Operaciones de seguridad de Microsoft Entra para cuentas de usuario
La identidad del usuario es uno de los aspectos más importantes de la protección de la organización y los datos. En este artículo se proporcionan instrucciones para supervisar la creación, eliminación y uso de cuentas. En la primera parte se explica cómo supervisar la creación y eliminación inusual de una cuenta. En la segunda parte se explica cómo supervisar el uso inusual de la cuenta.
Si aún no ha leído la introducción sobre operaciones de seguridad de Microsoft Entra, le recomendamos que lo haga antes de continuar.
Este artículo trata sobre cuentas de usuario generales. Para las cuentas con privilegios, consulte Operaciones de seguridad: Cuentas con privilegios.
Definición de una base de referencia
Para detectar comportamientos anómalos, primero debe definir cuál es el comportamiento normal y previsible. La definición del comportamiento previsible para su organización le ayuda a determinar cuándo se produce un comportamiento inesperado. La definición también ayuda a reducir el nivel de ruido de los falsos positivos durante la supervisión y el envío de alertas.
Una vez que defina lo que se considera previsible, realice la supervisión de base de referencia para validar sus expectativas. Con esa información, puede supervisar los registros para todo lo que se encuentra fuera de las tolerancias que defina.
Use los registros de auditoría y de inicio de sesión de Microsoft Entra, y los atributos de directorio como orígenes de datos para las cuentas creadas fuera de los procesos normales. Las siguientes son sugerencias que le ayudarán a pensar y definir lo que es normal para su organización.
Creación de cuentas de usuario, evalúe lo siguiente:
Estrategia y principios para las herramientas y procesos usados para crear y administrar cuentas de usuario. Por ejemplo, si hay atributos estándar o formatos que se apliquen a los atributos de las cuentas de usuario.
Orígenes aprobados para la creación de cuentas. Por ejemplo, si se origina en Active Directory (AD), Microsoft Entra ID o en sistemas de recursos humanos como Workday.
Estrategia de alertas para las cuentas creadas fuera de los orígenes aprobados. ¿Hay una lista controlada de organizaciones con las que colabora su organización?
Aprovisionamiento de cuentas de invitado y parámetros de alerta para cuentas creadas fuera de la administración de derechos u otros procesos normales.
Estrategia y parámetros de alerta para las cuentas creadas, modificadas o deshabilitadas por una cuenta que no es un administrador de usuarios aprobado.
Supervisión y estrategia de alertas para cuentas que no tienen atributos estándar, como el id. de empleado o el hecho de no seguir las convenciones de nomenclatura de la organización.
Estrategia, principios y proceso para la eliminación y retención de cuentas.
Cuentas de usuario locales: evalúe los siguientes aspectos para las cuentas sincronizadas con Microsoft Entra Connect:
Bosques, dominios y unidades organizativas en el ámbito de la sincronización. ¿Quiénes son los administradores aprobados que pueden cambiar esta configuración y la frecuencia con la que se comprueba el ámbito?
Tipos de cuentas que se sincronizan. Por ejemplo, cuentas de usuario o cuentas de servicio.
Proceso para crear cuentas locales con privilegios y cómo se controla la sincronización de este tipo de cuenta.
Proceso para crear cuentas de usuario locales y cómo se administra la sincronización de este tipo de cuenta.
Para más información sobre cómo proteger y supervisar cuentas locales, consulte Protección de Microsoft 365 contra ataques locales.
Cuenta de usuario en la nube: evalúe los siguientes aspectos:
Proceso para aprovisionar y administrar cuentas en la nube directamente en Microsoft Entra ID.
Proceso para determinar los tipos de usuarios aprovisionados como cuentas en la nube de Microsoft Entra. Por ejemplo, ¿solo permite cuentas con privilegios o también permite cuentas de usuario?
Proceso para crear y mantener una lista de usuarios de confianza y procesos que se espera que creen y administren cuentas de usuario en la nube.
Proceso para crear y mantener una estrategia de alertas para cuentas no aprobadas basadas en la nube.
Dónde mirar
Los archivos de registro que usa para la investigación y supervisión son:
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:
Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).
Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.
