Operaciones de seguridad de Microsoft Entra para Privileged Identity Management

Artículo
25/11/2024

La seguridad de los recursos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI. Los atacantes cibernéticos usan ataques de robo de credenciales dirigidos a las cuentas de administrador y otras cuentas de acceso con privilegios para intentar acceder a datos confidenciales.

En el caso de los servicios en la nube, la prevención y la respuesta son responsabilidades conjuntas del proveedor de los servicios en la nube y del cliente.

Tradicionalmente, la seguridad de la organización se ha centrado en los puntos de entrada y salida de una red, como el perímetro de seguridad. Sin embargo, las aplicaciones SaaS y los dispositivos personales han hecho que este enfoque sea menos eficaz. En Microsoft Entra ID, se ha reemplazado el perímetro de seguridad de la red por la autenticación en la capa de identidad de la organización. A medida que se asignan roles administrativos con privilegios a los usuarios, su acceso debe protegerse en los entornos locales, de nube e híbridos.

Usted es totalmente responsable de todas las capas de seguridad de su entorno de TI local. Cuando se usan servicios en la nube de Azure, la prevención y la respuesta son responsabilidades conjuntas de Microsoft como proveedor de servicios en la nube y de usted como cliente.

Para más información sobre el modelo de responsabilidad compartida, consulte Responsabilidad compartida en la nube.
Para más información sobre cómo proteger el acceso de los usuarios con privilegios, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.
Puede encontrar una amplia variedad de vídeos, guías paso a paso y contenido de conceptos clave sobre la identidad con privilegios en Documentación sobre Privileged Identity Management.

Privileged Identity Management (PIM) es un servicio de Microsoft Entra que permite administrar, controlar y supervisar el acceso a recursos importantes de la organización. Estos recursos incluyen recursos en Microsoft Entra ID, Azure y otros servicios de Microsoft Online Services, como Microsoft 365 o Microsoft Intune. Puede usar PIM para ayudar a mitigar los siguientes riesgos:

Identificar y minimizar el número de personas que tienen acceso a información y recursos seguros.
Detectar permisos de acceso excesivos, innecesarios o mal usados en recursos confidenciales.
Reducir las posibilidades de que actores malintencionados obtengan acceso a información o recursos protegidos.
Reducir la posibilidad de que usuarios no autorizados alteren por accidente recursos confidenciales.

Use este artículo para consultar instrucciones sobre cómo establecer líneas base, auditar inicios de sesión y usar cuentas con privilegios. Use el origen del registro de auditoría de origen para ayudar a mantener la integridad de la cuenta con privilegios.

Dónde buscar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra con otras herramientas que permiten la supervisión y la creación de alertas de forma automática:

Microsoft Sentinel : permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).
Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.
Azure Monitor : permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubs integrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.
Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.
Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

En el resto de este artículo se proporcionan recomendaciones para establecer una línea de base sobre la que supervisar y generar alertas, con un modelo de niveles. Los vínculos a soluciones pregeneradas aparecen después de la tabla. También puede crear alertas mediante las herramientas anteriores. El contenido se organiza en las siguientes áreas:

Líneas de base
Asignación de roles de Microsoft Entra
Configuración de alertas de rol de Microsoft Entra
Asignación de roles de recursos de Azure
Administración del acceso a los recursos de Azure
Acceso con privilegios elevados para administrar suscripciones de Azure

Líneas de base

Esta es la configuración de línea de base recomendada:

Elementos para supervisar	Nivel de riesgo	Recomendación	Roles	Notas
Asignación de roles de Microsoft Entra	Alto	Exigir una justificación para la activación. Exigir la aprobación para la activación. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas.	Administrador de seguridad, Administrador de roles con privilegios o Administrador global	Un Administrador de Rol con Privilegios puede personalizar PIM en su organización de Microsoft Entra, incluidos los cambios en la experiencia de los usuarios que activan una asignación de rol elegible.
Configuración del rol de recursos de Azure	Alto	Exigir una justificación para la activación. Exigir la aprobación para la activación. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas.	Propietario o Administrador de acceso de usuarios	Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno.

Alertas de Privileged Identity Management

Privileged Identity Management (PIM) genera alertas cuando hay actividades sospechosas o no seguras en su organización de Microsoft Entra. Cuando se genera una alerta, aparece en el panel Privileged Identity Management. También puede configurar una notificación por correo electrónico o enviarla a su SIEM a través de GraphAPI. Dado que estas alertas se centran específicamente en roles administrativos, debe supervisar estrechamente las alertas.

