Guía de operaciones de seguridad de Microsoft Entra

Microsoft tiene un enfoque exitoso y probado para la seguridad de Confianza cero mediante principios de Defensa a fondo que usan la identidad como un plano de control. Las organizaciones siguen abrazando un mundo de cargas de trabajo híbridas para la escala, los ahorros de costos y la seguridad. Microsoft Entra ID juega un papel fundamental en la estrategia de administración de identidades. Recientemente, las noticias sobre el compromiso de la identidad y la seguridad han hecho que los equipos de TI empresariales consideren cada vez más su postura de seguridad de la identidad como una medida del éxito de la seguridad defensiva.

Cada vez más, las organizaciones deben adoptar una combinación de aplicaciones locales y en la nube, a las que los usuarios acceden con cuentas locales y de solo nube. La administración de usuarios, aplicaciones y dispositivos tanto en el ámbito local como en la nube plantea escenarios complicados.

Identidad híbrida

Microsoft Entra ID crea una identidad de usuario común para la autenticación y la autorización en todos los recursos, independientemente de la ubicación. A esto lo llamamos identidad híbrida.

Para lograr la identidad híbrida con Microsoft Entra ID, se pueden usar tres métodos de autenticación, en función de los escenarios. Los tres métodos son:

• Sincronización de hash de contraseña (PHS)
• Autenticación de paso a través (PTA)
• Federación (AD FS)

A medida que audite las operaciones de seguridad actuales o establezca operaciones de seguridad para su entorno de Azure, es recomendable que:

• Lea partes específicas de la guía de seguridad de Microsoft para establecer una línea de base de conocimiento sobre la protección del entorno de Azure híbrido o basado en la nube.
• Audite su estrategia de cuenta y contraseña y los métodos de autenticación para ayudar a disuadir a los vectores de ataque más comunes.
• Cree una estrategia de supervisión continua y alertas sobre actividades que puedan indicar una amenaza de seguridad.

Público

La guía de operaciones de seguridad de Microsoft Entra está pensada para equipos empresariales de operaciones de seguridad e identidades de TI y proveedores de servicios administrados que necesitan contrarrestrar las amenazas mediante una mejor configuración de la seguridad de identidad y perfiles de supervisión. Esta guía es especialmente pertinente para los administradores de TI y los arquitectos de identidades que aconsejan a los equipos de pruebas de penetración y defensivos del centro de operaciones de seguridad (SOC) mejorar y mantener su posición de seguridad de identidad.

Ámbito

En esta introducción se proporcionan las recomendaciones de estrategia y auditoría de contraseñas y lecturas previas sugeridas. En este artículo también se proporciona información general sobre las herramientas disponibles para entornos híbridos de Azure y entornos de Azure totalmente basados en la nube. Por último, proporcionamos una lista de orígenes de datos que puede usar para supervisar y alertar, así como para configurar su entorno y estrategia de Administración de eventos e información de seguridad (SIEM). En el resto de las instrucciones se presentan estrategias de supervisión y alertas en las áreas siguientes:

• Cuentas de usuario. Guía específica para cuentas de usuario sin privilegios ni privilegios administrativos, incluida la creación y el uso anómalos de cuentas e inicios de sesión inusuales.

• Cuentas con privilegios. Guía específica para cuentas de usuario con privilegios que tienen permisos elevados para realizar tareas administrativas. Las tareas incluyen asignaciones de roles de Microsoft Entra, asignaciones de roles de recursos de Azure y administración del acceso para recursos y suscripciones de Azure.

• Privileged Identity Management (PIM). Guía específica para usar PIM para administrar, controlar y supervisar el acceso a los recursos.

• Aplicaciones. Guía específica sobre las cuentas que se usan para proporcionar autenticación a las aplicaciones.

• Dispositivos. Guía específica para la supervisión y las alertas de dispositivos registrados o unidos fuera de las directivas, uso no compatible, administración de roles de administración de dispositivos e inicios de sesión en máquinas virtuales.

• Infraestructura. Guía específica para la supervisión y las alertas sobre amenazas de los entornos híbridos y basados exclusivamente en la nube.

