Operaciones de seguridad para cuentas con privilegios en Microsoft Entra ID
La seguridad de los activos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI. Los atacantes cibernéticos usan ataques de robo de credenciales y otros medios dirigidos a las cuentas con privilegios para acceder a datos confidenciales.
Tradicionalmente, la seguridad de la organización se ha centrado en los puntos de entrada y salida de una red, como el perímetro de seguridad. Sin embargo, las aplicaciones de software como servicio (SaaS) y los dispositivos personales en Internet han hecho que este enfoque sea menos eficaz.
Microsoft Entra id. usa la administración de identidades y accesos (IAM) como plano de control. En la capa de identidad de la organización, los usuarios que tienen asignados roles administrativos con privilegios tienen el control. Las cuentas usadas para el acceso deben estar protegidas, independientemente de que se trate de un entorno local, en la nube o híbrido.
Usted es totalmente responsable de todas las capas de seguridad de su entorno de TI local. Cuando se usan servicios de Azure, la prevención y la respuesta son responsabilidades conjuntas de Microsoft como proveedor de servicios en la nube y de usted como cliente.
- Para más información sobre el modelo de responsabilidad compartida, consulte Responsabilidad compartida en la nube.
- Para más información sobre cómo proteger el acceso de los usuarios con privilegios, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.
- Puede encontrar una amplia variedad de vídeos, guías paso a paso y contenido de conceptos clave sobre la identidad con privilegios en Documentación sobre Privileged Identity Management.
Archivos de registro que se van a supervisar
Los archivos de registro que usa para la investigación y supervisión son:
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:
Microsoft Sentinel. Permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar capacidades de Administración de eventos e información de seguridad (SIEM).
Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.
Azure Monitor. Permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubs integrado con una solución de SIEM. Habilita la inserción de los registros de Microsoft Entra en otras soluciones de SIEM, como Splunk, ArcSight, QRadar y Sumo Logic, mediante la integración de Azure Event Hubs. Para más información, consulte Transmisión de registros de Microsoft Entra ID a un centro de eventos de Azure.
Microsoft Defender for Cloud Apps. Permite detectar y administrar aplicaciones, controlar aplicaciones y recursos y comprobar el cumplimiento de las aplicaciones en la nube.
Microsoft Graph. Permite exportar datos y usar Microsoft Graph para realizar más análisis. Para más información, consulte Protección de id. de Microsoft Entra y SDK de PowerShell de Microsoft Graph.
Protección de id. de Microsoft Entra. Genera tres informes clave que puede usar para ayudar en la investigación:
Usuarios de riesgo. Contiene información sobre qué usuarios están en riesgo, detalles sobre detecciones, historial de todos los inicios de sesión de riesgo e historial de riesgos.
Inicios de sesión de riesgo: contiene información sobre un inicio de sesión que puede indicar circunstancias sospechosas. Para más información sobre cómo investigar la información de este informe, consulte Instrucciones: Investigación de riesgos.
Detecciones de riesgo. Contiene información sobre otros riesgos desencadenados cuando se detecta un riesgo y otra información pertinente, como la ubicación de inicio de sesión y los detalles de Microsoft Defender for Cloud Apps.
Proteger identidades de carga de trabajo con Protección de id. de Microsoft Entra. Se usa para detectar el riesgo en las identidades de carga de trabajo en el comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.
Aunque se desaconseja la práctica, las cuentas con privilegios pueden tener derechos de administración permanentes. Si decide usar privilegios permanentes y la cuenta está en peligro, esto puede tener un efecto muy negativo. Se recomienda priorizar la supervisión de las cuentas con privilegios e incluir las cuentas en la configuración de Privileged Identity Management (PIM). Para más información sobre PIM, vea Empiece a usar Privileged Identity Management. Además, se recomienda validar que las cuentas de administrador:
- Son obligatorias.
- Tienen el privilegio mínimo para ejecutar las actividades requeridas.
- Están protegidos con autenticación multifactor como mínimo.