Azure Monitor: permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubs integrado con SIEM: los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.
Microsoft Defender for Cloud Apps permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones de la nube.
Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.
Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen e identificar los efectos durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico.
En el resto de este artículo se describe lo que se recomienda supervisar y alertar, y se organiza por el tipo de amenaza. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.
Creación de cuentas
La creación de cuentas anómalas puede indicar un problema de seguridad. Se deben investigar las cuentas de corta duración, las cuentas que no siguen los estándares de nomenclatura y las cuentas creadas fuera de los procesos normales.
Cuentas de corta duración
La creación y eliminación de cuentas fuera de los procesos de administración de identidades normales se deben supervisar en Microsoft Entra ID. Las cuentas de corta duración son cuentas creadas y eliminadas en un breve intervalo de tiempo. Este tipo de creación y eliminación rápida de cuentas podría significar que un actor malintencionado está intentando evitar la detección mediante la creación de cuentas, su uso y la eliminación de la cuenta.
Los patrones de cuentas de corta duración pueden indicar que las personas o procesos no aprobados pueden tener el derecho de crear y eliminar cuentas que no se encuentran en los procesos y directivas establecidos. Este tipo de comportamiento quita los marcadores visibles del directorio.
Si la traza de datos para la creación y eliminación de cuentas no se detecta rápidamente, es posible que la información necesaria para investigar un incidente ya no exista. Por ejemplo, es posible que las cuentas se eliminen y, a continuación, se purguen de la papelera de reciclaje. Los registros de auditoría se conservan 30 días. Sin embargo, puede exportar los registros a Azure Monitor o a una solución de administración de eventos e información de seguridad (SIEM) para una retención a más largo plazo.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Eventos de creación y eliminación de cuentas dentro de un período de tiempo cerrado. | Alto | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto -y- Actividad: Eliminar usuario Estado = correcto |
Busque eventos de nombre principal de usuario (UPN). Busque las cuentas creadas y eliminadas en menos de 24 horas. Plantilla de Microsoft Sentinel |
| Cuentas creadas y eliminadas por usuarios o procesos no aprobados. | Medio | Registros de auditoría de Microsoft Entra | Iniciado por (actor): NOMBRE PRINCIPAL DE USUARIO -y- Actividad: Agregar usuario Estado = correcto y/o Actividad: Eliminar usuario Estado = correcto |
Si los actores son usuarios no aprobados, configure el envío de una alerta. Plantilla de Microsoft Sentinel |
| Cuentas de orígenes no aprobados. | Medio | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto Destinos = NOMBRE PRINCIPAL DE USUARIO |
Si la entrada no es de un dominio aprobado o es un dominio bloqueado conocido, configure el envío de una alerta. Plantilla de Microsoft Sentinel |
| Cuentas asignadas a un rol con privilegios. | Alto | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto -y- Actividad: Eliminar usuario Estado = correcto -y- Actividad = Agregar miembro a rol Estado = correcto |
Si la cuenta se asigna a un rol de Microsoft Entra, un rol de Azure o a una pertenencia a grupos con privilegios, configure una alerta y dé prioridad a la investigación. Plantilla de Microsoft Sentinel Reglas sigma |
Las cuentas con o sin privilegios se deben supervisar y contar con procesos de alerta. Sin embargo, dado que las cuentas con privilegios tienen permisos administrativos, estas deben tener mayor prioridad en los procesos de supervisión, alerta y respuesta.
Cuentas que no siguen las directivas de nomenclatura
Es posible que las cuentas de usuario que no están siguiendo las directivas de nomenclatura se hayan creado a espaldas de las directivas organizativas.
Un procedimiento recomendado es tener una directiva de nomenclatura para los objetos de usuario. Tener una directiva de nomenclatura facilita la administración y ayuda a proporcionar coherencia. La directiva también puede ayudar a detectar cuándo se han creado usuarios a espaldas de los procesos aprobados. Un actor malintencionado podría no tener en cuenta los estándares de nomenclatura y esto podría facilitar la detección de una cuenta aprovisionada a espaldas de los procesos de la organización.