Contenido de referencia importante

Microsoft tiene muchos productos y servicios que le permiten personalizar su entorno de TI para adaptarlo a sus necesidades. Se recomienda revisar la guía siguiente correspondiente al entorno operativo:

• Sistemas operativos Windows

  • Línea base de seguridad (FINAL) para Windows 10 v1909 y Windows Server v1909
  • Línea de base de seguridad para Windows 11
  • Línea de base de seguridad para Windows Server 2022

• Entornos locales

  • Arquitectura de Microsoft Defender for Identity
  • Inicio rápido: Conexión de Microsoft Defender for Identity a Active Directory
  • Línea base de seguridad de Azure paras Microsoft Defender for Identity
  • Supervisión de Active Directory en busca de indicios de riesgo

• Entornos de Azure basados en la nube

  • Supervisión de inicios de sesión con el registro de inicios de sesión de Microsoft Entra
  • Informes de la actividad de auditoría en Azure Portal
  • Investigación del riesgo con Protección de id. de Microsoft Entra
  • Conexión de datos de Protección de id. de Microsoft Entra a Microsoft Sentinel

• Active Directory Domain Services (AD DS)

  • Recomendaciones de la directiva de auditoría

• Active Directory Federation Services (AD FS)

  • Solución de problemas de AD FS: auditoría de eventos y registro

Orígenes de datos

Los archivos de registro que usa para la investigación y supervisión son:

• Registros de auditoría de Microsoft Entra
• Registros de inicio de sesión
• Registros de auditoría de Microsoft 365
• Registros de Azure Key Vault

En Azure Portal puede ver los registros de auditoría de Microsoft Entra. Descargue los registros como archivos de valores separados por comas (CSV) o de notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

• Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de administración de eventos e información de seguridad (SIEM).

• Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.

• Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

• Azure Event Hubs integrado con una solución de SIEM. Los registros de Microsoft Entra se pueden integrar con otras soluciones de SIEM, como Splunk, ArcSight, QRadar y Sumo Logic, mediante la integración de Azure Event Hubs. Para más información, consulte Transmisión de registros de Microsoft Entra ID a un centro de eventos de Azure.

• Microsoft Defender para aplicaciones en la nube: le permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

• Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o más directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen de impacto e identificar el impacto durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico. Para más información, vea Información detallada e informes del acceso condicional.

En el resto de este artículo se explica lo que supervisar y sobre qué alertar. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

• Identity Protection genera tres informes clave que se pueden usar para ayudar en la investigación:

• Usuarios de riesgo contiene información sobre qué usuarios están en peligro, detalles sobre detecciones, historial de todos los inicios de sesión de riesgo e historial de riesgos.

• Inicios de sesión de riesgo contiene información en torno a la circunstancia de un inicio de sesión que puede indicar circunstancias sospechosas. Para más información sobre la investigación de la información de este informe, vea Instrucciones: Investigación de riesgos.

• Detecciones de riesgo: contiene información sobre las señales de riesgo detectadas por Protección de id. de Microsoft Entra que informa del inicio de sesión y el riesgo para el usuario. Para más información, consulte la guía de operaciones de seguridad de Microsoft Entra para cuentas de usuario.

Para más información, vea ¿Qué es Identity Protection?

Orígenes de datos para la supervisión de controladores de dominio

Para obtener los mejores resultados, se recomienda supervisar los controladores de dominio mediante Microsoft Defender for Identity. Este enfoque facilita las mejores capacidades de detección y automatización. Siga la guía de estos recursos:

• Arquitectura de Microsoft Defender for Identity
• Inicio rápido: Conexión de Microsoft Defender for Identity a Active Directory

Si no tiene previsto usar Microsoft Defender for Identity, supervise los controladores de dominio mediante uno de estos métodos:

• Mensajes de registro de eventos. Vea Supervisión de Active Directory en busca de indicios de riesgo.
• Cmdlets de PowerShell. Vea Solución de problemas de implementación de controladores de dominio.