- Se ejecutan desde dispositivos de estación de trabajo de acceso con privilegios (PAW) o de estación de trabajo de administración segura (SAW).
En el resto de este artículo, se describe lo que se recomienda supervisar y alertar sobre ello. El artículo está organizado por tipo de amenaza. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas después de la tabla. De lo contrario, puede crear alertas mediante las herramientas descritas anteriormente.
En este artículo se proporcionan detalles sobre cómo establecer líneas de base y auditar el inicio de sesión y el uso de las cuentas con privilegios. También se analizan las herramientas y los recursos que puede usar para ayudar a mantener la integridad de las cuentas con privilegios. El contenido se organiza en las siguientes áreas:
- Cuentas de acceso de emergencia
- Inicio de sesión en una cuenta con privilegios
- Cambios en la cuenta con privilegios
- Grupos con privilegios
- Asignación y elevación de privilegios
Cuentas de acceso de emergencia
Es importante evitar que se bloquee accidentalmente el inquilino de Microsoft Entra.
Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "máxima emergencia" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.
Envíe una alerta de prioridad alta cada vez que se utilice una cuenta de acceso de emergencia.
Detección
Dado que las cuentas de acceso de emergencia solo se usan si hay una emergencia, la supervisión no debe detectar ninguna actividad de la cuenta. Envíe una alerta de prioridad alta cada vez que se utilice o modifique una cuenta de acceso de emergencia. Cualquiera de los siguientes eventos podría indicar que un actor malintencionado intenta poner en peligro sus entornos:
- Iniciar sesión:
- Cambio de la contraseña de la cuenta.
- Cambio de los roles o los permisos de la cuenta.
- Adición o modificación del método de autenticación o de las credenciales.
Para más información sobre la administración de las cuentas de acceso de emergencia, vea Administración de las cuentas de administrador de acceso de emergencia en Microsoft Entra ID. Para obtener información detallada sobre cómo crear una alerta para una cuenta de emergencia, consulte Crear una regla de alerta.
Inicio de sesión en una cuenta con privilegios
Supervise toda la actividad de inicio de sesión de la cuenta con privilegios mediante los registros de inicio de sesión de Microsoft Entra como el origen de datos. Además de la información de inicio de sesión correcto y con error, los registros contienen los detalles siguientes:
- Interrupciones
- Dispositivo
- Ubicación
- Riesgo
- Aplicación
- Fecha y hora
- ¿La cuenta está deshabilitada?
- Bloqueo
- Fraude de MFA
- Error de acceso condicional
Elementos que se deben supervisar
Puede supervisar los eventos de inicio de sesión de la cuenta con privilegios en los registros de inicio de sesión de Microsoft Entra. Notifique e investigue los siguientes eventos para las cuentas con privilegios.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Error de inicio de sesión, umbral de contraseña incorrecta | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error = 50126 |
Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptar los comportamientos de la organización y limitar la generación de alertas falsas. Plantilla de Microsoft Sentinel Reglas sigma |
| Error debido a un requisito de acceso condicional | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error = 53003 -y- Motivo del error = Bloqueado por el acceso condicional |
Esto puede ser un indicador de que un atacante intenta acceder a la cuenta. Plantilla de Microsoft Sentinel Reglas sigma |
| Cuentas con privilegios que no siguen la directiva de nomenclatura | Suscripción de Azure | Enumeración de asignaciones de roles de Azure mediante Azure Portal | Enumere las asignaciones de roles de las suscripciones y genere alertas cuando el nombre de inicio de sesión no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo. | |
