Cómo investigar el riesgo

Microsoft Entra ID Protection proporciona varios informes de riesgo que se pueden usar para investigar los riesgos de identidad en su entorno. La investigación de eventos es clave para comprender e identificar mejor los puntos débiles de la estrategia de seguridad. Los informes de protección de identificadores se pueden archivar para el almacenamiento o integrarse con las herramientas de administración de eventos e información de seguridad (SIEM) para su posterior análisis. Las organizaciones también pueden aprovechar las integraciones de Microsoft Defender, Microsoft Sentinel y Microsoft Graph API para agregar datos con otros orígenes.

Hay muchas maneras de investigar el riesgo en su entorno e incluso más detalles que se deben tener en cuenta durante la investigación. En este artículo se proporciona un marco para ayudarle a empezar a trabajar y a describir algunos de los escenarios más comunes y las acciones recomendadas.

Prerrequisitos

• La licencia de Microsoft Entra ID P2 o Microsoft Entra Suite es necesaria para obtener acceso completo a las características de Protección contra identificadores de Microsoft Entra.
• Lector global es el rol con menos privilegios necesario para ver los informes de riesgo.
• Lector de informes es el rol con menos privilegios necesario para ver los registros de inicio de sesión y auditoría.

Evaluación de prioridades inicial

Al iniciar la evaluación de prioridades inicial, se recomiendan las siguientes acciones:

1. Revise el panel protección de identificadores para visualizar el número de ataques, el número de usuarios de alto riesgo y otras métricas importantes en función de las detecciones en su entorno.

2. Revise los informes de riesgo para examinar los detalles de los usuarios, inicios de sesión o detecciones de riesgo recientes.

3. Revise el libro Análisis de impacto para comprender los escenarios en los que el riesgo es evidente en su entorno y qué directivas de acceso basadas en riesgos se deben habilitar para administrar usuarios e inicios de sesión de alto riesgo.

4. Revise los registros de inicio de sesión para identificar actividades similares con las mismas características. Esta actividad puede indicar que hay más cuentas en peligro.

   1. Si existen características comunes, como la dirección IP, la geografía, el éxito o el error, etc., considere la posibilidad de bloquearlas con una directiva de Acceso condicional.
   2. Revisar cuáles recursos pueden estar en peligro, incluyendo posibles descargas de datos o modificaciones administrativas.
   3. Habilite las directivas de autocorrección mediante el acceso condicional.

5. Con Insider Risk Management a través de Microsoft Purview, puede comprobar si el usuario realizó otras actividades de riesgo, como descargar un gran volumen de archivos desde una nueva ubicación. Este comportamiento es un fuerte indicio de un posible riesgo.

Si sospecha que un atacante puede suplantar al usuario, debe requerir que el usuario restablezca su contraseña y realice MFA o bloquear al usuario y revocar todos los tokens de actualización y acceso.

Marco de investigación y corrección de riesgos

Las organizaciones pueden usar el siguiente marco para investigar actividades sospechosas. Cuando se detecta el riesgo, el primer paso recomendado es la automediación, si es una opción. La corrección automática puede realizarse a través del autoservicio de restablecimiento de contraseña o mediante el flujo de corrección de una directiva de acceso condicional basada en riesgos.

Si la autocorrección no es una opción, un administrador debe corregir el riesgo. La corrección se realiza mediante la invocación de un restablecimiento de contraseña, que requiere que el usuario vuelva a registrar MFA, bloquee al usuario o revoque las sesiones de usuario. El siguiente gráfico de flujo muestra el flujo recomendado una vez que se detecta un riesgo:

Una vez contenido el riesgo, es posible que se requiera más investigación para marcar el riesgo como seguro, comprometido o para descartarlo.

1. Compruebe los registros de inicio de sesión y compruebe si la actividad es normal para el usuario determinado.

   1. Consultar las actividades anteriores del usuario, incluidas las siguientes propiedades para ver si son normales para el usuario en cuestión.
      • Aplicación: ¿el usuario suele usar la aplicación?
      • Dispositivo: ¿el dispositivo está registrado o es compatible?
      • Ubicación: ¿puede que el usuario se desplace a otra ubicación o acceda a dispositivos desde varias ubicaciones?
      • Dirección IP
      • Cadena de agente de usuario

2. Investigue el uso de otras herramientas de seguridad, siempre que estén disponibles.

   • Si tiene Microsoft Sentinel, compruebe si hay alertas correspondientes que podrían indicar un problema mayor.
   • Si tiene XDR de Microsoft Defender, puede hacer seguimiento de un evento de riesgo de usuario mediante otras alertas e incidentes relacionados.
   • La cadena MITRE ATT&CK a través de Microsoft Sentinel en Microsoft Defender XDR también podría proporcionar información. En el portal de Microsoft Defender, vaya a Incidentes y alertas Alertas>> y establezca el filtro Nombre del producto en AAD Identity Protection para buscar alertas de Microsoft Entra ID Protection.

3. Póngase en contacto con el usuario para confirmar si reconoce el inicio de sesión; sin embargo, tenga en cuenta que el correo electrónico o Teams podrían estar en peligro.

