Operaciones de seguridad de Microsoft Entra para cuentas de cliente
Las actividades de identidad del consumidor son un área importante para que tu organización proteja y supervise. Este artículo es para inquilinos de Azure Active Directory B2C (Azure AD B2C) y tiene instrucciones para supervisar las actividades de la cuenta de consumidor. Las actividades son:
- Cuenta del cliente
- Cuenta privilegiada
- Application
- Infraestructura
Antes de empezar
Antes de usar las instrucciones de este artículo, se recomienda leer la guía de operaciones de seguridad de Microsoft Entra.
Definición de una base de referencia
Para descubrir un comportamiento anómalo, define el comportamiento normal y el esperado. Definir el comportamiento esperado para su organización te ayuda a descubrir comportamientos inesperados. Usa la definición para ayudar a reducir los falsos positivos durante el monitoreo y las alertas.
Con el comportamiento esperado definido, realiza un seguimiento de referencia para validar las expectativas. A continuación, supervisa los registros de lo que queda fuera de la tolerancia.
Para las cuentas creadas fuera de los procesos normales, use los registros de auditoría y de inicio de sesión de Microsoft Entra y los atributos de directorio como orígenes de datos. Las sugerencias siguientes pueden ayudarte a definir la normalidad.
Creación de una cuenta de consumidor
Evaluar la lista siguiente:
- Estrategia y principios para herramientas y procesos para crear y administrar cuentas de consumidor
- Por ejemplo, atributos y formatos estándar aplicados a atributos de cuentas de consumidores
- Orígenes aprobados para la creación de cuentas.
- Por ejemplo, incorporación de políticas personalizadas, aprovisionamiento de clientes o herramienta de migración
- Estrategia de alerta para cuentas que se crearon fuera de orígenes aprobados.
- Crear una lista controlada de organizaciones con las que colabora tu organización
- Parámetros de estrategia y alerta para cuentas creadas, modificadas o deshabilitadas por un administrador de cuenta de consumidor no aprobado
- Supervisión y estrategia de alertas para cuentas de consumidor que no tienen atributos estándar, como el número de consumidor o el hecho de no seguir las convenciones de nomenclatura de la organización
- Estrategia, principios y proceso para la eliminación y retención de cuentas
Dónde mirar
Usar archivos de registro para investigar y supervisar. Consulta los siguientes artículos para obtener más información:
- Registros de auditoría en Microsoft Entra ID
- Registros de inicio de sesión en Microsoft Entra ID (versión preliminar)
- Cómo: Investigar los riesgos
Registros de auditoría y herramientas de automatización
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Use Azure Portal para integrar los registros de Microsoft Entra con otras herramientas para automatizar la supervisión y las alertas:
- Microsoft Sentinel: análisis de seguridad con funciones de gestión de eventos e información de seguridad (SIEM)
- Reglas Sigma: un estándar abierto para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar archivos de registro. Si hay plantillas de Sigma para nuestros criterios de búsqueda recomendados, agregamos un enlace al repositorio de Sigma. Microsoft no escribe, prueba ni administra plantillas Sigma. El repositorio y las plantillas son creados y recopilados por la comunidad de seguridad de TI.
- Azure Monitor: permite la supervisión automatizada y las alertas de diversas condiciones. Crea o usa libros para combinar datos de diferentes orígenes.
- Azure Event Hubs integrado con un SIEM: integre los registros de Microsoft Entra con SIEM como Splunk, ArcSight, QRadar y Sumo Logic con Azure Event Hubs
- Microsoft Defender for Cloud: descubre y administra aplicaciones, controla entre aplicaciones y recursos, y ajusta el cumplimiento de las aplicaciones en la nube
- Protección de la identidad: detecta el riesgo en las identidades de la carga de trabajo a través del comportamiento de inicio de sesión y los indicadores de compromiso sin conexión
Usa el resto del artículo para obtener recomendaciones sobre qué monitorear y alertar. Consulta las tablas, organizadas por tipo de amenaza. Consulta los enlaces a las soluciones o ejemplos prediseñados que se encuentran a continuación de la tabla. Crear alertas con las herramientas mencionadas anteriormente.
