisar:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Errores de Kerberos	Media	Varias herramientas	Media	Guía de errores de autenticación Kerberos en Errores de Kerberos en Solución de problemas y mensajes de error de Application Proxy.
Problemas de seguridad de DC	Alto	Registros de auditoría de seguridad de DC	Id. de evento 4742(S): Se cambió una cuenta de equipo - y - Marca: de confianza para delegación O bien Marca: de confianza para autenticarse para delegación	Investigue todo cambio de marca.
Ataques similares a pass-the-ticket	Alto			Siga las instrucciones en: Reconocimiento de entidad de seguridad (LDAP) (identificador externo 2038) Tutorial: Alertas de credenciales en peligro Comprensión y uso de las rutas de desplazamiento lateral con Microsoft Defender for Identity Reconocimiento de los perfiles de entidades

Configuración de la autenticación heredada

Para que la autenticación multifactor (MFA) sea efectiva, también es necesario bloquear la autenticación heredada. Luego tiene que supervisar el entorno y alertar sobre cualquier uso de la autenticación heredada. Los protocolos de autenticación heredados, como POP, SMTP, IMAP y MAPI, no pueden aplicar MFA. Esto convierte estos protocolos en los puntos de entrada preferidos de los atacantes. Para más información sobre las herramientas que puede usar para bloquear la autenticación heredada, consulte Nuevas herramientas para bloquear la autenticación heredada en su organización.

La autenticación heredada se captura en el registro de inicio de sesión de Microsoft Entra como parte de los detalles del evento. Puede usar el libro de Azure Monitor para ayudar a detectar el uso de la autenticación heredada. Para obtener más información, consulte inicios de sesión mediante la autenticación heredada, que forma parte de Cómo usar los libros de Azure Monitor para informes de Microsoft Entra. También puede usar el libro Protocolos no seguros para Microsoft Sentinel. Para obtener más información, vea Guía de implementación del libro de protocolos no seguros de Microsoft Sentinel. Entre las actividades específicas que se deben supervisar se incluyen:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Autenticaciones heredadas	Alto	Registro de inicios de sesión de Microsoft Entra	ClientApp: POP ClientApp: IMAP ClientApp: MAPI ClientApp: SMTP ClientApp: ActiveSync en EXO Otros clientes = SharePoint y EWS	En entornos de dominio federados, las autenticaciones con errores no se registran, por lo que no aparecerán en el registro.

Microsoft Entra Connect

Microsoft Entra Connect proporciona una ubicación centralizada que habilita la sincronización de cuentas y atributos entre su entorno Microsoft Entra local y en la nube. Microsoft Entra Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Ofrece las siguientes características:

• Sincronización de hash de contraseña: un método de inicio de sesión que sincroniza el hash de la contraseña de un usuario de AD local con Microsoft Entra ID.

• Sincronización: responsable de la creación de usuarios, grupos y otros objetos. A continuación, debe asegurarse de que la información de identidad de los usuarios y los grupos de su entorno local coincide con la de la nube. Esta sincronización también incluye los códigos hash de contraseña.

• Seguimiento de estado Microsoft Entra Connect Health puede proporcionar una sólida supervisión y una ubicación central en Azure Portal donde se puede ver esta actividad.

La sincronización de la identidad entre el entorno local y el entorno en la nube presenta una nueva superficie de ataque para el entorno local y el basado en la nube. Es recomendable que:

• Los servidores de Microsoft Entra Connect principal y de almacenamiento provisional se tratan como sistemas de nivel 0 en el plano de control.

• Siga un conjunto estándar de directivas que rigen cada tipo de cuenta y su uso en su entorno.

• Instale Microsoft Entra Connect y Connect Health. Ofrecen principalmente datos operativos para el entorno.

El registro de las operaciones de Microsoft Entra Connect se produce de maneras diferentes:

• El asistente de Microsoft Entra Connect registra los datos en \ProgramData\AADConnect. Cada vez que se invoca al asistente, se crea un archivo de registro de seguimiento con marca de tiempo. El registro de seguimiento se puede importar en Sentinel u otras herramientas de Administración de eventos e información de seguridad (SIEM) de terceros para su análisis.

• Algunas operaciones inician un script de PowerShell para capturar información de registro. Para recopilar estos datos, debe asegurarse de que el registro de bloques de script esté habilitado.

Cambios en la configuración de supervisión

Microsoft Entra ID usa Microsoft SQL Server Data Engine o SQL para almacenar información de configuración de Microsoft Entra Connect. Por lo tanto, la supervisión y la auditoría de los archivos de registro asociados a la configuración deben incluirse en la estrategia de supervisión y auditoría. En concreto, incluya las siguientes tablas en la estrategia de supervisión y alertas.