   1. Compruebe la información que tiene, por ejemplo:
      • Timestamp
      • Aplicación
      • Dispositivo
      • Location
      • Dirección IP

4. Dependiendo del resultado de la investigación, marque el usuario o el inicio de sesión como confirmado en peligro, confirmado seguro o descarte el riesgo.

5. Configure directivas de acceso condicional basadas en riesgos para evitar ataques similares o para abordar las brechas en la cobertura.

Investigación de detecciones específicas

Algunas detecciones de riesgo requieren pasos de investigación específicos. En las secciones siguientes se describen algunas de las detecciones de riesgo más comunes y las acciones recomendadas.

Inteligencia sobre amenazas de Microsoft Entra

Para investigar una detección de amenazas de inteligencia de Microsoft Entra, siga estos pasos en función de la información proporcionada en el campo "información adicional" del panel Detalles de detección de amenazas:

• Si el inicio de sesión procede de una dirección IP sospechosa:

  1. Compruebe si la dirección IP muestra un comportamiento sospechoso en su entorno.
  2. Compruebe si la dirección IP genera un gran número de errores para un usuario o un conjunto de usuarios del directorio.
  3. Compruebe si el tráfico de la dirección IP viene de un protocolo o aplicación inesperados, por ejemplo, protocolos heredados Exchange.
  4. Si la dirección IP corresponde a un proveedor de servicios en la nube, descarte que no existen aplicaciones empresariales legítimas que se ejecutan desde la misma dirección IP.

• La cuenta fue víctima de un ataque de difusión de contraseñas

  1. Valide que ningún otro usuario del directorio sea objetivo del mismo ataque.
  2. Determine si otros usuarios tienen inicios de sesión con patrones atípicos similares vistos en el inicio de sesión detectado en el mismo período de tiempo. Los ataques de difusión de contraseña pueden mostrar patrones inusuales en:
     • Cadena de agente de usuario
     • Aplicación
     • Protocolo
     • Intervalos de direcciones IP/ASN
     • Hora y frecuencia de inicios de sesión

• La detección se desencadenó mediante una regla en tiempo real

  1. Valide que ningún otro usuario del directorio sea objetivo del mismo ataque. Puede encontrar esta información mediante el número TI_RI_#### asignado a la regla.
  2. Las reglas en tiempo real protegen contra ataques nuevos identificados por la investigación de inteligencia sobre amenazas de Microsoft. Si varios usuarios del directorio eran destinos del mismo ataque, investigue patrones inusuales en otros atributos del inicio de sesión.

Detecciones de desplazamientos atípicos

• Si confirma que la actividad no la realizó un legítimo usuario:
  1. Marque el inicio de sesión como en peligro e invoque un restablecimiento de contraseña si aún no lo ha realizado la corrección automática.
  2. Bloquee al usuario si el atacante tiene acceso para restablecer la contraseña o realizar MFA y restablecer la contraseña.
• Si se sabe que un usuario usa la dirección IP en el ámbito de sus tareas, confirme que el inicio de sesión es seguro.
• Si confirma que el usuario viajó recientemente al destino mencionado en la alerta, confirme que el inicio de sesión es seguro.
• Si confirma que el intervalo de direcciones IP procede de una VPN aprobada, confirme el inicio de sesión como seguro y agregue el intervalo de direcciones IP de la VPN a ubicaciones con nombre en Microsoft Entra ID y Microsoft Defender for Cloud Apps.

Detección de anomalías de tokens y de emisores de tokens

• Si confirma que la actividad no fue realizada por un usuario legítimo utilizando una combinación de alerta de riesgo, ubicación, aplicación, dirección IP, agente de usuario u otras características inesperadas para el usuario:

  1. Marque el inicio de sesión como en peligro e invoque un restablecimiento de contraseña si aún no lo ha realizado la corrección automática.
  2. Bloquear al usuario si el atacante tiene acceso para restablecer la contraseña o realizar otras operaciones.
  3. Configure directivas de acceso condicional basadas en riesgos para requerir el restablecimiento de contraseña, realizar MFA o bloquear el acceso para todos los inicios de sesión de alto riesgo.

• Si confirma que la ubicación, la aplicación, la dirección IP, el Agente de usuario u otras características son esperadas para el usuario y no hay otras indicaciones de peligro, permita al usuario corregirse automáticamente con una directiva de acceso condicional basada en riesgos o tener un administrador que confirme que el inicio de sesión es seguro.

Para obtener más información sobre las detecciones basadas en tokens, consulte la entrada del blog Tácticas de token: Cómo evitar, detectar y responder al robo de tokens en la nube y el cuaderno de estrategias para la investigación del robo de tokens.

Detecciones sospechosas del explorador

Esta detección indica que el usuario no suele usar el explorador o la actividad dentro del explorador no coincide con el comportamiento normal del usuario.

• Confirme el inicio de sesión como comprometido e inicie un restablecimiento de contraseña si aún no lo ha realizado la autocorrección. Bloquear al usuario si el atacante tiene acceso para restablecer la contraseña o realizar MFA.
• Configure directivas de acceso condicional basadas en riesgos para requerir el restablecimiento de contraseña, realizar MFA o bloquear el acceso para todos los inicios de sesión de alto riesgo.

Detecciones de direcciones IP malintencionadas

• Si confirma que un usuario legítimo no realizó la actividad:

  1. Confirme el inicio de sesión como comprometido e inicie un restablecimiento de contraseña si aún no lo ha realizado la autocorrección.
  2. Bloquear al usuario si el atacante tiene acceso para restablecer la contraseña o realizar MFA y restablecer la contraseña, y revocar todos los tokens.
  3. Configure directivas de acceso condicional basadas en riesgos para requerir el restablecimiento de contraseña o realizar MFA para todos los inicios de sesión de alto riesgo.

• Si confirma que el usuario usa la dirección IP en el ámbito de sus tareas, confirme que el inicio de sesión es seguro.

Detecciones de difusión de contraseñas

Una detección de rociado de contraseñas indica que Microsoft observó que un atacante lleva a cabo un ataque de rociado y lograba una validación correcta de credenciales contra un usuario en su inquilino. El ataque de difusión podría haber estado dirigido a usuarios pertenecientes a múltiples entidades: la detección solo se desencadena en las entidades donde se confirmó una coincidencia de contraseña. Los intentos de pulverización fallidos no generan una detección.

• Si confirma que un usuario legítimo no realizó la actividad:

  1. Marque el inicio de sesión como en peligro e invoque un restablecimiento de contraseña si aún no lo ha realizado la corrección automática.
  2. Bloquear al usuario si el atacante tiene acceso para restablecer la contraseña o realizar MFA y restablecer la contraseña, y revocar todos los tokens.

• Si confirma que el usuario usa la dirección IP en el ámbito de sus tareas, confirme que el inicio de sesión es seguro.

• Si confirmas que la cuenta no está comprometida y no ves ningún indicador de divulgación por fuerza bruta ni de ataques de rociado de contraseñas contra la cuenta:

  1. Permitir que el usuario se auto-remedie con una directiva de acceso condicional basada en riesgos o que un administrador confirme que el acceso es seguro.
  2. Asegúrese de que tiene el bloqueo inteligente de Microsoft Entra configurado correctamente para evitar bloqueos de cuentas innecesarios.

Para una mayor investigación sobre las detecciones de riesgo de difusión de contraseñas, consulte el artículo Investigación sobre difusión de contraseñas.

Detecciones de credenciales filtradas

Las detecciones de credenciales filtradas siempre son de alto riesgo porque representan la exposición de credenciales confirmadas. Cuando se active esta detección, investigue inmediatamente.

Si esta detección identificó una credencial filtrada para un usuario:

1. Evaluar el ámbito de exposición. Revise el historial de riesgos del usuario y los registros de inicio de sesión para determinar si se usó la credencial filtrada para el acceso no autorizado. Busque eventos de riesgo de inicio de sesión correlacionados, como inicios de sesión desde ubicaciones desconocidas, direcciones IP anónimas o viajes inusuales.
2. Compruebe si la contraseña ya se ha cambiado. Compruebe si el usuario cambió su contraseña después de la fecha en que se detectó la pérdida. Un restablecimiento de contraseña basado en la nube desencadenado por una directiva de acceso condicional de Microsoft Entra corrige completamente el riesgo del usuario para esta detección. Si se cambió la contraseña, es posible que el riesgo ya se corrija automáticamente. Si no es así, confirme que el usuario está en peligro e inicie un restablecimiento de contraseña.
3. Bloquear el acceso si un atacante está activo. Si los registros de inicio de sesión muestran acceso no autorizado o si un atacante tiene la capacidad de restablecer la contraseña o realizar MFA, bloquee al usuario, restablezca la contraseña y revoque todos los tokens de actualización. La revocación de sesiones es fundamental cuando hay evidencia de compromiso activo.
4. Revisión del movimiento lateral. Compruebe la actividad reciente del usuario para ver si hay signos de escalamiento de privilegios, nuevos registros de aplicaciones, cambios en las reglas de buzón o acceso a recursos confidenciales que podrían indicar actividad posterior a un compromiso.
5. Compruebe las cuentas conectadas. Si el usuario reutiliza las contraseñas entre servicios, considere las credenciales comprometidas más allá de su entorno. Aconseje al usuario que cambie las contraseñas en otros servicios en los que usen la misma credencial.

Mitigación de riesgos futuros

• Agregue VPN corporativas e intervalos de direcciones IP a ubicaciones con nombre en las directivas de acceso condicional para reducir los falsos positivos.
• Considere la posibilidad de crear una base de datos de viajeros conocidos para informes de viajes organizativos actualizados y usarlo para la actividad de viajes entre referencias.
• Proporcione comentarios en id. Protection para mejorar la precisión de la detección y reducir los falsos positivos.

Pasos siguientes

• Corregir y desbloquear usuarios
• Directivas disponibles para mitigar los riesgos
• Habilitar las políticas de inicio de sesión y de riesgo de usuario