| Interrupción | Alto, medio | Registro de inicio de sesión de Microsoft Entra | Estado = Interrumpido -y- Código de error = 50074 -y- Motivo del error = Se requiere autenticación segura Estado = Interrumpido -y- Código de error = 500121 Motivo del error = Error de autenticación durante la solicitud de autenticación sólida |
Este evento puede ser un indicador de que un atacante tiene la contraseña de la cuenta, pero no puede superar el desafío de autenticación multifactor. Plantilla de Microsoft Sentinel Reglas sigma |
| Cuentas con privilegios que no siguen la directiva de nomenclatura | Alto | Directorio de Microsoft Entra | Enumeración de asignaciones de roles de Microsoft Entra | Enumere las asignaciones de roles de los roles de Microsoft Entra y genere alertas cuando el UPN no coincide con el formato de la organización. Un ejemplo es el uso de ADM_ como prefijo. |
| Detección de cuentas con privilegios no registradas para autenticación multifactor | Alto | Microsoft Graph API | Consulta de IsMFARegistered eq false para cuentas de administrador. Enumeración de los detalles de credentialUserRegistration: Microsoft Graph beta | Audite e investigue para determinar si el evento es intencionado o de vigilancia. |
| Bloqueo de cuenta | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error = 50053 |
Defina un umbral de línea base y, a continuación, supervíselo y ajústelo para adaptarlo a los comportamientos de la organización y limitar la generación de alertas falsas. Plantilla de Microsoft Sentinel Reglas sigma |
| Cuenta deshabilitada o bloqueada para inicios de sesión | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Objetivo = UPN de usuario -y- Código de error = 50057 |
Este evento podría indicar que alguien está intentando obtener acceso a una cuenta después de abandonar la organización. Aunque la cuenta está bloqueada, sigue siendo importante registrar y esta actividad y alertar sobre ella. Plantilla de Microsoft Sentinel Reglas sigma |
| Alerta o bloqueo de fraude de MFA | Alto | Registro de inicios de sesión de Microsoft Entra/Azure Log Analytics | Inicios de sesión>Detalles de autenticación. Detalles del resultado = MFA denegado, código fraudulento especificado | El usuario con privilegios ha indicado que no ha enviado el mensaje de autenticación multifactor, y podría indicar que un atacante tiene la contraseña de la cuenta. Plantilla de Microsoft Sentinel Reglas sigma |
| Alerta o bloqueo de fraude de MFA | Alto | Microsoft Entra registro de auditoría/Azure Log Analytics | Tipo de actividad = Fraude informado: el usuario está bloqueado para MFA o se ha notificado fraude: no se toman medidas (en función de la configuración de nivel de inquilino para el informe de fraude) | El usuario con privilegios ha indicado que no ha enviado el mensaje de autenticación multifactor, y podría indicar que un atacante tiene la contraseña de la cuenta. Plantilla de Microsoft Sentinel Reglas sigma |
| Inicios de sesión de cuentas con privilegios fuera de los controles esperados | Registro de inicios de sesión de Microsoft Entra | Estado = Error UserPricipalName = <Cuenta de administrador> Ubicación = <ubicación no aprobada> Dirección IP = <Dirección IP no aprobada> Información del dispositivo = <Explorador o sistema operativo no aprobados> |
Supervise y alerte sobre todas las entradas que haya definido como no aprobadas. Plantilla de Microsoft Sentinel Reglas sigma |
|
| Fuera de las horas de inicio de sesión normales | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Correcto -y- Ubicación = -y- Hora = Fuera del horario laboral |
Supervise y notifique si los inicios de sesión se producen fuera del horario esperado. Es importante encontrar el patrón de trabajo normal para cada cuenta con privilegios y alertar si hay cambios no planeados fuera de las horas de trabajo normales. Los inicios de sesión fuera del horario laboral normal podrían indicar riesgos o posibles amenazas internas. Plantilla de Microsoft Sentinel Reglas sigma |