Elementos para supervisar	Where	Notas
mms_management_agent	Registros de auditoría del servicio SQL	Consulte Registros de SQL Server Audit
mms_partition	Registros de auditoría del servicio SQL	Consulte Registros de SQL Server Audit
mms_run_profile	Registros de auditoría del servicio SQL	Consulte Registros de SQL Server Audit
mms_server_configuration	Registros de auditoría del servicio SQL	Consulte Registros de SQL Server Audit
mms_synchronization_rule	Registros de auditoría del servicio SQL	Consulte Registros de SQL Server Audit

Para obtener información sobre qué y cómo supervisar la información de configuración, consulte:

• Para SQL Server, consulte Registros de SQL Server Audit.

• Para Microsoft Sentinel, vea Conexión a servidores Windows para recopilar eventos de seguridad.

• Para obtener información sobre cómo configurar y usar Microsoft Entra Connect, consulte ¿Qué es Microsoft Entra Connect?

Supervisión y solución de problemas de sincronización

Una función de Microsoft Entra Connect es sincronizar la sincronización de hash entre la contraseña local de un usuario y Microsoft Entra ID. Si las contraseñas no se sincronizan según lo esperado, la sincronización puede afectar a la totalidad o parte de los usuarios. Use lo siguiente para ayudar a comprobar el funcionamiento correcto o para solucionar problemas:

• Información para comprobar y solucionar problemas de sincronización de hash, consulte Solución de problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.

• Modificaciones en los espacios del conector, consulte Solución de problemas de objetos y atributos de Microsoft Entra Connect.

Recursos importantes para la supervisión

Elementos para supervisar	Recursos
Validación de la sincronización de hash	Consulte, Solución de problemas de sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.
Modificaciones en los espacios del conector	Consulte Solución de problemas de objetos y atributos de Microsoft Entra Connect.
Modificaciones en las reglas que configuró	Supervisar los cambios en: filtrado, dominio y unidad organizativa, atributo y cambios basados en grupos
Cambios de SQL y MSDE	Cambios en los parámetros de registro y adición de funciones personalizadas.

Supervise lo siguiente:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Cambios de Scheduler	Alto	PowerShell	Set-ADSyncScheduler	Buscar modificaciones en la programación
Cambios en las tareas programadas	Alto	Registros de auditoría de Microsoft Entra	Actividad = 4699(S): se eliminó una tarea programada O bien Actividad = 4701(s): se deshabilitó una tarea programada O bien Actividad = 4702(s): se actualizó una tarea programada	Supervisar todo

• Para más información sobre el registro de operaciones de script de PowerShell, consulte Habilitación del registro de bloques de script, que forma parte de la documentación de referencia de PowerShell.

• Para más información sobre cómo configurar el registro de PowerShell para su análisis por parte de Splunk, consulte Get Data into Splunk User Behavior Analytics (Obtención de datos en el análisis de comportamiento de usuarios de Splunk).

Supervisión del inicio de sesión único de conexión directa

El inicio de sesión único de conexión directa (SSO de conexión directa) de Microsoft Entra permite iniciar sesión automáticamente a los usuarios en equipos de escritorio corporativos conectados a la red de la empresa. El inicio de sesión único de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones basadas en la nube sin necesidad de usar otros componentes locales. El inicio de sesión único usa las funcionalidades de autenticación de tránsito y sincronización de hash de contraseña proporcionadas por Microsoft Entra Connect.

La supervisión de la actividad de inicio de sesión único y de Kerberos puede ayudarle a detectar patrones generales de ataque de robo de credenciales. Use la siguiente información para la supervisión:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Errores asociados a errores de validación de inicio de sesión único y Kerberos	Media	Registro de inicios de sesión de Microsoft Entra		Lista de códigos de error de inicio de sesión único en Inicio de sesión único.
Consulta sobre solución de problemas	Media	PowerShell	Consulte Query en la tabla siguiente. Compruebe cada bosque con inicio de sesión único habilitado.	Compruebe cada bosque con inicio de sesión único habilitado.
Eventos relacionados con Kerberos	Alto	Supervisión de Microsoft Defender for Identity		Revise la guía disponible en Rutas de desplazamiento lateral (LMP) de Microsoft Defender for Identity.