Las organizaciones tienden a tener formatos y atributos específicos que se usan para crear cuentas de usuario o con privilegios. Por ejemplo:
UPN de cuenta de administrador = ADM_firstname.lastname@tenant.onmicrosoft.com
UPN de cuenta de usuario = Firstname.Lastname@contoso.com
Normalmente, las cuentas de usuario también suelen tener un atributo que identifica a un usuario real. Por ejemplo, EMPID = XXXNNN. Use las sugerencias siguientes para ayudar a definir la normalidad para su organización y al definir una línea base para las entradas de registro cuando las cuentas no sigan la convención de nomenclatura:
Cuentas que no siguen la convención de nomenclatura. Por ejemplo,
nnnnnnn@contoso.comen lugar defirstname.lastname@contoso.com.Cuentas que no tienen los atributos estándar rellenos o no tienen el formato correcto. Por ejemplo, no tienen un identificador de empleado válido.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cuentas de usuario que no tienen definidos los atributos esperados. | Bajo | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto |
Busque cuentas con los atributos estándar que son NULL o tienen un formato incorrecto. Por ejemplo, EmployeeID Plantilla de Microsoft Sentinel |
| Cuentas de usuario creadas con un formato de nomenclatura incorrecto. | Bajo | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto |
Busque cuentas con un UPN que no siga la directiva de nomenclatura. Plantilla de Microsoft Sentinel |
| Cuentas con privilegios que no siguen la directiva de nomenclatura. | Alto | Suscripción de Azure | Enumeración de asignaciones de roles de Azure mediante Azure Portal: RBAC de Azure | Enumeración de las asignaciones de roles de las suscripciones y alertas en los que el nombre de inicio de sesión no coincide con el formato de la organización. Por ejemplo, ADM_ como prefijo. |
| Cuentas con privilegios que no siguen la directiva de nomenclatura. | Alto | Directorio de Microsoft Entra | Enumeración de asignaciones de roles de Microsoft Entra | Muestra las asignaciones de roles de las alertas de roles de Microsoft Entra en las que el UPN no coincide con el formato de su organización. Por ejemplo, ADM_ como prefijo. |
Para más información sobre el análisis, consulte:
Registros de auditoría de Microsoft Entra: Análisis de datos de texto en registros de Azure Monitor
Para suscripciones de Azure: enumeración de asignaciones de roles de Azure mediante Azure PowerShell
Microsoft Entra ID: enumeración de asignaciones de roles de Microsoft Entra
Cuentas creadas a espaldas de los procesos normales
Tener procesos estándar para crear usuarios y cuentas con privilegios es importante para que pueda controlar de forma segura el ciclo de vida de las identidades. Si los usuarios se aprovisionan y desaprovisionan a espaldas de los procesos establecidos, pueden presentar riesgos de seguridad. El funcionamiento a espaldas de los procesos establecidos también puede presentar problemas de administración de identidades. Entre los posibles riesgos se incluyen:
Es posible que no se pueda controlar que las cuentas de usuario y con privilegios cumplan las directivas de la organización. Esto puede dar lugar a una superficie de ataque más amplia en las cuentas que no se administran correctamente.
Resulta más difícil detectar cuándo los actores malintencionados crean cuentas con fines malintencionados. Al tener cuentas válidas creadas a espaldas de los procedimientos establecidos, resulta más difícil detectar cuándo se crean cuentas o se modifican permisos con fines malintencionados.