Elementos para supervisar	Nivel de riesgo	Where	Experiencia de usuario de filtro o subfiltro	Notas
Los roles se están asignando fuera de Privileged Identity Management	Alto	Privileged Identity Management, alertas	Los roles se están asignando fuera de Privileged Identity Management	Configuración de alertas de seguridad Reglas sigma
Posibles cuentas obsoletas en un rol con privilegios	Media	Privileged Identity Management, alertas	Posibles cuentas obsoletas en un rol con privilegios	Configuración de alertas de seguridad Reglas sigma
Los administradores no están usando sus roles con privilegios	Bajo	Privileged Identity Management, alertas	Los administradores no están usando sus roles con privilegios	Configuración de alertas de seguridad Reglas sigma
Roles no requieren autenticación multifactor para la activación	Bajo	Privileged Identity Management, alertas	Roles no requieren autenticación multifactor para la activación	Configuración de alertas de seguridad Reglas sigma
La organización no tiene Microsoft Entra ID P2 ni Azure AD Identity Governance	Bajo	Privileged Identity Management, alertas	La organización no tiene Microsoft Entra ID P2 ni Azure AD Identity Governance	Configuración de alertas de seguridad Reglas sigma
Hay demasiados administradores globales	Bajo	Privileged Identity Management, alertas	Hay demasiados administradores globales	Configuración de alertas de seguridad Reglas sigma
Se están activando roles con demasiada frecuencia	Bajo	Privileged Identity Management, alertas	Se están activando roles con demasiada frecuencia	Configuración de alertas de seguridad Reglas sigma

Asignación de roles de Microsoft Entra

Un administrador de roles con privilegios puede personalizar PIM en su organización de Microsoft Entra, lo que incluye cambiar la experiencia del usuario para activar una asignación de roles apta:

Evitar que un alguien que actúe con mala intención quite los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios.
Evitar que los usuarios malintencionados omitan la justificación y la aprobación de la activación del acceso con privilegios.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Alerta sobre la incorporación de cambios a permisos de cuenta con privilegios	Alto	Registros de auditoría de Microsoft Entra	Categoría = Administración de roles \- y - Tipo de actividad: agregar un miembro válido (permanente) \- y - Tipo de actividad: agregar un miembro válido (opcional) \- y - Estado = correcto/error \- y - Propiedades modificadas = Role.DisplayName	Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener privilegios para modificar la configuración de asignación de roles. Si no tiene un umbral definido, genere una alerta cuando haya 4 en 60 minutos para los usuarios y cuando haya 2 en 60 minutos para las cuentas con privilegios. Reglas sigma
Alerta sobre los cambios de eliminación masiva en los permisos de cuentas con privilegios	Alto	Registros de auditoría de Microsoft Entra	Categoría = Administración de roles \- y - Tipo de actividad: quitar un miembro válido (permanente) \- y - Tipo de actividad: quitar un miembro válido (opcional) \- y - Estado = correcto/error \- y - Propiedades modificadas = Role.DisplayName	Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno. Plantilla de Microsoft Sentinel Reglas sigma
Cambios en la configuración de PIM	Alto	Registro de auditoría de Microsoft Entra	Servicio = PIM \- y - Categoría = Administración de roles \- y - Tipo de actividad = Actualización de la configuración de roles en PIM \- y - Motivo de estado = MFA durante la activación deshabilitada (ejemplo)	Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener acceso para modificar la configuración de asignación de roles. Una de estas acciones podría reducir la seguridad de la elevación de PIM y facilitar a los atacantes la adquisición de una cuenta con privilegios. Plantilla de Microsoft Sentinel Reglas sigma
Elevación de aprobaciones y denegaciones	Alto	Registro de auditoría de Microsoft Entra	Servicio = Revisión de acceso \- y - Categoría = UserManagement \- y - Tipo de actividad = Solicitud aprobada o denegada \- y - Actor iniciado = UPN	Se deben supervisar todas las elevaciones. Registre todas las elevaciones, ya que podrían ser un indicio claro de la escala de tiempo de un ataque. Plantilla de Microsoft Sentinel Reglas sigma
La configuración de alerta cambia a deshabilitado.	Alto	Registros de auditoría de Microsoft Entra	Servicio =PIM \- y - Categoría = Administración de roles \- y - Tipo de actividad = Deshabilitar alerta de PIM \- y - Estado = correcto/error	Genere una alerta siempre. Ayuda a detectar actores no autorizados que quitan alertas asociadas a los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios. Ayuda a detectar actividades sospechosas o poco seguras. Plantilla de Microsoft Sentinel Reglas sigma

Para más información sobre cómo identificar cambios en la configuración de roles en el registro de auditoría de Microsoft Entra, consulte Visualización del historial de auditoría para los roles de Microsoft Entra en Privileged Identity Management.

