Instrucciones: Investigación de riesgos

Identity Protection proporciona a las organizaciones tres informes que pueden usar para investigar los riesgos de identidad en su entorno. Estos informes son sobre los usuarios de riesgo, los inicios de sesión de riesgo y las detecciones de riesgo. La investigación de eventos es clave para comprender e identificar mejor los puntos débiles de la estrategia de seguridad.

Los tres informes permiten descargar eventos en formato .CSV para analizarlos posteriormente, fuera de Azure Portal. Los informes sobre usuarios e inicios de sesión de riesgo permiten descargar las 2500 entradas más recientes, mientras que el informe sobre detecciones de riesgo permite descargar los 5000 registros más recientes.

Las organizaciones pueden beneficiarse de las integraciones de Microsoft Graph API para agregar datos con otros orígenes a los que pueden tener acceso como organización.

Los tres informes se encuentran en Azure Portal>Azure Active Directory>Seguridad.

Cada informe se inicia con una lista de todas las detecciones correspondientes al período mostrado en la parte superior del informe. Cada informe permite agregar o quitar columnas en función de la preferencia del administrador. Los administradores pueden elegir descargar los datos en formato CSV o JSON. Los informes se pueden filtrar con los filtros de la parte superior del informe.

La selección de entradas individuales puede habilitar más entradas en la parte superior del informe, como la capacidad de confirmar que un inicio de sesión es de riesgo o seguro, confirmar que un usuario está en peligro o descartar el riesgo del usuario.

La selección de entradas individuales expande una ventana de detalles debajo de las detecciones. La vista de detalles permite a los administradores investigar y realizar acciones en cada detección.

Usuarios de riesgo

Risky users report in the Azure portal

Con la información que proporciona el informe de usuarios de riesgo, los administradores pueden buscar lo siguiente:

  • ¿Qué usuarios están en riesgo, lo han corregido o lo han descartado?
  • Detalles sobre las detecciones
  • Historial de todos los inicios de sesión de riesgo
  • Historial de riesgos

A continuación, los administradores pueden elegir tomar medidas en estos eventos. Los administradores pueden optar por:

  • Restablecer la contraseña del usuario
  • Confirmar el peligro del usuario
  • Descartar el riesgo del usuario
  • Bloquear el inicio de sesión del usuario
  • Investigar con más detalle con Azure ATP

Inicios de sesión no seguros

Risky sign-ins report in the Azure portal

El informe de inicios de sesión de riesgo contiene datos que se pueden filtrar hasta los últimos 30 días (1 mes).

Con la información que proporciona el informe de inicios de sesión de riesgo, los administradores pueden buscar lo siguiente:

  • Qué inicios de sesión están clasificados como de riesgo, confirmados en peligro, confirmados seguros, descartados o corregidos.
  • Niveles de riesgo agregado y en tiempo real asociado con los intentos de inicio de sesión.
  • Tipos de detección desencadenados.
  • Directivas de acceso condicionales aplicadas.
  • Detalles de MFA.
  • Información del dispositivo
  • Información de la aplicación
  • Información de la ubicación.

A continuación, los administradores pueden elegir tomar medidas en estos eventos. Los administradores pueden optar por:

  • Confirmar el peligro del inicio de sesión
  • Confirmar la seguridad del inicio de sesión

Nota:

Identity Protection evalúa el riesgo de todos los flujos de autenticación, si es interactivo o no interactivo. El informe de inicio de sesión de riesgo ahora muestra inicios de sesión interactivos y no interactivos. Use el filtro de "tipo de inicio de sesión" para modificar esta vista.

Detecciones de riesgo

Risk detections report in the Azure portal

El informe de detecciones de riesgo contiene datos que se pueden filtrar de los últimos 90 días (tres meses).

Con la información que proporciona el informe de detecciones de riesgo, los administradores pueden buscar lo siguiente:

  • Información sobre cada detección de riesgo, incluido el tipo.
  • Otros riesgos desencadenados al mismo tiempo.
  • Ubicación del intento de inicio de sesión.
  • Vínculo para obtener más detalles desde Microsoft Defender for Cloud Apps.

Los administradores pueden elegir volver al informe de riesgo del usuario o de inicios de sesión para realizar acciones en función de la información recopilada.

Nota:

Nuestro sistema puede detectar que el evento de riesgo que ha contribuido a la puntuación de riesgo del usuario de riesgo era un falso positivo o que se ha corregido el riesgo del usuario con la aplicación de directivas, como al completar una solicitud de MFA o un cambio de contraseña seguro. Por lo tanto, el sistema descartará el estado de riesgo y se mostrará un detalle de riesgo de "La IA confirmó que el inicio de sesión es seguro" y dejará de contribuir al riesgo del usuario.

Marco de investigación

Las organizaciones pueden usar los marcos siguientes para iniciar una investigación sobre cualquier actividad sospechosa. Puede que las investigaciones requieran tener una conversación con el usuario en cuestión, revisar los registros de inicio de sesión o revisar los registros de auditoría por nombrar algunos.

  1. Compruebe los registros y valide si la actividad sospechosa es normal en el caso del usuario determinado.
    1. Consulte las actividades anteriores del usuario, incluidas al menos las siguientes propiedades para ver si son normales para el usuario en cuestión.
      1. Application
      2. Dispositivo: ¿el dispositivo está registrado o es compatible?
      3. Ubicación: ¿puede que el usuario se desplace a otra ubicación o acceda a dispositivos desde varias ubicaciones?
      4. IP address (Dirección IP)
      5. Cadena de agente de usuario
    2. Si tiene acceso a otras herramientas de seguridad como Microsoft Sentinel, compruebe las alertas correspondientes que podrían indicar un problema más grave.
  2. Póngase en contacto con el usuario para confirmar si reconoce el inicio de sesión. Los métodos como el correo o Teams pueden estar en peligro.
    1. Compruebe la información que tiene, por ejemplo:
      1. Application
      2. Dispositivo
      3. Location
      4. Dirección IP

Investigación de detecciones de inteligencia sobre amenazas de Azure AD

Para investigar una detección de riesgo de inteligencia sobre amenazas de Azure AD, siga estos pasos:

Si se muestra más información para la detección:

  1. Inicio de sesión desde una dirección IP sospechosa:
    1. Compruebe si la dirección IP muestra un comportamiento sospechoso en su entorno.
    2. Compruebe si la dirección IP genera un gran número de errores para un usuario o un conjunto de usuarios del directorio.
    3. Compruebe si el tráfico de la dirección IP viene de un protocolo o aplicación inesperados, por ejemplo, protocolos heredados Exchange.
    4. Si la dirección IP corresponde a un proveedor de servicios en la nube, descarte que no existen aplicaciones empresariales legítimas que se ejecutan desde la misma dirección IP.
  2. Esta cuenta de usuario fue atacada por una difusión de contraseña:
    1. Valide que ningún otro usuario del directorio sea objetivo del mismo ataque.
    2. Compruebe si otros usuarios tienen inicios de sesión con patrones atípicos similares que se ven en el inicio de sesión detectado dentro del mismo período de tiempo. Los ataques de difusión de contraseña pueden mostrar patrones inusuales en:
      1. Cadena de agente de usuario
      2. Application
      3. Protocolo
      4. Intervalos de direcciones IP/ASN
      5. Hora y frecuencia de inicios de sesión

Pasos siguientes