Componentes de la autenticación híbrida

Como parte de un entorno híbrido de Azure, los siguientes elementos se deben tomar como referencia e incluirse en la estrategia de supervisión y alertas.

• Agente de PTA: el agente de autenticación transferida se usa para habilitar la autenticación de paso a través y se instala en el entorno local. Consulte Agente de autenticación transferida de Microsoft Entra: historial de lanzamiento de versiones para información sobre cómo comprobar la versión del agente y los pasos siguientes.

• AD FS/WAP: los Servicios de federación de Active Directory (Azure AD FS) y el Proxy de aplicación web (WAP) permiten compartir de forma segura la identidad digital y los derechos a través de los límites de seguridad y de la empresa. Para obtener información sobre los procedimientos recomendados de seguridad, consulte Procedimientos recomendados para proteger los Servicios de federación de Active Directory.

• Agente de Microsoft Entra Connect Health: el agente usado para proporcionar un vínculo de comunicación para Microsoft Entra Connect Health. Para información sobre de cómo instalar el agente, consulte Instalación del agente de Microsoft Entra Connect Health.

• Motor de sincronización de Microsoft Entra Connect: el componente local, también llamado motor de sincronización. Para información sobre la característica, consulte Características del servicio de sincronización de Microsoft Entra Connect.

• Agente de controlador de dominio de protección de contraseñas: el agente de controlador de dominio de protección de contraseñas de Azure se usa para ayudar a supervisar e informar de los mensajes del registro de eventos. Para información, consulte Aplicación de la protección con contraseña de Microsoft Entra local en Active Directory Domain Services.

• DLL de filtro de contraseña: la DLL del agente de controlador de dominio del filtro de contraseña recibe las solicitudes de validación de contraseña de usuario desde el sistema operativo. El filtro las reenvía al servicio DC Agent que se ejecuta localmente en el controlador de dominio. Para información sobre el uso de la DLL, consulte Aplicación de la protección con contraseña de Microsoft Entra local en Active Directory Domain Services.

• Agente de escritura diferida de contraseñas: la escritura diferida de contraseñas es una característica que se habilita con Microsoft Entra Connect y que permite que los cambios de contraseña en la nube se escriban en diferido en un directorio local existente en tiempo real. Para información sobre esta característica, consulte ¿Cómo funciona la escritura diferida del autoservicio de restablecimiento de contraseña en Microsoft Entra ID?

• Conector de red privada de Microsoft Entra: agentes ligeros que se encuentran en el entorno local y facilitan la conexión saliente al servicio Application Proxy. Para obtener más información, consulte Descripción de los conectores de red privada de Microsoft Entra.

Componentes de la autenticación basada en la nube

Como parte de un entorno basado en la nube de Azure, los siguientes elementos se deben tomar como referencia e incluirse en la estrategia de supervisión y alertas.

• Application Proxy de Microsoft Entra: este servicio en la nube proporciona acceso remoto seguro a aplicaciones web locales. Para más información, consulte Acceso remoto a aplicaciones locales mediante Application Proxy de Microsoft Entra.

• Microsoft Entra Connect: los servicios usados en una solución de Microsoft Entra Connect. Para más información, consulte ¿Qué es Microsoft Entra Connect?

• Microsoft Entra Connect Health: Service Health proporciona un panel personalizable que realiza un seguimiento del estado de los servicios de Azure en las regiones donde los use. Para más información, consulte Microsoft Entra Connect Health.

• Autenticación multifactor de Microsoft Entra: la autenticación multifactor requiere que un usuario proporcione más de una forma de prueba para la autenticación. Este método puede proporcionar un primer paso proactivo para proteger el entorno. Para más información, consulte Autenticación multifactor de Microsoft Entra.

• Grupos dinámicos: la configuración dinámica de la pertenencia a grupos de seguridad para administradores de Microsoft Entra puede establecer reglas para rellenar los grupos creados en Microsoft Entra ID en función de atributos de usuario. Para más información, consulte Grupos dinámicos y colaboración B2B de Microsoft Entra.