Asignación de roles de recursos de Azure

La supervisión de las asignaciones de roles de recursos de Azure proporciona visibilidad sobre la actividad y las activaciones de los roles de recursos. Es posible que se utilicen incorrectamente para crear una superficie de ataque a un recurso. Cuando supervise este tipo de actividad, intente detectar:

Asignaciones de roles de consulta en recursos específicos
Asignaciones de roles para todos los recursos secundarios
Todos los cambios de asignación de roles activos y válidos

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Auditoría de recursos de alerta Auditoría de registro de actividades de cuentas con privilegios	Alto	En PIM, en recursos de Azure, Auditoría de recursos	Acción: agregar un miembro válido al rol en PIM finalizado (límite de tiempo) \- y - Destino principal \- y - Tipo = Usuario \- y - Estado = Correcto	Genere una alerta siempre. Ayuda a detectar actores no autorizados que agregan roles válidos para administrar todos los recursos de Azure.
Auditoría de recurso de alerta Auditoría para deshabilitar alerta	Media	En PIM, en recursos de Azure, Auditoría de recursos	Acción: deshabilitar alerta \- y - Objetivo principal: demasiados propietarios asignados a un recurso \- y - Estado = Correcto	Ayuda a detectar actores no autorizados que deshabilitan las alertas desde el panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga
Auditoría de recurso de alerta Auditoría para deshabilitar alerta	Media	En PIM, en recursos de Azure, Auditoría de recursos	Acción: deshabilitar alerta \- y - Objetivo principal: demasiados propietarios permanentes asignados a un recurso \- y - Estado = Correcto	Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga
Auditoría de recurso de alerta Auditoría para deshabilitar alerta	Media	En PIM, en recursos de Azure, Auditoría de recursos	Acción: deshabilitar alerta \- y - Se ha creado un rol duplicado de destino principal \- y - Estado = Correcto	Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga

Para más información sobre la configuración de alertas y la auditoría de roles de recursos de Azure, consulte:

Administración del acceso para recursos y suscripciones de Azure

Los usuarios o miembros de un grupo que tienen asignados los roles de suscripciones de propietario o de administrador de acceso de usuario, y los administradores globales de Microsoft Entra que permiten la administración de suscripciones en Microsoft Entra ID tienen, de forma predeterminada, permisos de administrador de recursos. Estos administradores pueden asignar roles, configurar opciones de rol y revisar el acceso con Privileged Identity Management (PIM) a los recursos de Azure.

Un usuario que tenga permisos de administrador de recursos puede administrar PIM para los recursos. Supervise y reduzca este riesgo: la funcionalidad se puede usar para permitir que actores no autorizados tengan acceso con privilegios a los recursos de la suscripción de Azure, como máquinas virtuales o cuentas de almacenamiento.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Elevaciones	Alto	Microsoft Entra ID, en Administrar, Propiedades	Revise periódicamente la configuración. Administración del acceso a los recursos de Azure	Los administradores globales pueden elevar sus privilegios si se habilita la administración del acceso a los recursos de Azure. Compruebe que actores no autorizados no hayan obtenido permisos para asignar roles en todas las suscripciones y grupos de administración de Azure asociados a Active Directory.

Para más información, consulte Asignación de roles de recursos de Azure en Privileged Identity Management

Pasos siguientes

Introducción a las operaciones de seguridad de Microsoft Entra

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura

Recursos adicionales

Documentación

Operaciones de seguridad para cuentas con privilegios en Microsoft Entra id - Microsoft Entra

Obtenga información sobre las líneas de base cómo supervisar y alertar sobre posibles problemas de seguridad con las cuentas con privilegios en Microsoft Entra ID.
Operaciones de seguridad de Microsoft Entra para infraestructuras - Microsoft Entra

Obtenga información sobre cómo supervisar y alertar sobre los componentes de infraestructura para detectar amenazas de seguridad.
Operaciones de seguridad de Microsoft Entra para cuentas de usuario - Microsoft Entra

Guía para establecer bases de referencia y cómo supervisar y alertar sobre posibles problemas de seguridad con las cuentas de usuario.
Operaciones de seguridad de Microsoft Entra para aplicaciones - Microsoft Entra

Obtenga información sobre cómo supervisar y enviar alertas sobre aplicaciones para identificar amenazas de seguridad.
Conectar datos de Microsoft Entra a Microsoft Sentinel

Obtenga información sobre cómo recopilar datos de Microsoft Entra ID y transmitir registros de inicio de sesión, auditoría y aprovisionamiento de Microsoft Entra en Microsoft Sentinel.
Guía de operaciones de seguridad de Microsoft Entra - Microsoft Entra

Aprenda a supervisar, identificar y alertar sobre incidencias de seguridad con cuentas, aplicaciones, dispositivos e infraestructura en Microsoft Entra ID.
Visualización del informe de registro de auditoría para los roles de Microsoft Entra en Microsoft Entra PIM - Microsoft Entra ID Governance

Obtenga información sobre cómo ver el historial de registros de auditoría para Microsoft Entra roles en Microsoft Entra Privileged Identity Management (PIM).

Cursos

Módulo

Planificación e implementación de acceso con privilegios - Training

Es necesario asegurarse de que los roles administrativos están protegidos y administrados para aumentar la seguridad de la solución de Azure. Explore cómo usar PIM para proteger sus datos y recursos.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

Compartir a través de