| Riesgo de Protección de id. de Microsoft Entra | Alto | Registros de protección de id. | Estado de riesgo = En riesgo -y- Nivel de riesgo = Bajo, medio, alto -y- Actividad = Inicio de sesión desconocido, TOR, etc. |
Este evento indica que se ha detectado alguna anomalía en el inicio de sesión de la cuenta y que es necesario estar alerta. |
| Cambio de contraseña | Alto | Registros de auditoría de Microsoft Entra | Actor de la actividad = Administrador/Autoservicio -y- Objetivo = Usuario -y- Estado = Correcto o error |
Alertar cuando cambia cualquier contraseña de la cuenta Administrador. Escribir una consulta para cuentas con privilegios. Plantilla de Microsoft Sentinel Reglas sigma |
| Modificación del protocolo de autenticación heredado | Alto | Registro de inicios de sesión de Microsoft Entra | Aplicación cliente = Otro cliente, IMAP, POP3, MAPI, SMTP, etc. -y- Nombre de usuario = UPN -y- Aplicación = Exchange (ejemplo) |
Muchos ataques usan la autenticación heredada y, por tanto, si hay un cambio en el protocolo de autenticación del usuario, podría ser un indicador de un ataque. Plantilla de Microsoft Sentinel Reglas sigma |
| Nuevo dispositivo o ubicación | Alto | Registro de inicios de sesión de Microsoft Entra | Información del dispositivo = Id. de dispositivo -y- Navegador -y- Sistema operativo -y- Compatible/Administrado -y- Objetivo = Usuario -y- Ubicación |
La mayoría de la actividad de administración debe proceder de dispositivos de acceso con privilegios, desde un número limitado de ubicaciones. Por este motivo, alerte sobre nuevos dispositivos o ubicaciones. Plantilla de Microsoft Sentinel Reglas sigma |
| Se ha cambiado la configuración de las alertas de auditoría. | Alto | Registros de auditoría de Microsoft Entra | Servicio = PIM -y- Categoría = Administración de roles -y- Actividad = Deshabilitar alerta de PIM -y- Estado = Correcto |
Los cambios en una alerta principal se deben alertar si son inesperados. Plantilla de Microsoft Sentinel Reglas sigma |
| Administradores que se autentican en otros inquilinos de Microsoft Entra | Medio | Registro de inicios de sesión de Microsoft Entra | Estado = correcto Resource tenantID != Home Tenant ID |
En el ámbito de los usuarios con privilegios, este monitor detecta cuándo un administrador se ha autenticado correctamente en otro inquilino de Microsoft Entra con una identidad en el inquilino de la organización. Alerta si Resource TenantID no es igual a Home Tenant ID. Plantilla de Microsoft Sentinel Reglas sigma |
| Estado de usuario administrador cambiado de Invitado a Miembro | Medio | Registros de auditoría de Microsoft Entra | Actividad: Actualización de usuario Categoría: UserManagement UserType ha cambiado de Invitado a Miembro |
Supervisar y alertar sobre el cambio de tipo de usuario de Invitado a Miembro. ¿Se esperaba este cambio? Plantilla de Microsoft Sentinel Reglas sigma |
| Usuarios invitados a inquilinos por invitadores no aprobados | Medio | Registros de auditoría de Microsoft Entra | Actividad: Invitar a un usuario externo Categoría: UserManagement Iniciado por (actor) = Nombre principal de usuario |
Supervisar y alertar sobre actores no aprobados que invitan a usuarios externos. Plantilla de Microsoft Sentinel Reglas sigma |
Cambios por cuentas con privilegios
Supervise todos los cambios completados e intentados por una cuenta con privilegios. Estos datos le permiten establecer lo que es una actividad normal para cada cuenta con privilegios y alertar sobre la actividad que se desvía de lo esperado. Los registros de auditoría de Microsoft Entra se usan para registrar este tipo de evento. Para obtener más información sobre los registros de auditoría de Microsoft Entra, consulte Registros de auditoría en Microsoft Entra ID.
