Compartir a través de


¿Qué es Protección de id. de Microsoft Entra?

Microsoft Entra ID Protection ayuda a las organizaciones a detectar, investigar y corregir los riesgos relacionados con las identidades. Estos riesgos se pueden introducir en herramientas como el acceso condicional para tomar decisiones de acceso o enviarse a una herramienta de administración de eventos e información de seguridad (SIEM) para una investigación y correlación adicionales.

Diagrama que muestra cómo funciona Protección de id. en un alto nivel.

Detección de riesgos

Microsoft agrega continuamente y actualiza las detecciones en nuestro catálogo para proteger a las organizaciones. Estas detecciones proceden de nuestros aprendizajes basados en el análisis de billones de señales cada día de Active Directory, Cuentas de Microsoft y juegos de Xbox. Esta amplia gama de señales ayuda a Protección de id. a detectar comportamientos de riesgo como:

  • Uso de una dirección IP anónima
  • Ataques de difusión de contraseña
  • Credenciales con fugas
  • Y mucho más...

Durante cada inicio de sesión, ID Protection ejecuta todas las detecciones en tiempo real, generando un nivel de riesgo de la sesión que indica la probabilidad de que el inicio de sesión esté comprometido. En función de este nivel de riesgo, se aplican directivas para proteger al usuario y a la organización.

Para obtener una lista completa de los riesgos y cómo se detectan, consulte el artículo ¿Qué es el riesgo?

Investigación

Se realiza un seguimiento de los riesgos detectados en una identidad con los informes. Protección de id. proporciona tres informes clave para que los administradores investiguen los riesgos y tomen medidas:

  • Detecciones de riesgo: cada riesgo detectado se notifica como detección de riesgos.
  • Inicios de sesión de riesgo: Se notifica un inicio de sesión de riesgo cuando hay una o varias detecciones de riesgo notificadas para ese inicio de sesión.
  • Usuarios de riesgo: Se notifica un usuario de riesgo cuando se cumple uno o ambos de los siguientes elementos:
    • El usuario tiene uno o varios inicios de sesión de riesgo.
    • Se notifican una o varias detecciones de riesgo.

Para obtener más información sobre cómo usar los informes, consulte el artículo Cómo: Investigar el riesgo.

Corrección de riesgos

La automatización es fundamental en la seguridad porque la escala de señales y ataques requiere automatización para mantenerse al día.

El Informe de defensa digital de Microsoft 2024 proporciona las siguientes estadísticas:

78 billones de señales de seguridad analizadas al día, un aumento de 13 billones del año anterior

600 millones de ataques en clientes de Microsoft al día

2.75x aumento año a año en ataques de ransomware operados por humanos

Estas estadísticas siguen tendencia hacia arriba, sin signo de ralentización. En este entorno, la automatización es la clave para identificar y corregir el riesgo para que las organizaciones de TI puedan centrarse en las prioridades correctas.

Corrección automática

Las directivas de acceso condicional basadas en riesgos se pueden habilitar para requerir controles de acceso, como proporcionar un método de autenticación seguro, realizar la autenticación multifactor o realizar un restablecimiento de contraseña seguro en función del nivel de riesgo detectado. Si el usuario completa correctamente el control de acceso, el riesgo se corrige automáticamente.

Corrección manual

Cuando la corrección de usuarios no está habilitada, un administrador debe revisar manualmente las correcciones de usuarios en los informes del portal, a través de la API o en el XDR de Microsoft Defender. Los administradores pueden realizar acciones manuales para descartar, confirmar que es seguro o confirmar un compromiso sobre los riesgos.

Uso de los datos

Los datos de Protección de id. se pueden exportar a otras herramientas para su archivo, posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Protección de id. en el artículo Introducción a Protección de id. de Microsoft Entra y Microsoft Graph

Puede encontrar información sobre la integración de información de Protección de id. con Microsoft Sentinel en el artículo Conexión de datos de Protección de id. de Microsoft Entra.

Las organizaciones pueden almacenar datos durante períodos más largos si cambian la configuración de diagnóstico en Microsoft Entra ID. Pueden optar por enviar datos a un área de trabajo de Log Analytics, archivar datos en una cuenta de almacenamiento, transmitir datos a Event Hubs o enviar datos a otra solución. Puede encontrar información detallada sobre cómo hacerlo en el artículo Procedimiento de exportación de datos de riesgo.

Roles necesarios

La protección de identificadores requiere que a los usuarios se les asigne uno o varios de los siguientes roles.

Rol Se puede No se puede
Lector global Acceso de solo lectura a Protección de id. Acceso de escritura a la protección de identificadores
Administrador de usuarios Restablecer las contraseñas de los usuarios Leer o escribir en Protección de ID
Administrador de acceso condicional Crear directivas que factorizen el riesgo de usuario o de inicio de sesión como una condición Leer o modificar directivas heredadas de protección de identificación
Lector de seguridad Ver la información general y todos los informes de Protección de id. Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas

Enviar comentarios sobre las detecciones
Operador de seguridad Ver la información general y todos los informes de Protección de id.

Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso
Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas
Administrador de seguridad Acceso total a Protección de id. Restablecer la contraseña de un usuario

Requisitos de licencia

El uso de esta característica requiere licencias de Microsoft Entra ID P2. Para encontrar la licencia adecuada para sus requisitos, consulte planes y precios de Microsoft Entra. En la tabla siguiente se describen las funcionalidades clave de Microsoft Entra ID Protection y los requisitos de licencia para cada funcionalidad. Consulte la página planes y precios de Microsoft Entra para obtener más información.

Funcionalidad Detalles Microsoft Entra ID Gratis /Aplicaciones de Microsoft 365 Microsoft Entra ID P1 Microsoft Entra ID P2 / Microsoft Entra Suite
Directivas de riesgo Directivas de riesgo usuario y de inicio de sesión (mediante Protección de id. o el acceso condicional) No No
Informes de seguridad Información general No No
Informes de seguridad Usuarios de riesgo Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Acceso total
Informes de seguridad Inicios de sesión no seguros Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Acceso total
Informes de seguridad Detecciones de riesgo No Información limitada. No hay ningún cajón de detalles. Acceso total
Notificaciones Alertas detectadas sobre usuarios en riesgo No No
Notificaciones Resumen semanal No No
Directiva de registro de MFA Requerir autenticación multifactor (a través del acceso condicional) No No
Microsoft Graph Todos los informes de riesgo No No

Para ver el informe Identidades de Carga de Trabajo Riesgosas y la pestaña Detecciones de Identidad de Carga de Trabajo en el informe Detecciones de Riesgo, necesita una licencia premium de Identidades de Carga de Trabajo. Para obtener más información, consulte Protección de identidades de cargas de trabajo.

Microsoft Defender

Microsoft Entra ID Protection recibe señales de productos de Microsoft Defender para varias detecciones de riesgo, por lo que también necesita la licencia adecuada para el producto de Microsoft Defender que posee la señal que le interesa.

Microsoft 365 E5 cubre todas las señales siguientes:

  • Aplicaciones de Microsoft Defender for Cloud

    • Actividad desde una dirección IP anónima
    • Desplazamiento imposible
    • Acceso masivo a archivos confidenciales
    • Nuevo país
  • Microsoft Defender para Office 365

    • Reglas sospechosas de bandeja de entrada
  • Microsoft Defender para Endpoint

    • Posible intento de acceder al token de actualización principal

Pasos siguientes