Operaciones de seguridad de Microsoft Entra para Privileged Identity Management
La seguridad de los recursos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI. Los atacantes cibernéticos usan ataques de robo de credenciales dirigidos a las cuentas de administrador y otras cuentas de acceso con privilegios para intentar acceder a datos confidenciales.
En el caso de los servicios en la nube, la prevención y la respuesta son responsabilidades conjuntas del proveedor de los servicios en la nube y del cliente.
Tradicionalmente, la seguridad de la organización se ha centrado en los puntos de entrada y salida de una red, como el perímetro de seguridad. Sin embargo, las aplicaciones SaaS y los dispositivos personales han hecho que este enfoque sea menos eficaz. En Microsoft Entra ID, se ha reemplazado el perímetro de seguridad de la red por la autenticación en la capa de identidad de la organización. A medida que se asignan roles administrativos con privilegios a los usuarios, su acceso debe protegerse en los entornos locales, de nube e híbridos.
Usted es totalmente responsable de todas las capas de seguridad de su entorno de TI local. Cuando se usan servicios en la nube de Azure, la prevención y la respuesta son responsabilidades conjuntas de Microsoft como proveedor de servicios en la nube y de usted como cliente.
Para más información sobre el modelo de responsabilidad compartida, consulte Responsabilidad compartida en la nube.
Para más información sobre cómo proteger el acceso de los usuarios con privilegios, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.
Puede encontrar una amplia variedad de vídeos, guías paso a paso y contenido de conceptos clave sobre la identidad con privilegios en Documentación sobre Privileged Identity Management.
Privileged Identity Management (PIM) es un servicio de Microsoft Entra que permite administrar, controlar y supervisar el acceso a recursos importantes de la organización. Estos recursos incluyen recursos en Microsoft Entra ID, Azure y otros servicios de Microsoft Online Services, como Microsoft 365 o Microsoft Intune. Puede usar PIM para ayudar a mitigar los siguientes riesgos:
Identificar y minimizar el número de personas que tienen acceso a información y recursos seguros.
Detectar permisos de acceso excesivos, innecesarios o mal usados en recursos confidenciales.
Reducir las posibilidades de que actores malintencionados obtengan acceso a información o recursos protegidos.
Reducir la posibilidad de que usuarios no autorizados alteren por accidente recursos confidenciales.
Use este artículo para consultar instrucciones sobre cómo establecer líneas base, auditar inicios de sesión y usar cuentas con privilegios. Use el origen del registro de auditoría de origen para ayudar a mantener la integridad de la cuenta con privilegios.
Dónde buscar
Los archivos de registro que usa para la investigación y supervisión son:
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra con otras herramientas que permiten la supervisión y la creación de alertas de forma automática:
Microsoft Sentinel : permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).
Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, el repositorio y las plantillas se crean y recopilan por la comunidad mundial de seguridad de TI.
Azure Monitor : permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubsintegrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.
Microsoft Defender for Cloud Apps : permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.
Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.
En el resto de este artículo se proporcionan recomendaciones para establecer una línea de base sobre la que supervisar y generar alertas, con un modelo de niveles. Los vínculos a soluciones pregeneradas aparecen después de la tabla. También puede crear alertas mediante las herramientas anteriores. El contenido se organiza en las siguientes áreas:
Líneas de base
Asignación de roles de Microsoft Entra
Configuración de alertas de rol de Microsoft Entra
Asignación de roles de recursos de Azure
Administración del acceso a los recursos de Azure
Acceso con privilegios elevados para administrar suscripciones de Azure
Líneas de base
Esta es la configuración de línea de base recomendada:
| Elementos para supervisar | Nivel de riesgo | Recomendación | Roles | Notas |
|---|---|---|---|---|
| Asignación de roles de Microsoft Entra | Alto | Exigir una justificación para la activación. Exigir la aprobación para la activación. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas. | Administrador de roles con privilegios, administrador global | Un administrador de roles con privilegios puede personalizar PIM en su organización de Microsoft Entra, por ejemplo, cambiar la experiencia de los usuarios que activan una asignación de roles válida. |
| Configuración del rol de recursos de Azure | Alto | Exigir una justificación para la activación. Exigir la aprobación para la activación. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas. | Propietario, administrador de recursos, acceso de usuario, administrador global, administrador de seguridad | Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno. |
Alertas de Privileged Identity Management
Privileged Identity Management (PIM) genera alertas cuando hay actividades sospechosas o no seguras en su organización de Microsoft Entra. Cuando se genera una alerta, aparece en el panel Privileged Identity Management. También puede configurar una notificación por correo electrónico o enviarla a su SIEM a través de GraphAPI. Dado que estas alertas se centran específicamente en roles administrativos, debe supervisar estrechamente las alertas.
