Compartir a través de


Investigación del riesgo con ID Protection en Id. externa de Microsoft Entra

Se aplica a:Círculo blanco con un símbolo X gris. inquilinos de personal Círculo verde con un símbolo de marca de verificación blanca. inquilinos externos (más información)

Microsoft Entra ID Protection proporciona una detección continua de riesgos para el inquilino externo. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad. ID Protection incluye informes de riesgo que se pueden usar para investigar los riesgos de identidad en los inquilinos externos. En este artículo, aprenderá a investigar y mitigar los riesgos.

Informes de ID Protection

ID Protection proporciona dos informes. El informe de usuarios de riesgo es el lugar en que los administradores pueden encontrar qué usuarios están en riesgo, así como detalles sobre las detecciones. El informe de detecciones de riesgo proporciona información sobre cada detección de riesgo. Este informe incluye el tipo de riesgo, otros riesgos desencadenados al mismo tiempo, la ubicación del intento de inicio de sesión, etc.

Cada informe se inicia con una lista de todas las detecciones correspondientes al período mostrado en la parte superior del informe. Los informes se pueden filtrar con los filtros de la parte superior del informe. Los administradores pueden optar por descargar los datos o usar MS Graph API y el SDK de PowerShell de Microsoft Graph para exportar los datos continuamente.

Limitaciones y consideraciones del servicio

Si usa ID Protection, tenga en cuenta lo siguiente:

  • ID Protection no está disponible en los inquilinos de prueba.
  • ID Protection está activado de forma predeterminada.
  • ID Protection está disponible para identidades tanto locales como sociales, como Google o Facebook. La detección es limitada porque el proveedor de identidades externas administra las credenciales de la cuenta de red social.
  • Actualmente, en los inquilinos externos de Microsoft Entra se encuentra disponible un subconjunto de detecciones de riesgo de Microsoft Entra ID Protection. Id. externa de Microsoft Entra admite las siguientes detecciones de riesgo:
Tipo de detección de riesgo Descripción
Viaje atípico Inicio de sesión desde una ubicación atípica basado en los inicios de sesión recientes del usuario.
Dirección IP anónima Inicio de sesión desde una dirección IP anónima (por ejemplo: el explorador Tor o VPN anonimizadoras).
Dirección IP vinculada al malware Inicio de sesión desde una dirección IP vinculada al malware.
Propiedades de inicio de sesión desconocidas Inicio de sesión con propiedades que no hemos observado recientemente en el usuario en cuestión.
Vulneración de identidad de usuario confirmada por el administrador Un administrador ha indicado que se ha vulnerado la identidad de un usuario.
Difusión de contraseña Inicio de sesión mediante un ataque de difusión de contraseña.
Inteligencia sobre amenazas de Microsoft Entra Los orígenes de inteligencia sobre amenazas internas y externas de Microsoft han identificado un patrón de ataque conocido.

Investigación de usuarios de riesgo

Con la información que proporciona el informe de usuarios de riesgo, los administradores pueden encontrarse lo siguiente:

  • El estado de riesgo, que muestra qué usuarios están en riesgo, si lo han corregido o lo han descartado.
  • Detalles sobre las detecciones
  • Historial de todos los inicios de sesión de riesgo
  • Historial de riesgos

A continuación, los administradores pueden elegir tomar medidas en estos eventos. Los administradores pueden optar por:

  • Restablecer la contraseña del usuario
  • Confirmar el peligro del usuario
  • Descartar el riesgo del usuario
  • Bloquear el inicio de sesión del usuario
  • Investigar con más detalle con Azure ATP

Un administrador puede optar por descartar el riesgo de un usuario en el centro de administración de Microsoft Entra o mediante programación a través de Descartar el riesgo de un usuario de Microsoft Graph API. Se requieren privilegios de administrador para descartar el riesgo de un usuario. El usuario en riesgo, o un administrador que trabaje en su nombre, puede remediar el riesgo, por ejemplo, restableciendo la contraseña.

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Asegúrese de que usa el directorio que contiene el inquilino externo de Microsoft Entra: seleccione el icono Configuración en la barra de herramientas y busque el inquilino externo en el menú Directorios y suscripciones. Si no es el directorio actual, seleccione Cambiar.

  3. Vaya a Protección>Identity Protection.

  4. En Informe, seleccione Usuarios de riesgo.

    La selección de entradas individuales expande una ventana de detalles debajo de las detecciones. La vista de detalles permite a los administradores investigar y realizar acciones en cada detección.

Informe de detecciones de riesgo

El informe de detecciones de riesgo contiene datos que se pueden filtrar de los últimos 90 días (tres meses).

Con la información que proporciona el informe de detecciones de riesgo, los administradores pueden buscar lo siguiente:

  • Información sobre cada detección de riesgo, incluido el tipo.
  • Otros riesgos desencadenados al mismo tiempo.
  • Ubicación del intento de inicio de sesión.

Los administradores pueden elegir volver al informe de riesgo del usuario o de inicios de sesión para realizar acciones en función de la información recopilada.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Protección>Identity Protection.

  3. En Informe, seleccione Detecciones de riesgo.