Es recomendable que las cuentas de usuario y con privilegios solo se creen siguiendo las directivas de la organización. Por ejemplo, se debe crear una cuenta con los estándares de nomenclatura y la información de la organización correctos, y en el ámbito de la gobernanza de identidades adecuada. Las organizaciones deben tener controles rigurosos sobre quién tiene derechos para crear, administrar y eliminar identidades. Los roles para crear estas cuentas deben administrarse concienzudamente y los derechos solo están disponibles después de seguir un flujo de trabajo establecido para aprobar y obtener estos permisos.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cuentas de usuario creadas o eliminadas por usuarios o procesos no aprobados. | Medio | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto y/o- Actividad: Eliminar usuario Estado = correcto -y- Iniciado por (actor) = NOMBRE PRINCIPAL DE USUARIO |
Alerta sobre cuentas creadas por usuarios o procesos no aprobados. Priorice las cuentas creadas con privilegios elevados. Plantilla de Microsoft Sentinel |
| Cuentas de usuario creadas o eliminadas de orígenes no aprobados. | Medio | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto -o- Actividad: Eliminar usuario Estado = correcto -y- Destinos = NOMBRE PRINCIPAL DE USUARIO |
Se envía una alerta si el dominio no está aprobado o es un dominio bloqueado conocido. |
Inicios de sesión inusuales
Es normal ver errores en la autenticación de usuarios. Pero observar patrones o bloques de errores puede ser un indicador de que algo sucede con la identidad de un usuario. Por ejemplo, durante ataques por difusión de contraseña o por fuerza bruta, o cuando una cuenta de usuario está en peligro. Es fundamental supervisar y notificar alertas cuando surjan estos patrones. Esto ayuda a garantizar que puede proteger al usuario y los datos de su organización.
Puede que parezca que el éxito significa que todo está bien. Pero puede significar que un actor malintencionado ha accedido correctamente a un servicio. La supervisión de inicios de sesión correctos le ayuda a detectar cuentas de usuario que han obtenido acceso pero no son cuentas de usuario que deban tenerlo. Las operaciones correctas de autenticación de usuario son entradas normales en los registros de inicios de sesión de Microsoft Entra. Se recomienda supervisar y enviar alertas cuando surjan estos patrones. Esto ayuda a garantizar que puede proteger las cuentas de usuario y los datos de su organización.
Cuando diseñe y ponga en marcha una estrategia de supervisión y alertas de registros, tenga en cuenta las herramientas disponibles en Azure Portal. La Protección de id. de Microsoft Entra le permite automatizar la detección, protección y corrección de riesgos basados en identidades. La Protección de id. usa sistemas heurísticos y de aprendizaje automático con inteligencia para detectar riesgos y asignar una puntuación de riesgo a los usuarios e inicios de sesión. Los clientes pueden configurar directivas basadas en un nivel de riesgo para cuándo permitir o denegar el acceso, o permitir que el usuario se proteja de forma segura de un riesgo. Las siguientes detecciones de riesgo de la Protección de id. informan de los niveles de riesgo en la actualidad:
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Credenciales filtradas: Detección de riesgo del usuario | Alto | Registros de detección de riesgo de Microsoft Entra | Experiencia del usuario: credenciales filtradas API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Inteligencia contra amenazas de Microsoft Entra: Detección de riesgo del usuario | Alto | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: inteligencia contra amenazas de Microsoft Entra API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgos de inicio de sesión de direcciones IP anónimas | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Dirección IP anónima API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgo de inicio de sesión de viaje atípico | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Viaje atípico API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Token anómalo | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Token anómalo API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgo de inicio de sesión de dirección IP vinculada a malware | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Dirección IP vinculada al malware API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgos de inicio de sesión sospechoso en el explorador | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Explorador sospechoso API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Propiedades de inicio de sesión desconocidas: detección de riesgo de inicio de sesión | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Propiedades de inicio de sesión desconocidas API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgos de inicio de sesión de direcciones IP malintencionadas | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Dirección IP malintencionada API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Reglas de manipulación sospechosa de la bandeja de entrada: Detección de riesgo de inicio de sesión | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Reglas de manipulación sospechosa de la bandeja de entrada API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Difusión de contraseña: Detección de riesgo de inicio de sesión | Alto | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Difusión de contraseña API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgo de inicio de sesión de viaje imposible | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Viaje imposible API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Detección de riesgo de inicio de sesión para nuevo país o región | Varía | Registros de detección de riesgo de Microsoft Entra | UX: nuevo país o región API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Actividad desde una dirección IP anónima: Detección de riesgo de inicio de sesión | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Actividad desde una dirección IP anónima API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Reenvío sospechoso desde la bandeja de entrada: Detección de riesgo de inicio de sesión | Varía | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: Reenvío sospechoso desde la bandeja de entrada API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
| Inteligencia contra amenazas de Microsoft Entra: Detección de riesgo de inicio de sesión | Alto | Registros de detección de riesgo de Microsoft Entra | Experiencia de usuario: inteligencia contra amenazas de Microsoft Entra API: Consulte el tipo de recurso riskDetection: Microsoft Graph |
Consulte ¿Qué es el riesgo? Protección de id. de Microsoft Entra Reglas sigma |
Para más información, visite ¿Qué es la Protección de id.?