Microsoft Entra Domain Services
Las cuentas con privilegios a las que se han asignado permisos en Microsoft Entra Domain Services pueden realizar tareas para Microsoft Entra Domain Services que afectan a la posición de seguridad de las máquinas virtuales hospedadas en Azure que usan Microsoft Entra Domain Services. Habilite las auditorías de seguridad en las máquinas virtuales y supervise los registros. Para más información sobre cómo habilitar las auditorías de Microsoft Entra Domain Services y para obtener una lista de los privilegios confidenciales, consulte los siguientes recursos:
- Habilitar las auditorías de seguridad para Microsoft Entra Domain Services
- Auditar uso de privilegios confidenciales
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Cambios intentados y completados | Alto | Registros de auditoría de Microsoft Entra | Fecha y hora -y- Servicio -y- Categoría y nombre de la actividad (qué) -y- Estado = Correcto o error -y- Destino -y- Iniciador o actor (quién) |
Los cambios no planeados se deben alertar inmediatamente. Estos registros deben conservarse para ayudar en cualquier investigación. Los cambios de nivel de inquilino se deben investigar inmediatamente (vincular a la documentación de la infraestructura). Cambios que reducirían la posición de seguridad del inquilino. Un ejemplo es excluir cuentas de autenticación multifactor o el acceso condicional. Alerta sobre las adiciones o cambios en las aplicaciones. Consulte Guía de operaciones de seguridad de Microsoft Entra para aplicaciones. |
| Ejemplo Se intentó o completó un cambio en servicios o aplicaciones de alto valor. |
Alto | Registro de auditoría | Servicio -y- Categoría y nombre de la actividad |
Fecha y hora, Servicio, Categoría y nombre de la actividad, Estado = Éxito o error, Destino, Iniciador o actor (quién) |
| Cambios con privilegios en Microsoft Entra Domain Services | Alto | Microsoft Entra Domain Services | Búsqueda del evento 4673 | Habilitar las auditorías de seguridad para Microsoft Entra Domain Services Para obtener una lista de todos los eventos con privilegios, consulte Auditoría del uso de privilegios confidenciales. |
Cambios en cuentas con privilegios
Investigue los cambios en las reglas de autenticación y los privilegios de las cuentas con privilegios, especialmente si el cambio proporciona más privilegios o la capacidad de realizar tareas en el entorno de Microsoft Entra.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Creación de una cuenta con privilegios | Medio | Registros de auditoría de Microsoft Entra | Servicio = Directorio principal -y- Categoría = Administración de usuarios -y- Tipo de actividad = Agregar usuario —correlacionar con— Tipo de categoría = Administración de roles -y- Tipo de actividad = Agregar miembro a un rol -y- Propiedades modificadas = Role.DisplayName |
Supervise la creación de cualquier cuenta con privilegios. Busque la correlación de un intervalo de tiempo corto entre la creación y la eliminación de cuentas. Plantilla de Microsoft Sentinel Reglas sigma |
| Cambios en los métodos de autenticación | Alto | Registros de auditoría de Microsoft Entra | Servicio = Método de autenticación -y- Tipo de actividad = Información de seguridad registrada por el usuario -y- Categoría = Administración de usuarios |
Este cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para poder tener acceso continuado. Plantilla de Microsoft Sentinel Reglas sigma |
| Alerta sobre cambios en los permisos de cuentas con privilegios | Alto | Registros de auditoría de Microsoft Entra | Categoría = Administración de roles -y- Tipo de actividad = Agregar un miembro elegible (permanente) -o- Tipo de actividad: Agregar un miembro elegible (elegible) -y- Estado = Correcto o error -y- Propiedades modificadas = Role.DisplayName |
Esta alerta es especialmente para las cuentas a las que se asignan roles que no se conocen o están fuera de sus responsabilidades normales. Reglas sigma |
| Cuentas con privilegios no utilizadas | Medio | Revisión de acceso de Microsoft Entra | Realice una revisión mensual de las cuentas de usuario con privilegios inactivas. Reglas sigma |
|
| Cuentas exentas del acceso condicional | Alto | Registros de Azure Monitor -o- Revisiones de acceso |
Acceso condicional = Información e informes | Es muy probable que cualquier cuenta exenta del acceso condicional omita los controles de seguridad y sea más vulnerable a riesgos. Las cuentas de emergencia están exentas. Consulte la información sobre cómo supervisar las cuentas de emergencia más adelante en este artículo. |
| Adición de un pase de acceso temporal a una cuenta con privilegios | Alto | Registros de auditoría de Microsoft Entra | Actividad: Información de seguridad registrada por el administrador Razón para el estado: Método de pase de acceso temporal registrado por el administrador para el usuario Categoría: UserManagement Iniciado por (actor) = Nombre principal de usuario Destino: Nombre principal de usuario |
Supervisar y alertar sobre un pase de acceso temporal que se crea para un usuario con privilegios. Plantilla de Microsoft Sentinel Reglas sigma |
Para más información sobre cómo supervisar las excepciones a las directivas de acceso condicional, vea Información detallada e informes del acceso condicional.