Asignación de roles de Microsoft Entra
Un administrador de roles con privilegios puede personalizar PIM en su organización de Microsoft Entra, por ejemplo, cambiar la experiencia de los usuarios que activan una asignación de roles válida:
Evitar que un alguien que actúe con mala intención quite los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios.
Evitar que los usuarios malintencionados omitan la justificación y la aprobación de la activación del acceso con privilegios.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Alerta sobre la incorporación de cambios a permisos de cuenta con privilegios | Alto | Registros de auditoría de Microsoft Entra | Categoría = Administración de roles \- y - Tipo de actividad: agregar un miembro válido (permanente) \- y - Tipo de actividad: agregar un miembro válido (opcional) \- y - Estado = correcto/error - y - Propiedades modificadas = Role.DisplayName |
Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener privilegios para modificar la configuración de asignación de roles. Si no tiene un umbral definido, genere una alerta cuando haya 4 en 60 minutos para los usuarios y cuando haya 2 en 60 minutos para las cuentas con privilegios. Reglas Sigma |
| Alerta sobre los cambios de eliminación masiva en los permisos de cuentas con privilegios | Alto | Registros de auditoría de Microsoft Entra | Categoría = Administración de roles \- y - Tipo de actividad: quitar un miembro válido (permanente) \- y - Tipo de actividad: quitar un miembro válido (opcional) \- y - Estado = correcto/error - y - Propiedades modificadas = Role.DisplayName |
Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno. Plantilla de Microsoft Sentinel Reglas sigma |
| Cambios en la configuración de PIM | Alto | Registro de auditoría de Microsoft Entra | Servicio = PIM - y - Categoría = Administración de roles - y - Tipo de actividad = Actualización de la configuración de roles en PIM - y - Motivo de estado = MFA durante la activación deshabilitada (ejemplo) |
Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener acceso para modificar la configuración de asignación de roles. Una de estas acciones podría reducir la seguridad de la elevación de PIM y facilitar a los atacantes la adquisición de una cuenta con privilegios. Plantilla de Microsoft Sentinel Reglas Sigma |
| Elevación de aprobaciones y denegaciones | Alto | Registro de auditoría de Microsoft Entra | Servicio = Revisión de acceso - y - Categoría = UserManagement - y - Tipo de actividad = Solicitud aprobada o denegada - y - Actor iniciado = UPN |
Se deben supervisar todas las elevaciones. Registre todas las elevaciones, ya que podrían ser un indicio claro de la escala de tiempo de un ataque. Plantilla de Microsoft Sentinel Reglas Sigma |
| La configuración de alerta cambia a deshabilitado. | Alto | Registros de auditoría de Microsoft Entra | Servicio =PIM - y - Categoría = Administración de roles - y - Tipo de actividad = Deshabilitar alerta de PIM - y - Estado = correcto/error |
Genere una alerta siempre. Ayuda a detectar actores no autorizados que quitan alertas asociadas a los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios. Ayuda a detectar actividades sospechosas o poco seguras. Plantilla de Microsoft Sentinel Reglas sigma |
Para más información sobre cómo identificar cambios en la configuración de roles en el registro de auditoría de Microsoft Entra, consulte Visualización del historial de auditoría para los roles de Microsoft Entra en Privileged Identity Management.