Qué se debe tener presente
Configure la supervisión de los datos dentro de los registros de inicios de sesión de Microsoft Entra para asegurarse de que las alertas se producen y cumplen las directivas de seguridad de su organización. A continuación se indican algunos ejemplos:
Autenticaciones erróneas: como humanos, todos nos equivocamos con nuestras contraseñas de vez en cuando. Sin embargo, muchas autenticaciones erróneas pueden indicar que un actor malintencionado está intentando obtener acceso. Los ataques difieren en intensidad, pero pueden oscilar entre unos pocos intentos por hora o una frecuencia mucho mayor. Por ejemplo, la difusión de contraseñas suele atacar las contraseñas más débiles en muchas cuentas, mientras que los ataques por fuerza bruta intentan usar muchas contraseñas en cuentas seleccionadas.
Autenticaciones interrumpidas: una interrupción en Microsoft Entra ID representa una inserción de un proceso para realizar la autenticación, como la aplicación de un control en una directiva de acceso condicional. Este es un evento normal y puede ocurrir si las aplicaciones no están configuradas correctamente. Pero cuando se detectan muchas interrupciones en una cuenta de usuario, esto puede indicar que algo sucede con esa cuenta.
- Por ejemplo, si filtró por un usuario en los registros de inicio de sesión y ve un gran volumen de apariciones del estado de inicio de sesión = Interrumpido y Acceso condicional = Error. Si profundiza más, puede que aparezca en los detalles de autenticación que la contraseña es correcta, pero que se requiere una autenticación sólida. Esto podría significar que el usuario no está completando la autenticación multifactor (MFA), lo que podría indicar que la contraseña del usuario está en peligro y que el actor malintencionado no puede realizar la autenticación multifactor.
Bloqueo inteligente: Microsoft Entra ID proporciona un servicio de bloqueo inteligente que presenta el concepto de ubicaciones conocidas y no conocidas en el proceso de autenticación. Una cuenta de usuario que visita una ubicación conocida podría autenticarse correctamente mientras que a un actor malintencionado no familiarizado con la misma ubicación se le bloquearía después de varios intentos. Busque las cuentas que se han bloqueado y realice una investigación adicional.
Cambios de IP: es normal ver a usuarios con origen en distintas direcciones IP. Sin embargo, con el modelo Confianza cero nunca se confía y las direcciones siempre se comprueban. Observar un gran volumen de direcciones IP e inicios de sesión con error puede ser un indicador de intrusión. Busque un patrón con muchas autenticaciones erróneas que se están llevando a cabo desde varias direcciones IP. Tenga en cuenta que las conexiones de red privada virtual (VPN) pueden provocar falsos positivos. Independientemente de las dificultades, se recomienda supervisar los cambios de direcciones IP y, si es posible, usar Protección de Microsoft Entra ID para detectar y mitigar automáticamente estos riesgos.
Ubicaciones: por lo general, se espera que una cuenta de usuario esté en la misma ubicación geográfica. También se esperan inicios de sesión desde ubicaciones en las que tenga empleados o relaciones empresariales. Cuando la cuenta del usuario llega desde otra ubicación internacional en menos tiempo del que debiera, es una señal de que la cuenta de usuario se está utilizando indebidamente. Tenga en cuenta que las VPN pueden provocar falsos positivos. Se recomienda que supervise las cuentas de usuario que inician sesión desde ubicaciones geográficamente lejanas y, si es posible, use Protección de Microsoft Entra ID para detectar y mitigar automáticamente estos riesgos.
Para esta área de riesgo, es recomendable que supervise las cuentas de usuario estándar y las cuentas con privilegios, pero dé prioridad a las investigaciones de las cuentas con privilegios. Las cuentas con privilegios son las cuentas más importantes de cualquier inquilino de Microsoft Entra. Para obtener detalles específicos sobre las cuentas con privilegios, consulte Operaciones de seguridad: Cuentas con privilegios.
Detección
Puede usar Protección de id. de Microsoft Entra y los registros de inicio de sesión de Microsoft Entra para ayudar a detectar amenazas indicadas por características de inicio de sesión inusuales. Para más información, vea el artículo ¿Qué es la Protección de id.?. También puede replicar los datos en Azure Monitor o un SIEM con fines de supervisión y alerta. Para definir lo normal para su entorno y establecer una base de referencia, determine lo siguiente:
Los parámetros que considere normales para la base de usuarios.
El número medio de intentos de una contraseña durante un período de tiempo antes de que el usuario llame al servicio de asistencia o realice un autoservicio de restablecimiento de contraseña.
Número de intentos con error que desea permitir antes de que se envíe una alerta y si será diferente para las cuentas de usuario y las cuentas con privilegios.
Número de intentos de autenticación multifactor que desea permitir antes de que se envíe una alerta y si será diferente para las cuentas de usuario y las cuentas con privilegios.
Si la autenticación heredada está habilitada y el plan de acción para interrumpir el uso.
Las direcciones IP de salida conocidas son para su organización.
los países o regiones desde los que operan los usuarios.
si hay grupos de usuarios que permanecen en el mismo país o región, o ubicación de red.
Identifique cualquier otro indicador de inicios de sesión inusuales que sean específicos de su organización. Por ejemplo, días u horas de la semana o año en los que la organización no trabaja.
Una vez que haya limitado el ámbito de lo que es normal para los tipos de cuentas de su entorno, tenga en cuenta lo siguiente para ayudar a determinar los escenarios que desea supervisar y los casos en los que se deben generar alertas, y para ajustarlas.
¿Necesita supervisar y alertar si Protección de id. de Microsoft Entra está configurado?
¿Se aplican condiciones más estrictas a las cuentas con privilegios que puede usar para supervisar y alertar? Por ejemplo, solo se requieren cuentas con privilegios desde direcciones IP de confianza.
¿Son demasiado agresivas las bases de referencia establecidas? Tener demasiadas alertas puede dar lugar a que las alertas se ignoren o no se tengan en cuenta.
Configure Identity Protection para garantizar que la protección vigente permita cumplir las directivas de la base de referencia de seguridad. Por ejemplo, bloquear a los usuarios si el riesgo es alto. Este nivel de riesgo indica con un alto grado de confianza que una cuenta de usuario está en peligro. Para más información sobre cómo configurar directivas de riesgo de inicio de sesión y de usuario, visite Directivas de Protección de id..
A continuación se enumeran por orden de importancia en función del impacto y la gravedad de las entradas.
Supervisión de inicios de sesión de usuarios externos
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Usuarios que se autentican en otros inquilinos de Microsoft Entra. | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = correcto Resource tenantID != Home Tenant ID |
Detecta cuándo un usuario se ha autenticado correctamente en otro inquilino de Microsoft Entra con una identidad en el inquilino de la organización. Alerta si Resource TenantID no es igual a Home Tenant ID. Plantilla de Microsoft Sentinel Reglas sigma |
| Estado de usuario cambiado de Invitado a Miembro | Medio | Registros de auditoría de Microsoft Entra | Actividad: Actualización de usuario Categoría: UserManagement UserType ha cambiado de Invitado a Miembro |
Supervisar y alertar sobre el cambio de tipo de usuario de Invitado a Miembro. ¿Es normal? Plantilla de Microsoft Sentinel Reglas sigma |
| Usuarios invitados a inquilinos por invitadores no aprobados | Medio | Registros de auditoría de Microsoft Entra | Actividad: Invitar a un usuario externo Categoría: UserManagement Iniciado por (actor) = Nombre principal de usuario |
Supervisar y alertar sobre actores no aprobados que invitan a usuarios externos. Plantilla de Microsoft Sentinel Reglas sigma |
Supervisión de inicios de sesión inusuales con error
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Intentos de inicio de sesión con errores. | Medio: si se produjo un incidente aislado Alto: si muchas cuentas tienen el mismo patrón o una VIP. |
Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error 50126 de inicio de sesión: Se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. |
Defina un umbral de línea base y, a continuación, supervíselo y ajústelo para adaptarlo a los comportamientos de la organización y limitar la generación de alertas falsas. Plantilla de Microsoft Sentinel Reglas sigma |
| Eventos de bloqueo inteligente. | Medio: si se produjo un incidente aislado Alto: si muchas cuentas tienen el mismo patrón o una VIP. |
Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error de inicio de sesión = 50053 – IdsLocked |
Defina un umbral de línea base y, a continuación, supervíselo y ajústelo para adaptarlo a los comportamientos de la organización y limitar la generación de alertas falsas. Plantilla de Microsoft Sentinel Reglas sigma |
| Interrupciones | Medio: si se produjo un incidente aislado Alto: si muchas cuentas tienen el mismo patrón o una VIP. |
Registro de inicios de sesión de Microsoft Entra | 500121, Error de autenticación durante la solicitud de autenticación sólida. -o- 50097, se requiere autenticación de dispositivo, o bien, 50074, se requiere autenticación sólida. -o- 50155, DeviceAuthenticationFailed -o- 50158, ExternalSecurityChallenge: no se cumplió el desafío de seguridad externo -o- 53003 y Motivo del error = bloqueado por el acceso condicional |
Supervisión y alertas en interrupciones. Defina un umbral de línea base y, a continuación, supervíselo y ajústelo para adaptarlo a los comportamientos de la organización y limitar la generación de alertas falsas. Plantilla de Microsoft Sentinel Reglas sigma |
A continuación se enumeran por orden de importancia en función del impacto y la gravedad de las entradas.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Alertas de fraude de autenticación multifactor (MFA). | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Detalles = MFA denegado |
Supervisión y alerta sobre cualquier entrada. Plantilla de Microsoft Sentinel Reglas sigma |
| Autenticaciones con errores desde países o regiones en los que la organización no opera. | Medio | Registro de inicios de sesión de Microsoft Entra | Ubicación = <ubicación no aprobada> | Supervisión y alerta sobre cualquier entrada. Plantilla de Microsoft Sentinel Reglas sigma |
| Autenticaciones con error de protocolos heredados o protocolos que no se usan. | Medio | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Aplicación cliente = Otros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Supervisión y alerta sobre cualquier entrada. Plantilla de Microsoft Sentinel Reglas sigma |
| Errores bloqueados por el acceso condicional. | Medio | Registro de inicios de sesión de Microsoft Entra | Código de error = 53003 -y- Motivo del error = bloqueado por el acceso condicional |
Supervisión y alerta sobre cualquier entrada. Plantilla de Microsoft Sentinel Reglas sigma |
| Han aumentado las autenticaciones con errores de cualquier tipo. | Medio | Registro de inicios de sesión de Microsoft Entra | Captura un aumento de los errores en todo el panel. Por ejemplo, el total de errores de hoy es >superior en un 10 % al del mismo día de la semana anterior. | Si no tiene un umbral establecido, supervise y alerte si los errores aumentan un 10 % o más. Plantilla de Microsoft Sentinel |
| La autenticación se produce en momentos y días de la semana en los que los países o regiones no suelen realizar operaciones empresariales. | Bajo | Registro de inicios de sesión de Microsoft Entra | Captura autenticaciones interactivas que se producen fuera de los días y horas de trabajo normales. Estado = correcto -y- Ubicación = <ubicación> -y- Día\Hora = <horas de trabajo no habituales> |
Supervisión y alerta sobre cualquier entrada. Plantilla de Microsoft Sentinel |
| Cuenta deshabilitada o bloqueada para inicios de sesión | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = Error -y- Código de error: 50057, la cuenta de usuario está deshabilitada. |
Esto podría indicar que alguien está intentando obtener acceso a una cuenta una vez que ha dejado una organización. Aunque la cuenta está bloqueada, sigue siendo importante registrar y esta actividad y alertar sobre ella. Plantilla de Microsoft Sentinel Reglas sigma |
Supervisión de inicios de sesión inusuales correctos