Para más información sobre cómo detectar cuentas con privilegios no utilizadas, vea Creación de una revisión de acceso para los roles de Microsoft Entra en Privileged Identity Management (PIM).
Asignación y elevación
Tener cuentas con privilegios que se aprovisionan permanentemente con capacidades elevadas puede aumentar la superficie expuesta a ataques y el riesgo para el límite de seguridad. En su lugar, emplee el acceso cuando es necesario mediante un procedimiento de elevación de privilegios. Este tipo de sistema permite asignar la elegibilidad para los roles con privilegios. Los administradores elevan sus privilegios a esos roles solo cuando realizan tareas que necesitan esos privilegios. El uso de un proceso de elevación le permite supervisar las elevaciones y el no uso de cuentas con privilegios.
Establecimiento de una línea de base
Para supervisar las excepciones, primero debe crear una línea de base. Determine la siguiente información para estos elementos.
Cuentas de administrador
- La estrategia de su cuenta con privilegios
- Uso de cuentas locales para administrar recursos locales
- Uso de cuentas basadas en la nube para administrar recursos en la nube
- Enfoque para separar y supervisar los permisos administrativos de los recursos locales y basados en la nube
Protección de roles con privilegios
- Estrategia de protección para los roles que tienen privilegios administrativos
- Directiva de la organización para usar cuentas con privilegios
- Estrategia y principios para mantener privilegios permanentes frente a proporcionar acceso con límite de tiempo y aprobado
Los siguientes conceptos e información le ayudan a determinar las directivas.
- Principios de administración cuando es necesario. Use los registros de Microsoft Entra para capturar información para realizar tareas administrativas comunes en su entorno. Determine la cantidad de tiempo típica necesaria para completar las tareas.
- Principios de administración de solo los privilegios necesarios. Determine el rol con privilegios mínimos, que puede ser un rol personalizado, necesario para las tareas administrativas. Para obtener más información, consulte Roles con privilegios mínimos por tarea en Microsoft Entra ID.
- Establecer una directiva de elevación de privilegios. Una vez que tenga información sobre el tipo de privilegios elevados necesarios y cuánto tiempo se necesita para cada tarea, cree directivas que reflejen el uso con privilegios elevados para su entorno. Como ejemplo, defina una directiva para limitar la elevación de privilegios a una hora.
Una vez establecida la línea base y la directiva, puede configurar la supervisión para detectar y alertar sobre el uso fuera de la directiva.
Detección
Preste especial atención a los cambios en la asignación y la elevación de privilegios e investíguelos.
