Investigación y corrección de riesgos detectados por Microsoft Entra ID Protection
Las investigaciones le ayudan a comprender cómo puede mejorar su posición de seguridad de identidad. Le permiten responder mejor a los riesgos y le ayudan a evitarlos en el futuro.
En nuestra empresa minorista, hemos configurado directivas de Microsoft Entra ID Protection y se están detectando riesgos. Nuestro jefe nos ha pedido que investiguemos y corrijamos todos los riesgos detectados y le hagamos llegar un informe al jefe de proyectos. El equipo usa estas investigaciones para comprender mejor los riesgos basados en identidades de la empresa.
En esta unidad, aprenderemos a utilizar los informes para investigar los riesgos. Veremos cómo corregir diferentes tipos de riesgos y cómo tratar las cuentas de usuario que podrían estar bloqueadas.
Investigación de riesgos
Identity Protection proporciona informes que se pueden usar para investigar los riesgos basados en identidades detectados relativos a los usuarios de la organización. Estos informes pueden ser de distintos tipos. Cada tipo de informe proporciona al administrador información sobre unos riesgos en concreto. De este modo, el administrador podrá tomar medidas específicas para afrontar esos riesgos.
| Informe | Información que incluye | Medidas que el administrador puede tomar | Período cubierto |
|---|---|---|---|
| Inicios de sesión de riesgo | Detalles de la ubicación y del dispositivo, inicios de sesión confirmados como seguros o con riesgos descartados o corregidos. | Confirme que los inicios de sesión son seguros o que están en peligro. | Últimos 30 días |
| Usuarios de riesgo | Listas de usuarios en riesgo y usuarios con riesgos descartados o corregidos. Historial del usuario de los inicios de sesión de riesgo. | Restablezca las contraseñas de los usuarios, descarte el riesgo de usuario, bloquee los inicios de sesión de un usuario y confirme que las cuentas de los usuarios están en peligro. | No aplicable |
Puede utilizar estos informes para investigar los riesgos detectados por Identity Protection. y ayudan a saber cómo prevenir de mejor forma los riesgos y mejorar la postura de seguridad adoptada con respecto a las identidades.
También se puede acceder a informes de tipos de detección de riesgos, en que se combina información sobre las detecciones de usuario y de inicio de sesión de riesgo. Usaremos estos informes para ver cómo se relacionan los distintos tipos de riesgo y tomar las medidas adecuadas.
Todos estos informes se pueden consultar y descargar desde Azure Portal.
Corrección de riesgos
Una vez finalizada la investigación, buscaremos corregir los riesgos si aún no se están usando directivas de riesgo para tratarlos automáticamente. Los riesgos detectados siempre deben tratarse lo antes posible.
Existen distintas formas de corregir riesgos. Los métodos que se usen dependerán de las necesidades de la organización.
| Método de corrección | Descripción |
|---|---|
| Autocorrección | Si se configuran directivas de riesgo, puede dejar que los usuarios los corrijan por sí mismos. Cuando Identity Protection detecta un riesgo, los usuarios restablecen su contraseña o pasan por una autenticación multifactor para desbloquearse. Después de la autocorrección, los riesgos detectados se consideran cerrados. En las directivas de riesgo, cuanto más bajo es el nivel de riesgo aceptable que activa la directiva, más usuarios se ven afectados. En general, se recomienda establecer las directivas de riesgo de usuario en un umbral alto y las directivas de riesgo de inicio de sesión en un umbral medio o superior. |
| Restablecimiento manual de contraseñas | En algunas organizaciones, es posible que no se disponga de la opción de restablecimiento de contraseña automático. En tal caso, el administrador puede obligar manualmente a que se restablezcan las contraseñas. Por ejemplo, el administrador puede generar una contraseña temporal y avisar al usuario, que deberá cambiar su contraseña. |
| Descartar detecciones de riesgos de usuario | A veces, restablecer la contraseña no es viable. Por ejemplo, tal vez se haya eliminado la cuenta de usuario afectada. En tal caso, se pueden descartar las detecciones de riesgos del usuario en cuestión. Si decide descartar las detecciones de riesgos de usuario, todas las detecciones de riesgos asociadas se cerrarán. |
| Cerrar detecciones individuales | Todos los riesgos detectados contribuyen a la puntuación de riesgo global que se asigna a un usuario. Esta puntuación de riesgo representa la probabilidad de que una cuenta de usuario esté en peligro. El administrador también puede optar por cerrar detecciones de riesgo individuales y reducir el riesgo general de la cuenta de un usuario. Por ejemplo, el administrador puede determinar que ya no se necesita una detección de riesgos determinada de un usuario particular y, por tanto, descartarla. Así, se reduce el riesgo global de que una cuenta de usuario se haya puesto en peligro. |
Desbloqueo de usuarios
Cuando las directivas de riesgo bloquean una cuenta de usuario o un administrador bloquea manualmente una cuenta después de una investigación. La forma en que estas cuentas de usuario se desbloqueen dependerá del tipo de riesgo que haya provocado el bloqueo:
Cuentas bloqueadas debido a un riesgo de inicio de sesión
Una cuenta bloqueada debido a un riesgo de inicio de sesión se puede desbloquear excluyendo al usuario en cuestión de la directiva. Para desbloquear la cuenta, el administrador podría pedir al usuario que inicie sesión desde una ubicación o un dispositivo conocidos. A veces, se bloquean inicios de sesión procedentes de ubicaciones o dispositivos desconocidos. Puede haber una alerta relativa a un comportamiento sospechoso fundamentado en el conocimiento que se tiene de los patrones de inicio de sesión de esa cuenta de usuario. La directiva también se puede deshabilitar si el administrador detecta incidencias relacionadas.
Cuentas bloqueadas debido a un riesgo de usuario
Una cuenta podría bloquearse si se ha marcado al usuario a raíz de posibles comportamientos de riesgo. El administrador puede restablecer la contraseña del usuario para desbloquear la cuenta. Para quitar el bloqueo, el administrador puede descartar la actividad identificada como de riesgo o excluir al usuario de la directiva. Si la directiva está causando problemas a un gran número de usuarios, el administrador puede deshabilitarla por completo.