• Acceso condicional: el acceso condicional es la herramienta que usa Microsoft Entra ID para reunir señales, tomar decisiones y aplicar las directivas de la organización. El acceso condicional está en el centro del nuevo plano de control basado en identidades. Para más información, consulte ¿Qué es el acceso condicional?.

• Protección de identidad: herramienta que permite a las organizaciones automatizar la detección y corrección de riesgos basados en identidades, investigar riesgos mediante datos del portal y exportar datos de detección de riesgos a su SIEM. Para más información, vea ¿Qué es Identity Protection?

• Licencias basadas en grupos: las licencias se pueden asignar a grupos en lugar de directamente a los usuarios. Microsoft Entra ID almacena información sobre los estados de asignación de licencias de los usuarios.

• Servicio de aprovisionamiento: el aprovisionamiento automático hace referencia a la creación de identidades y roles de usuario en las aplicaciones en la nube a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian. Para más información, consulte Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID.

• Graph API: Microsoft Graph API es una API web de RESTful que le permite tener acceso a recursos de servicio de Microsoft Cloud. Después de registrar la aplicación y obtener los tokens de autenticación para un usuario o servicio, puede realizar solicitudes a Microsoft Graph API. Para más información, consulte Introducción a Microsoft Graph.

• Servicio de dominio: Microsoft Entra Domain Services (AD DS) proporciona servicios de dominio administrados como, por ejemplo, unión a un dominio o directivas de grupo. Para más información, consulte ¿Qué es Microsoft Entra Domain Services?

• Azure Resource Manager: Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Para más información, vea ¿Qué es Azure Resource Manager?

• Identidad administrada: las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales. Las identidades administradas proporcionan una identidad que usan las aplicaciones al conectarse a los recursos que admiten la autenticación de Microsoft Entra. Para obtener más información, consulte ¿Qué son las identidades administradas de recursos de Azure?

• Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID que permite administrar, controlar y supervisar el acceso a recursos importantes de la organización. Para más información, consulte ¿Qué es Microsoft Entra Privileged Identity Management?

• Revisiones de acceso: las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado. Para más información, consulte ¿Qué son las revisiones de acceso Microsoft Entra?

• Administración de derechos: la administración de derechos de Microsoft Entra es una característica de la gobernanza de identidades. Las organizaciones pueden administrar el ciclo de vida de identidad y acceso a gran escala mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y la expiración. Para más información, consulte ¿Qué es la administración de derechos de Microsoft Entra?

• Registros de actividad: el registro de actividad es un registro de la plataforma de Azure que proporciona información de los eventos en el nivel de suscripción. Este registro incluye información como cuándo se modificó un recurso o cuándo se inició una máquina virtual. Para información, consulte Registro de actividad de Azure.

• Autoservicio de restablecimiento de contraseña: el autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña. El administrador o el departamento de soporte técnico no son necesarios. Para más información, consulte Cómo funciona el autoservicio de restablecimiento de contraseña de Microsoft Entra.

• Servicios de dispositivo: la administración de identidades de los dispositivos es la base del acceso condicional basado en dispositivos. Con las directivas de acceso condicional basado en dispositivos puede asegurarse de que el acceso a los recursos del entorno solo es posible con los dispositivos administrados. Para más información, vea ¿Qué es una identidad de dispositivo?

• Administración de grupos de autoservicio: puede permitir que los usuarios creen y administren sus propios grupos de seguridad o grupos de Microsoft 365 en Microsoft Entra ID. El propietario del grupo puede aprobar o rechazar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos. Las características de administración de grupos de autoservicio no están disponibles para grupos de seguridad habilitados para correo electrónico o listas de distribución. Para más información, consulte Configuración de la administración de grupos de autoservicio en Microsoft Entra ID.

• Detecciones de riesgo: contiene información sobre otros riesgos desencadenados cuando se detecta un riesgo y otra información pertinente, como la ubicación de inicio de sesión y los detalles de Microsoft Defender for Cloud Apps.

Pasos siguientes

Consulte estos artículos de la guía de operaciones de seguridad:

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura