Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID Protection ayuda a proteger su organización detectando y respondiendo automáticamente a riesgos basados en identidades. Aunque la corrección automatizada controla muchas amenazas, algunas situaciones requieren investigación y acción manuales. Los informes de riesgo de protección de identificadores proporcionan la información necesaria para identificar, investigar y responder a posibles amenazas de seguridad que afectan a los usuarios, inicios de sesión e identidades de carga de trabajo.
Acceso a los informes de riesgo
El panel de protección de identificadores proporciona un resumen de información importante que puede usar en cualquier momento para identificar posibles riesgos.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.
- Vaya a Protección de Identidad>Tablero.
- Seleccione un informe en el menú de navegación Protección de identificadores.
Cada informe se inicia con una lista de todas las detecciones correspondientes al período mostrado en la parte superior del informe. Puede filtrar y agregar o quitar columnas en función de sus preferencias. Descargue los datos en . CSV o . Formato JSON para su posterior procesamiento. Para integrar los informes con herramientas de administración de eventos e información de seguridad (SIEM) para su posterior análisis, consulte Configuración de las opciones de diagnóstico.
Ver detalles y tomar medidas
Seleccione una entrada en un informe para ver más detalles, que difieren en función del informe que esté viendo. En el panel de detalles también puede tomar medidas sobre el usuario o la sesión seleccionados. Puede seleccionar una o varias entradas y confirmar el riesgo o descartarla. También puede iniciar un flujo de restablecimiento de contraseña para el usuario. Estas capacidades tienen diferentes requisitos de rol, por lo que si una opción está desactivada, necesita un rol con privilegios más altos. Para obtener más información, consulte Roles necesarios de protección de identificadores.
Usuarios de riesgo
Los detalles de un usuario de riesgo seleccionado proporcionan información sobre el riesgo corregido, descartado o aún está en riesgo y necesita investigación. También se proporcionan detalles sobre las detecciones de riesgo asociadas.
Un usuario se convierte en un usuario de riesgo cuando:
- Tienen uno o varios inicios de sesión de riesgo.
- Tienen uno o varios riesgos detectados en su cuenta, como credenciales filtradas.
Sugerencia
Si tienes Security Copilot, tienes acceso a un resumen en lenguaje natural , entre los que se incluyen: por qué se ha elevado el nivel de riesgo del usuario, instrucciones sobre cómo mitigar y responder, y vínculos a otros elementos o documentación útiles.
En el informe Usuarios de riesgo, seleccione un usuario para ver más detalles sobre sus eventos de riesgo e incluso tomar medidas en ese usuario.
Los detalles de los usuarios de riesgo incluyen:
- Id. de usuario
- Inicios de sesión de riesgo recientes
- Detecciones no vinculadas a un inicio de sesión
- Historial de riesgos
En la pestaña Riesgo de historial se muestran los eventos que llevaron a un cambio en el riesgo del usuario en los últimos 90 días. Esta lista incluye detecciones que aumentaron el riesgo del usuario. También puede incluir acciones de corrección del usuario o administrador que redujeron el riesgo del usuario; por ejemplo, un usuario que restableció su contraseña o un administrador que corrigió una situación de riesgo.
La adopción de medidas en el nivel de usuario se aplica a todas las detecciones asociadas actualmente a ese usuario. Si los botones de acción están atenuados, necesita un rol con privilegios más altos. Los administradores pueden adoptar medidas en los usuarios y elegir:
- Restablecer contraseña : esta acción revoca las sesiones actuales del usuario.
- Confirmar que el usuario está en peligro: esta acción se realiza en un verdadero positivo. La Protección de id. establece el riesgo de usuario en alto y agrega una nueva detección, vulneración de identidad de usuario confirmada por el administrador. El usuario se considera arriesgado hasta que se realizan los pasos de corrección.
- Confirmar que el usuario está seguro: esta acción se realiza en un falso positivo. Al hacerlo, se eliminan los riesgos y las detecciones de este usuario y se coloca en modo de aprendizaje para volver a aprender las propiedades de uso. Puedes usar esta opción para marcar falsos positivos.
- Descartar el riesgo del usuario - esta acción se realiza en un riesgo de usuario positivo y benigno. Este riesgo de usuario detectado es real, pero no malintencionado, como los de una prueba de penetración conocida. Los usuarios similares deben seguir evaluando el riesgo en el futuro.
- Bloquear usuario : esta acción impide que un usuario inicie sesión si el atacante tiene acceso a la contraseña o la capacidad de realizar MFA.
- Investigar con Microsoft 365 Defender : esta acción lleva a los administradores al portal de Microsoft Defender para permitir que un administrador investigue más.
Inicios de sesión no seguros
En el informe Inicios de sesión de riesgo se enumeran los inicios de sesión que están en riesgo, confirmados en peligro, seguros confirmados, descartados o corregidos. El panel de detalles proporciona más información sobre el intento de inicio de sesión que puede ayudar durante una investigación, como los niveles de riesgo agregados y en tiempo real asociados con los intentos de inicio de sesión y los tipos de detección desencadenados.
Los detalles de inicio de sesión riesgoso incluyen:
- La aplicación a la que el usuario estaba intentando acceder
- Directivas de acceso condicionales aplicadas.
- Detalles de MFA
- Información de dispositivo, aplicación y ubicación
- Estado de riesgo, nivel de riesgo y origen de la detección de riesgos (Protección de identificadores o Microsoft Defender para punto de conexión)
El informe de inicios de sesión riesgosos contiene datos filtrables durante hasta los últimos 30 días (un mes). La Protección de Id. evalúa el riesgo de todos los flujos de autenticación, tanto interactivo como no interactivo. El informe de inicios de sesión de riesgo muestra inicios de sesión interactivos y no interactivos. Para modificar esta vista, use el filtro de "tipo de inicio de sesión".
Si los botones de acción están atenuados, necesita un rol con privilegios más altos. Los administradores pueden tomar medidas en los eventos de inicio de sesión de riesgo y elegir lo siguiente:
- Confirmar vulnerabilidad de inicio de sesión: esta acción confirma que el inicio de sesión es un verdadero positivo. El inicio de sesión se considera arriesgado hasta que se realizan los pasos de corrección.
- Confirmar inicio de sesión seguro: esta acción confirma que el inicio de sesión es un falso positivo. Los inicios de sesión similares no deben considerarse peligrosos en el futuro.
- Descartar riesgo de inicio de sesión: esta acción se usa para un verdadero positivo benigno. Este riesgo de inicio de sesión detectado es real, pero no malintencionado, como los de una prueba de penetración conocida o una actividad conocida generada por una aplicación aprobada. Los inicios de sesión similares deben seguir evaluando el riesgo en el futuro.
Para obtener más información sobre cuándo realizar cada una de estas acciones, consulte ¿Cómo usa Microsoft mis comentarios de riesgo?
Identificadores de cargas de trabajo riesgosas
Una identidad de carga de trabajo es una identidad que permite a una aplicación acceder a los recursos, a veces en el contexto de un usuario. En la página de Detalles de ID de carga de trabajo de riesgo, puede acceder a los registros de inicio de sesión y auditoría del principal de servicio para un análisis más detallado.
Importante
Los detalles completos de riesgo y los controles de acceso basados en riesgos están disponibles para los clientes de Workload Identities Premium; sin embargo, los clientes sin una licencia de Workload Identities Premium siguen recibiendo todas las detecciones con detalles de informes limitados.
Los detalles de los identificadores de carga de trabajo de riesgo incluyen:
- Identificador de Service Principal
- Estado de riesgo y nivel de riesgo
- Historial de riesgos
Detecciones de riesgo
El informe Detecciones de riesgos proporciona información sobre las distintas detecciones de riesgo asociadas a los usuarios e inicios de sesión. Los detalles incluyen información sobre el tipo de riesgo detectado, el usuario o el inicio de sesión al que pertenece y el estado actual del riesgo. En el panel de detalles también puede acceder al informe de riesgo de usuario asociado, los inicios de sesión del usuario y las detecciones de riesgo.
Los detalles de las detecciones de riesgo incluyen:
- Tipo de detección
- Estado de riesgo, nivel de riesgo y detalles de riesgo
- Tipo de ataque
- Origen de la detección de riesgos (Protección de identificadores o Microsoft Defender para punto de conexión)
El informe de detecciones de riesgo contiene datos que se pueden filtrar de los últimos 90 días (tres meses).
Con la información que proporciona el Informe de detecciones de riesgo, los administradores pueden buscar lo siguiente:
- Información sobre cada detección de riesgo
- Tipo de ataque basado en el marco MITRE ATT&CK
- Otros riesgos desencadenados al mismo tiempo.
- Ubicación del intento de inicio de sesión.
- Vínculo para obtener más detalles desde Microsoft Defender for Cloud Apps.
Los administradores pueden elegir volver al informe de riesgo del usuario o de inicios de sesión para realizar acciones en función de la información recopilada.
Nota:
Nuestro sistema podría detectar lo siguiente:
- el evento de riesgo que contribuyó a la puntuación de riesgo del usuario era un falso positivo; o
- el riesgo del usuario se corrigió mediante la aplicación de políticas, como completar una solicitud de MFA o realizar un cambio de contraseña seguro.
Por lo tanto, nuestro sistema descarta el estado de riesgo y un detalle de riesgo de las superficies "seguro de inicio de sesión confirmados por IA" y ya no contribuye al riesgo del usuario.