Elementos que se deben supervisar
Puede supervisar los cambios en cuentas con privilegios con los registros de auditoría de Microsoft Entra y los registros de Azure Monitor. Incluya los siguientes cambios en el proceso de supervisión.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Agregado a un rol con privilegios elegible | Alto | Registros de auditoría de Microsoft Entra | Servicio = PIM -y- Categoría = Administración de roles -y- Tipo de actividad = Agregar miembro al rol completado (elegible) -y- Estado = Correcto o error -y- Propiedades modificadas = Role.DisplayName |
Ahora se proporciona acceso con privilegios a cualquier cuenta elegible para un rol. Si la asignación es inesperada o en un rol que no es responsabilidad del titular de la cuenta, investigue. Plantilla de Microsoft Sentinel Reglas sigma |
| Roles asignados fuera de PIM | Alto | Registros de auditoría de Microsoft Entra | Servicio = PIM -y- Categoría = Administración de roles -y- Tipo de actividad = Agregar miembro a rol (permanente) -y- Estado = Correcto o error -y- Propiedades modificadas = Role.DisplayName |
Estos roles se deben supervisar y alertar sobre ellos estrechamente. Los usuarios no deben tener roles asignados fuera de PIM siempre que sea posible. Plantilla de Microsoft Sentinel Reglas sigma |
| Elevaciones | Medio | Registros de auditoría de Microsoft Entra | Servicio = PIM -y- Categoría = Administración de roles -y- Tipo de actividad = Agregar miembro al rol completado (activación de PIM) -y- Estado = Correcto o error -y- Propiedades modificadas = Role.DisplayName |
Una vez que se ha elevado una cuenta con privilegios, es posible realizar cambios que podrían afectar a la seguridad del inquilino. Se deben registrar todas las elevaciones de privilegios y, si se están produciendo fuera del patrón estándar de ese usuario, se debe alertar e investigar si no está planeado. |
| Elevación de aprobaciones y denegaciones | Bajo | Registros de auditoría de Microsoft Entra | Servicio = Revisión de acceso -y- Categoría = UserManagement -y- Tipo de actividad = Solicitud aprobada o denegada -y- Actor iniciado = UPN |
Supervise todas las elevaciones de privilegios, ya que podrían ser un indicio claro de la escala de tiempo de un ataque. Plantilla de Microsoft Sentinel Reglas sigma |
| Cambios en la configuración de PIM | Alto | Registros de auditoría de Microsoft Entra | Servicio = PIM -y- Categoría = Administración de roles -y- Tipo de actividad = Actualización de la configuración de roles en PIM -y- Razón para el estado = MFA durante la activación deshabilitada (ejemplo) |
Una de estas acciones podría reducir la seguridad de la elevación de PIM y facilitar a los atacantes la adquisición de una cuenta con privilegios. Plantilla de Microsoft Sentinel Reglas sigma |
| Elevación que no se produce en SAW/PAW | Alto | Registros de inicio de sesión de Microsoft Entra | Id. de dispositivo -y- Navegador -y- Sistema operativo -y- Compatible/Administrado Correlacionar con: Servicio = PIM -y- Categoría = Administración de roles -y- Tipo de actividad = Agregar miembro al rol completado (activación de PIM) -y- Estado = Correcto o error -y- Propiedades modificadas = Role.DisplayName |
Si se configura este cambio, cualquier intento de elevar los privilegios en un dispositivo que no sea PAW o SAW se debe investigar inmediatamente, ya que podría indicar que un atacante intenta usar la cuenta. Reglas sigma |
| Elevación para administrar todas las suscripciones de Azure | Alto | Azure Monitor | Pestaña Registro de actividad Pestaña Actividad de directorio Nombre de las operaciones = Asigna el autor de llamada al administrador de acceso de usuarios -y- Categoría de evento = Administrativo -y- Estado = correcto, inicio, error -y- Evento iniciado por |
Este cambio se debe investigar inmediatamente si no está planeado. Esta configuración podría permitir que un atacante acceda a las suscripciones de Azure de su entorno. |
Para más información sobre la administración de la elevación, vea Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure. Para obtener información sobre la supervisión de elevaciones de privilegios mediante la información disponible en los registros de Microsoft Entra, consulte Registro de actividad de Azure, que forma parte de la documentación de Azure Monitor.
Para obtener información sobre cómo configurar alertas para los roles de Azure, consulte Configuración de alertas de seguridad para roles de recursos de Azure en Privileged Identity Management.
Pasos siguientes
Consulte estos artículos de la guía de operaciones de seguridad:
Introducción a las operaciones de seguridad de Microsoft Entra
Operaciones de seguridad para cuentas de usuario
Operaciones de seguridad para cuentas de consumidor
Operaciones de seguridad para Privileged Identity Management
Operaciones de seguridad para aplicaciones