Kusto

<QueryList>

<Query Id="0" Path="Security">

<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>

</Query>

</QueryList>

Directivas de protección con contraseña

Si implementa Protección con contraseña de Microsoft Entra, la supervisión y la notificación son tareas fundamentales. En los vínculos siguientes se ofrece información detallada para ayudarle a conocer las distintas técnicas de supervisión, además de explicar dónde registra cada servicio la información y cómo envía notificaciones sobre el uso de la protección con contraseña de Microsoft Entra.

Los servicios del agente de controlador de dominio (DC) y de proxy registran mensajes en el registro de eventos. Todos los cmdlets de PowerShell que se describe a continuación solo están disponibles en el servidor proxy (consulte el módulo de PowerShell AzureADPasswordProtection). El software del agente de controlador de dominio no instala ningún módulo de PowerShell.

Puede encontrar información detallada para planear e implementar la protección con contraseña local en Planeación e implementación de la protección con contraseña de Microsoft Entra local. Para detalles de supervisión, consulte Supervisión de protección con contraseña de Microsoft Entra local. En cada controlador de dominio, el software del servicio del agente de DC escribe los resultados de cada operación de validación de contraseña individual (y otros estados) en el registro de eventos local siguiente:

• \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Admin

• \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Operational

• \Registros de aplicaciones y servicios\Microsoft\AzureADPasswordProtection\DCAgent\Trace

El registro de administración del agente de controlador de dominio es la principal fuente de información de cómo se comporta el software. De manera predeterminada, el registro de seguimiento está desactivado y debe habilitarse antes de que se registren los datos. Para solucionar los problemas de proxy de aplicación y los mensajes de error, puede encontrar información detallada en Solución de problemas del proxy de aplicación de Microsoft Entra. La información de estos eventos se registra en:

• Registros de aplicaciones y servicios\Microsoft\Red privada Microsoft Entra\Connector\Admin

• Registro de auditoría de Microsoft Entra, categoría proxy de aplicación

La referencia completa para las actividades de auditoría de Microsoft Entra está disponible en Referencia sobre actividades de auditoría Microsoft Entra.

Acceso condicional

En Microsoft Entra ID, el acceso a los recursos se puede proteger mediante la configuración de directivas de acceso condicional. Como administrador de TI, quiere tener la certeza de que las directivas de acceso condicional funcionan según lo previsto para garantizar que los recursos están protegidos correctamente. La supervisión y las alertas sobre los cambios en el servicio de acceso condicional garantiza que las directivas definidas por la organización para el acceso a los datos se aplican correctamente. Microsoft Entra se registra cuando se realizan cambios en el acceso condicional y también proporciona libros para asegurarse de que las directivas proporcionan la cobertura esperada.

Vínculos de libro

• Información detallada e informes del acceso condicional

• Libro del analizador de brechas en el acceso condicional

Supervise los cambios en las directivas de acceso condicional mediante la siguiente información:

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Nueva directiva de acceso condicional creada por actores no aprobados	Media	Registros de auditoría de Microsoft Entra	Actividad: Agregar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario	Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional? Plantilla de Microsoft Sentinel Reglas sigma
Directiva de acceso condicional eliminada por actores no aprobados	Media	Registros de auditoría de Microsoft Entra	Actividad: Eliminar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario	Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional? Plantilla de Microsoft Sentinel Reglas sigma
Directiva de acceso condicional actualizada por actores no aprobados	Media	Registros de auditoría de Microsoft Entra	Actividad: Actualizar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario	Supervisar y alertar sobre los cambios de acceso condicional. Está iniciado por (actor): ¿está aprobado para realizar cambios en el acceso condicional? Revise las propiedades modificadas y compare el valor "old" frente a "new" Plantilla de Microsoft Sentinel Reglas sigma
Eliminación de un usuario de un grupo usado para definir el ámbito de las directivas de acceso condicional críticas	Media	Registros de auditoría de Microsoft Entra	Actividad: Quitar miembro de grupo Categoría: GroupManagement Destino: Nombre principal de usuario	Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas. "Destino" es el usuario que se ha quitado. Reglas sigma
La adición de un usuario a un grupo usado para definir el ámbito de las directivas de acceso condicional críticas	Bajo	Registros de auditoría de Microsoft Entra	Actividad: Agregar miembro a grupo Categoría: GroupManagement Destino: Nombre principal de usuario	Monitor and Alert para grupos se usa para definir el ámbito de las directivas de acceso condicional críticas. "Destino" es el usuario que se ha agregado. Reglas sigma

Pasos siguientes

Introducción a las operaciones de seguridad de Microsoft Entra

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos