Introducción a la protección de Microsoft Entra ID
Microsoft Entra ID Protection ayuda a detectar, corregir e investigar de forma automática los riesgos basados en identidades de la organización.
La empresa minorista en la que trabajamos está preocupada por su reputación. Las identidades en peligro han permitido en el pasado que usuarios malintencionados obtuvieran información de los clientes de forma fraudulenta. Estos ataques han afectado a la reputación de la organización y, en última instancia, a su rentabilidad. Nuestro jefe nos ha pedido que valoremos Identity Protection como posible solución. Nos ha pedido que le informemos de lo que hace este servicio y cómo se usa.
En esta unidad, aprenderá qué es Identity Protection y los riesgos que conlleva su uso. S explorarán los diferentes flujos de trabajo que se pueden usar en Identity Protection para proteger las identidades.
¿Qué es Protección de id. de Microsoft Entra?
Identity Protection es una solución integrada en Microsoft Entra diseñada para proteger las identidades a través de un proceso compuesto por tres fases.
La especialidad de nuestra empresa es el comercio minorista, no la protección de datos. Su propósito es seguir centrándose en las áreas que domina, pero procurando al mismo tiempo que está protegida de posibles riesgos de identidad. Podemos usar Identity Protection en la organización para automatizar la detección, investigación y corrección de los riesgos relacionados con las identidades de los usuarios, sin necesidad de contratar a expertos en seguridad costosos.
¿Qué son los riesgos?
Los riesgos se clasifican en dos categorías: riesgos de usuario y riesgos de inicio de sesión. Los riesgos de usuario se pueden describir como acciones que llevan a cabo los usuarios cuando inician sesión; mientras que los riesgos de inicio de sesión son acciones sospechosas que realizan los usuarios después de iniciar sesión.
Riesgo de usuario
Un riesgo de usuario se produce cuando se pone en peligro la identidad o la cuenta de un usuario. Estos riesgos engloban lo siguiente:
| Riesgo | Descripción |
|---|---|
| Comportamiento inusual | La cuenta muestra una actividad inusual, o bien los patrones de uso son similares a los patrones que los sistemas y expertos de Microsoft han identificado como ataques. |
| Credenciales filtradas | Las credenciales del usuario pueden haberse filtrado. Por ejemplo, es posible que Microsoft haya encontrado una lista de credenciales filtradas en la Dark Web, lo que podría afectar a nuestras cuentas de usuario. |
Riesgo de inicio de sesión
Aquí, Identity Protection examina cada solicitud de autenticación para dilucidar si el propietario de dicha identidad la ha autorizado. Estos riesgos engloban lo siguiente:
| Riesgo | Descripción |
|---|---|
| Propiedades de inicio de sesión desconocidas | Identity Protection recuerda y conoce el historial de inicios de sesión de un usuario determinado. Por ejemplo, cuando se produce un inicio de sesión desde una ubicación inusual para el usuario, se activa una detección de riesgos. |
| Viaje atípico | Por ejemplo, cuando se producen dos o más inicios de sesión desde ubicaciones lejanas, en un período de tiempo poco realista, se activa una detección de riesgos. |
| Dirección IP vinculada a malware | Por ejemplo, si se sabe que la dirección IP desde la que se origina el inicio de sesión ha estado en contacto con un servidor de bot activo, se activa una detección de riesgo. |
| Dirección IP anónima | Por ejemplo, un inicio de sesión se origina desde una dirección IP anónima. Dado que los atacantes pueden usar estos detalles para ocultar su dirección IP o ubicación reales, se activa una detección de riesgo. |
Flujo de trabajo de Microsoft Entra ID Protection
Hay dos maneras diferentes de detectar y controlar los riesgos de identidad: el flujo de trabajo de autocorrección y el flujo de trabajo de corrección del administrador.
Autocorrección
Identity Protection usa directivas de riesgo para responder automáticamente a las amenazas detectadas. Puede configurar una directiva de riesgo para decidir cómo queremos que Identity Protection responda a un tipo de riesgo determinado. En este momento, puede elegir la acción que el usuario deberá completar. que puede ser un autoservicio de restablecimiento de contraseña o una autenticación multifactor. Usar directivas de esta manera ayuda a ahorrar tiempo y aporta tranquilidad.
En este flujo de trabajo, el administrador configura primero las directivas de riesgo que, después, supervisa los riesgos de identidad. Cuando se detecta un riesgo, las directivas aplican medidas para corregirlo. Una directiva podría, por ejemplo, pedir a un usuario que restablezca su contraseña en respuesta a un riesgo detectado. El usuario restablece la contraseña y el riesgo se corrige.
Flujo de trabajo de corrección del administrador
También se puede establecer que los administradores decidan cómo corregir un riesgo cuando las directivas de riesgo lo detecten. Este tipo de flujo de trabajo de corrección ayuda a tomar decisiones más ajustadas. El administrador conoce el contexto en el que los riesgos se han detectado.
En este flujo de trabajo, el administrador configura las directivas de riesgo. Luego, estas directivas supervisan los riesgos de identidades. El administrador recibe la notificación de los riesgos en un informe. El administrador ve el informe detallado y toma las medidas adecuadas para corregir los riesgos. Por ejemplo, el administrador podría decidir que un inicio de sesión es seguro y aceptar el riesgo.