¿Qué es Protección de id. de Microsoft Entra?
Protección de id. de Microsoft Entra ayuda a las organizaciones a detectar, investigar y corregir los riesgos relacionados con las identidades. Los riesgos basados en identidades se pueden insertar posteriormente en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar una investigación más detallada.
Detección de riesgos
Microsoft agrega continuamente y actualiza las detecciones en nuestro catálogo para proteger a las organizaciones. Estas detecciones proceden de nuestros aprendizajes basados en el análisis de billones de señales cada día de Active Directory, Cuentas de Microsoft y juegos de Xbox. Esta amplia gama de señales ayuda a Protección de id. a detectar comportamientos de riesgo como:
- Uso de una dirección IP anónima
- Ataques de difusión de contraseña
- Filtración de credenciales
- Y mucho más...
Durante cada inicio de sesión, Protección de id. ejecuta todas las detecciones de inicio de sesión en tiempo real que generan un nivel de riesgo de sesión de inicio de sesión, lo que indica la probabilidad de que el inicio de sesión esté en peligro. En función de este nivel de riesgo, las directivas se aplican para proteger al usuario y a la organización.
Para obtener una lista completa de los riesgos y cómo se detectan, consulte el artículo ¿Qué es un riesgo?
Investigación
Se realiza un seguimiento de los riesgos detectados en una identidad con los informes. Protección de id. proporciona tres informes clave para que los administradores investiguen los riesgos y tomen medidas:
- Detecciones de riesgo: cada riesgo detectado se notifica como detección de riesgos.
- Inicios de sesión de riesgo: se notifica un inicio de sesión de riesgo cuando hay una o varias detecciones de riesgo notificadas para ese inicio de sesión.
- Usuarios de riesgo: se notifica un usuario de riesgo cuando se cumple uno o ambos de los siguientes elementos:
- El usuario tiene uno o varios inicios de sesión de riesgo.
- Se notifican una o varias detecciones de riesgo.
Para obtener más información sobre cómo usar los informes, consulte el artículo Instrucciones: Investigar el riesgo.
Corrección de riesgos
¿Por qué la automatización es fundamental en la seguridad?
En la entrada de blog Ciberseñales: defensa contra amenazas cibernéticas con las últimas investigaciones, conclusiones y tendencias, con fecha del 3 febrero de 2022, Microsoft compartió un informe de inteligencia contra amenazas con las estadísticas siguientes:
Se analizaron 24 billones de señales de seguridad combinadas con inteligencia de la que se realizó el seguimiento mediante la supervisión de más de 40 grupos nacionales y estatales, y más de 140 grupos de amenazas...
... Desde enero hasta diciembre de 2021, se han bloqueado más de 25 600 millones de ataques de autenticación por fuerza bruta de Microsoft Entra...
La magnitud de la escala de señales y ataques necesita cierto nivel de automatización para mantenerse al día.
Corrección automática
Las directivas de acceso condicional basadas en riesgos se pueden habilitar para requerir controles de acceso, como proporcionar un método de autenticación sólida, realizar la autenticación multifactor o realizar un restablecimiento de contraseña seguro en función del nivel de riesgo detectado. Si el usuario completa correctamente el control de acceso, el riesgo se corrige automáticamente.
Corrección manual
Cuando la corrección del usuario no está habilitada, un administrador debe revisarlos manualmente en los informes del portal, a través de la API o en Microsoft 365 Defender. Los administradores pueden realizar acciones manuales para descartar, confirmar la seguridad o confirmar el riesgo.
Uso de los datos
Los datos de Protección de id. se pueden exportar a otras herramientas para su archivo, posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Protección de id. en el artículo Introducción a Protección de id. de Microsoft Entra y Microsoft Graph
Puede encontrar información sobre la integración de información de Protección de id. con Microsoft Sentinel en el artículo Conexión de datos de Protección de id. de Microsoft Entra.
Las organizaciones pueden almacenar datos durante períodos más largos si cambian la configuración de diagnóstico en Microsoft Entra ID. Pueden elegir enviar datos a un área de trabajo de Log Analytics, archivarlos en una cuenta de almacenamiento, transmitirlos a Event Hubs o enviarlos a otra solución. Puede encontrar información detallada sobre cómo hacerlo en el artículo Instrucciones: Exportación de datos de riesgo.
Roles necesarios
Protección de id. requiere que a los usuarios se les asigne uno o más de los siguientes roles para tener acceso.
Rol | Puede hacer | No se posible |
---|---|---|
Administrador de seguridad | Acceso total a Protección de id. | Restablecer la contraseña de un usuario |
Operador de seguridad | Ver la información general y todos los informes de Protección de id. Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso |
Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas |
Lector de seguridad | Ver la información general y todos los informes de Protección de id. | Configurar o cambiar directivas Restablecer la contraseña de un usuario Configurar alertas Enviar comentarios sobre las detecciones |
Lector global | Acceso de solo lectura a Protección de id. | |
Administrador de usuarios | Restablecer las contraseñas de los usuarios |
Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.
Los administradores de acceso condicional pueden crear directivas que tengan en cuenta el riesgo de inicio de sesión o del usuario como una condición. Obtenga más información en el artículo Acceso condicional: Condiciones.
Requisitos de licencia
El uso de esta característica requiere una licencia P2 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a los requisitos, vea Comparación de las características de disponibilidad general de Microsoft Entra ID.
Funcionalidad | Detalles | Microsoft Entra ID Gratis/Aplicaciones de Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|---|
Directivas de riesgo | Directivas de riesgo usuario y de inicio de sesión (mediante Protección de id. o el acceso condicional) | No | No | Sí |
Informes de seguridad | Información general | No | No | Sí |
Informes de seguridad | Usuarios de riesgo | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Acceso total |
Informes de seguridad | Inicios de sesión de riesgo | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Acceso total |
Informes de seguridad | Detecciones de riesgo | No | Información limitada. No hay ningún cajón de detalles. | Acceso total |
Notificaciones | Alertas detectadas sobre usuarios en riesgo | No | No | Sí |
Notificaciones | Resumen semanal | No | No | Sí |
Directiva de registro de MFA | No | No | Sí |
Puede encontrar más información sobre estos informes completos en el artículo Instrucciones: Investigar los riesgos.
Para usar el riesgo de identidad de carga de trabajo, incluida la pestaña Identidades de carga de trabajo de riesgo y Detecciones de identidad de carga de trabajo en los paneles Detecciones de riesgos en el centro de administración, debe tener licencias Premium de identidades de carga de trabajo. Para obtener más información, consulte el artículo Protección de identidades de carga de trabajo.