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Autenticaciones de cuentas con privilegios fuera de los controles esperados. | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = correcto -y- UserPricipalName = <Cuenta de administrador> -y- Ubicación = <ubicación no aprobada> -y- Dirección IP = <Dirección IP no aprobada> Información del dispositivo= <explorador/sistema operativo no aprobado> |
Supervise y alerte sobre autenticaciones correctas de cuentas con privilegios fuera de los controles esperados. Se enumeran tres controles comunes. Plantilla de Microsoft Sentinel Reglas sigma |
| Cuando solo se requiere la autenticación de un solo factor. | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = correcto Requisito de autenticación = Autenticación de un solo factor |
Supervise esto periódicamente y asegúrese de que este es el comportamiento esperado. Reglas sigma |
| Detectar cuentas con privilegios no registradas para MFA. | Alto | Azure Graph API | Consulta de IsMFARegistered eq false para cuentas de administrador. Enumeración de los detalles de credentialUserRegistration: Microsoft Graph beta |
Audite e investigue para determinar si es intencionada o de vigilancia. |
| Las autenticaciones correctas desde países o regiones en los que su organización no trabaja. | Medio | Registro de inicios de sesión de Microsoft Entra | Estado = correcto Ubicación = <país o región no aprobados> |
Supervise y alerte de las entradas que no sean iguales a los nombres de ciudad que proporcione. Reglas sigma |
| Autenticación correcta, sesión bloqueada por el acceso condicional. | Medio | Registro de inicios de sesión de Microsoft Entra | Estado = correcto -y- código de error = 53003: motivo del error, bloqueado por el acceso condicional |
Supervisa e investiga si se realiza correctamente la autenticación, pero la sesión está bloqueada por el acceso condicional. Plantilla de Microsoft Sentinel Reglas sigma |
| Autenticación correcta después de deshabilitar la autenticación heredada. | Medio | Registro de inicios de sesión de Microsoft Entra | estado = correcto -y- Aplicación cliente = Otros clientes, POP, IMAP, MAPI, SMTP, ActiveSync |
Si su organización ha deshabilitado la autenticación heredada, supervise y alerte cuando se haya realizado correctamente la autenticación heredada. Plantilla de Microsoft Sentinel Reglas sigma |
De forma periódica, se recomienda revisar las autenticaciones para aplicaciones de impacto empresarial medio (MBI) y de alto impacto empresarial (HBI) en las que solo se requiere autenticación de un solo factor. Para cada uno de ellas, quiere determinar si se esperaba o no la autenticación de un solo factor. Además, revise si aumentan las autenticaciones correctas o en momentos inesperados según la ubicación.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Autenticaciones en aplicaciones de MBI y HBI mediante la autenticación de un solo factor. | Bajo | Registro de inicios de sesión de Microsoft Entra | estado = correcto -y- Id. de la aplicación = <Aplicación HBI> -y- Requisito de autenticación = Autenticación de un solo factor. |
Revise y valide que esta configuración sea intencionada. Reglas sigma |
| Autenticaciones en días y horas de la semana o año en que los países o regiones no realizan operaciones empresariales normalmente. | Bajo | Registro de inicios de sesión de Microsoft Entra | Captura autenticaciones interactivas que se producen fuera de los días y horas de trabajo normales. Estado = correcto Ubicación = <ubicación> Fecha\Hora = <horario laboral no habitual> |
Supervise y alerte sobre autenticaciones en días y horas de la semana o año en que los países o regiones no realizan operaciones empresariales normalmente. Reglas sigma |
| Aumento medible de inicios de sesión correctos. | Bajo | Registro de inicios de sesión de Microsoft Entra | Se detecta un aumento en las autenticaciones correctas en el panel. Es decir, los totales de éxito de hoy son >del 10 % en el mismo día, la semana anterior. | Si no tiene un umbral establecido, supervise y alerte si las autenticaciones correctas aumentan un 10 % o más. Plantilla de Microsoft Sentinel Reglas sigma |
Pasos siguientes
Consulte estos artículos de la guía de operaciones de seguridad:
Introducción a las operaciones de seguridad de Microsoft Entra
Operaciones de seguridad para cuentas de consumidor
Operaciones de seguridad para cuentas con privilegios
Operaciones de seguridad para Privileged Identity Management
Operaciones de seguridad para aplicaciones