Asignación de roles de recursos de Azure
La supervisión de las asignaciones de roles de recursos de Azure proporciona visibilidad sobre la actividad y las activaciones de los roles de recursos. Es posible que se utilicen incorrectamente para crear una superficie de ataque a un recurso. Cuando supervise este tipo de actividad, intente detectar:
Asignaciones de roles de consulta en recursos específicos
Asignaciones de roles para todos los recursos secundarios
Todos los cambios de asignación de roles activos y válidos
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Auditoría de recursos de alerta Auditoría de registro de actividades de cuentas con privilegios | Alto | En PIM, en recursos de Azure, Auditoría de recursos | Acción: agregar un miembro válido al rol en PIM finalizado (límite de tiempo) \- y - Destino principal \- y - Tipo = Usuario - y - Estado = Correcto |
Genere una alerta siempre. Ayuda a detectar actores no autorizados que agregan roles válidos para administrar todos los recursos de Azure. |
| Auditoría de recurso de alerta Auditoría para deshabilitar alerta | Media | En PIM, en recursos de Azure, Auditoría de recursos | Acción: deshabilitar alerta - y - Objetivo principal: demasiados propietarios asignados a un recurso - y - Estado = Correcto |
Ayuda a detectar actores no autorizados que deshabilitan las alertas desde el panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga |
| Auditoría de recurso de alerta Auditoría para deshabilitar alerta | Media | En PIM, en recursos de Azure, Auditoría de recursos | Acción: deshabilitar alerta - y - Objetivo principal: demasiados propietarios permanentes asignados a un recurso - y - Estado = Correcto |
Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga |
| Auditoría de recurso de alerta Auditoría para deshabilitar alerta | Media | En PIM, en recursos de Azure, Auditoría de recursos | Acción: deshabilitar alerta - y - Se ha creado un rol duplicado de destino principal - y - Estado = Correcto |
Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga |
Para más información sobre la configuración de alertas y la auditoría de roles de recursos de Azure, consulte:
Administración del acceso para recursos y suscripciones de Azure
Los usuarios o miembros de un grupo que tienen asignados los roles de suscripciones de propietario o de administrador de acceso de usuario, y los administradores globales de Microsoft Entra que permiten la administración de suscripciones en Microsoft Entra ID tienen, de forma predeterminada, permisos de administrador de recursos. Estos administradores pueden asignar roles, configurar opciones de rol y revisar el acceso con Privileged Identity Management (PIM) a los recursos de Azure.
Un usuario que tenga permisos de administrador de recursos puede administrar PIM para los recursos. Supervise y reduzca este riesgo: la funcionalidad se puede usar para permitir que actores no autorizados tengan acceso con privilegios a los recursos de la suscripción de Azure, como máquinas virtuales o cuentas de almacenamiento.
| Elementos para supervisar | Nivel de riesgo | Where | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Elevaciones | Alto | Microsoft Entra ID, en Administrar, Propiedades | Revise periódicamente la configuración. Administración del acceso a los recursos de Azure |
Los administradores globales pueden elevar sus privilegios habilitando la administración del acceso a los recursos de Azure. Compruebe que actores no autorizados no hayan obtenido permisos para asignar roles en todas las suscripciones y grupos de administración de Azure asociados a Active Directory. |
Para más información, consulte Asignación de roles de recursos de Azure en Privileged Identity Management
Pasos siguientes
Introducción a las operaciones de seguridad de Microsoft Entra
Operaciones de seguridad para cuentas de usuario
Operaciones de seguridad para cuentas de consumidor
Operaciones de seguridad para cuentas con privilegios
Operaciones de seguridad para aplicaciones