¿Qué es Identity Protection?
Microsoft Entra ID Protection ayuda a las organizaciones a detectar, investigar y corregir los riesgos relacionados con las identidades. Los riesgos basados en identidades se pueden insertar posteriormente en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar una investigación más detallada.
Detección de riesgos
Microsoft agrega continuamente y actualiza las detecciones en nuestro catálogo para proteger a las organizaciones. Estas detecciones proceden de nuestros aprendizajes basados en el análisis de billones de señales cada día de Active Directory, Cuentas de Microsoft y juegos de Xbox. Esta amplia gama de señales ayuda a Identity Protection a detectar comportamientos de riesgo como:
- Uso de una dirección IP anónima
- Ataques de difusión de contraseña
- Credenciales con fugas
- Y mucho más...
Durante cada inicio de sesión, Identity Protection ejecuta todas las detecciones de inicio de sesión en tiempo real que generan un nivel de riesgo de inicio de sesión, lo que indica la probabilidad de que el inicio de sesión se haya puesto en peligro. En función de este nivel de riesgo, las directivas se aplican para proteger al usuario y a la organización.
Para obtener una lista completa de los riesgos y cómo se detectan, consulte el artículo ¿Qué es el riesgo?
Investigación
Se realiza un seguimiento de los riesgos detectados en una identidad con los informes. Identity Protection proporciona tres informes clave para que los administradores investiguen los riesgos y tomen medidas:
- Detecciones de riesgo: Cada riesgo detectado se notifica como detección de riesgos.
- Inicios de sesión de riesgo: Se notifica un inicio de sesión de riesgo cuando hay una o varias detecciones de riesgo notificadas para ese inicio de sesión.
- Usuarios de riesgo: Se notifica un usuario de riesgo cuando se cumple uno o ambos de los siguientes elementos:
- El usuario tiene uno o varios inicios de sesión de riesgo.
- Se han notificado una o varias detecciones de riesgo.
Para obtener más información sobre cómo usar los informes, consulte el artículo Cómo: Investigar el riesgo.
Corrección de riesgos
¿Por qué la automatización es fundamental en la seguridad?
En la entrada de blog Cyber Signals: Defending against cyber threat with the latest research, insights, and trends (Ciberseñales: defensa contra amenazas cibernéticas con las últimas investigaciones, conclusiones y tendencias), con fecha del 3 febrero de 2022, Microsoft compartió un informe de inteligencia sobre amenazas con las estadísticas siguientes:
Se analizaron 24 billones de señales de seguridad combinadas con inteligencia de la que se realizó el seguimiento mediante la supervisión de más de 40 grupos nacionales y estatales, y más de 140 grupos de amenazas...
... Desde enero hasta diciembre de 2021, se han bloqueado más de 25 600 millones de ataques de autenticación por fuerza bruta de Microsoft Entra...
La magnitud de la escala de señales y ataques necesita cierto nivel de automatización para mantenerse al día.
Corrección automática
Las directivas de acceso condicional basadas en riesgos se pueden habilitar para requerir controles de acceso, como proporcionar un método de autenticación seguro, realizar la autenticación multifactor o realizar un restablecimiento de contraseña seguro en función del nivel de riesgo detectado. Si el usuario completa correctamente el control de acceso, el riesgo se corrige automáticamente.
Corrección manual
Cuando la corrección del usuario no está habilitada, un administrador debe revisarlos manualmente en los informes del portal, a través de la API o en Microsoft 365 Defender. Los administradores pueden realizar acciones manuales para descartar, confirmar la seguridad o confirmar el riesgo.
Uso de los datos
Los datos de Identity Protection se pueden exportar a otras herramientas para su archivo, posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Identity Protection en el artículo Introducción a Microsoft Entra ID Protection y Microsoft Graph
Puede encontrar información sobre la integración de información de Identity Protection con Microsoft Sentinel en el artículo Conexión de datos de Microsoft Entra ID Protection.
Las organizaciones pueden almacenar datos durante más tiempo cambiando la configuración de diagnóstico de Microsoft Entra ID. Pueden optar por enviar datos a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a Event Hubs o enviar datos a otra solución. Puede encontrar información detallada sobre cómo hacerlo en el artículo Procedimiento de exportación de datos de riesgo.
Roles necesarios
Identity Protection requiere que los usuarios tengan el rol Lector de seguridad, Operador de seguridad, Administrador de seguridad, Lector global o Administrador global para poder acceder.
| Rol | Se puede | No se puede hacer |
|---|---|---|
| Administrador de seguridad | Acceso completo a Identity Protection | Restablecer la contraseña de un usuario |
| Operador de seguridad | Ver la información general y todos los informes de Identity Protection Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso |
Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas |
| Lector de seguridad | Ver la información general y todos los informes de Identity Protection | Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas Enviar comentarios sobre las detecciones |
| Lector global | Acceso de solo lectura a Identity Protection | |
| Administrador global | Acceso completo a Identity Protection |
Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.
Los administradores de acceso condicional pueden crear directivas que tengan en cuenta el riesgo de inicio de sesión o del usuario como una condición. Obtenga más información en el artículo Acceso condicional: Condiciones.
Requisitos de licencia
El uso de esta característica requiere licencias de Microsoft Entra ID P2. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
| Funcionalidad | Detalles | Microsoft Entra ID Gratis / Aplicaciones de Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Directivas de riesgo | Directivas de riesgo de inicio de sesión y de usuario (mediante Identity Protection o el acceso condicional) | No | No | Sí |
| Informes de seguridad | Información general | No | No | Sí |
| Informes de seguridad | Usuarios de riesgo | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Acceso total |
| Informes de seguridad | Inicios de sesión no seguros | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Acceso total |
| Informes de seguridad | Detecciones de riesgo | No | Información limitada. No hay ningún cajón de detalles. | Acceso total |
| Notificaciones | Alertas detectadas sobre usuarios en riesgo | No | No | Sí |
| Notificaciones | Resumen semanal | No | No | Sí |
| Directiva de registro de MFA | No | No | Sí |
Puede encontrar más información sobre estos informes completos en el artículo Procedimiento: investigar los riesgos.