Cuentas de consumidor
| Elementos para supervisar | Nivel de riesgo | Where | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Gran número de creaciones o eliminaciones de cuentas | Alto | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto Iniciado por (actor) = Servicio CPIM - y - Actividad: Eliminar usuario Estado = correcto Iniciado por (actor) = Servicio CPIM |
Define un umbral de referencia y luego supervisa y ajusta para adaptarte a los comportamientos de tu organización. Limitar las alertas falsas. |
| Cuentas creadas y eliminadas por usuarios o procesos no aprobados | Media | Registros de auditoría de Microsoft Entra | Iniciado por (actor): NOMBRE PRINCIPAL DE USUARIO - y - Actividad: Agregar usuario Estado = correcto Iniciado por (actor) != Servicio CPIM y/o Actividad: Eliminar usuario Estado = correcto Iniciado por (actor) != Servicio CPIM |
Si los actores son usuarios no aprobados, configure el envío de una alerta. |
| Cuentas asignadas a un rol con privilegios | Alto | Registros de auditoría de Microsoft Entra | Actividad: Agregar usuario Estado = correcto Iniciado por (actor) == Servicio CPIM - y - Actividad = Agregar miembro a rol. Estado = correcto |
Si la cuenta se asigna a un rol de Microsoft Entra, un rol de Azure o a una pertenencia a grupos con privilegios, configure una alerta y dé prioridad a la investigación. |
| Intentos de inicio de sesión con errores | Medio: si se produjo un incidente aislado Alto: si muchas cuentas tienen el mismo patrón |
Registro de inicios de sesión de Microsoft Entra | Estado: Error - y - Código de error 50126 de inicio de sesión: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. - y - Aplicación == "CPIM PowerShell Client" O bien Aplicación == "ProxyIdentityExperienceFramework" |
Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptar los comportamientos de la organización y limitar la generación de alertas falsas. |
| Eventos de bloqueo inteligente | Medio: si se produjo un incidente aislado Alto: si muchas cuentas tienen el mismo patrón o una VIP |
Registro de inicios de sesión de Microsoft Entra | Estado: Error - y - Código de error de inicio de sesión = 50053 – IdsLocked - y - Aplicación == "CPIM PowerShell Client" O bien Aplicación == "ProxyIdentityExperienceFramework" |
Define un umbral de referencia y luego supervisa y ajusta para adaptarte a los comportamientos de tu organización y limitar las alertas falsas. |
| Autenticaciones con errores desde países o regiones desde las que no operas | Media | Registro de inicios de sesión de Microsoft Entra | Estado: Error - y - Ubicación = <ubicación no aprobada> - y - Aplicación == "CPIM PowerShell Client" O bien Aplicación == "ProxyIdentityExperienceFramework" |
Supervisa las entradas no iguales a los nombres de ciudad proporcionados. |
| Aumento de autenticaciones fallidas de cualquier tipo | Media | Registro de inicios de sesión de Microsoft Entra | Estado: Error - y - Aplicación == "CPIM PowerShell Client" O bien Aplicación == "ProxyIdentityExperienceFramework" |
Si no tienes un umbral, supervisa y alerta si las fallas aumentan en un 10 % o más. |
| Cuenta deshabilitada o bloqueada para inicios de sesión | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Código de error: 50057, la cuenta de usuario está deshabilitada. |
Este escenario podría indicar que alguien intenta obtener acceso a una cuenta después de dejar una organización. La cuenta está bloqueada, pero es importante registrar y alertar sobre esta actividad. |
| Aumento medible de inicios de sesión exitosos | Bajo | Registro de inicios de sesión de Microsoft Entra | Estado = Correcto - y - Aplicación == "CPIM PowerShell Client" O bien Aplicación == "ProxyIdentityExperienceFramework" |
Si no tienes un umbral, supervisa y avisa si las autenticaciones exitosas aumentan en un 10 % o más. |
Cuentas con privilegios
| Elementos para supervisar | Nivel de riesgo | Where | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Error de inicio de sesión, umbral de contraseña incorrecta | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Código de error = 50126 |
Define un umbral de referencia y controla y ajusta para adaptarte a los comportamientos de tu organización. Limitar las alertas falsas. |
| Error debido a un requisito de acceso condicional | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Código de error = 53003 - y - Motivo del error = Bloqueado por el acceso condicional |
El evento puede indicar que un atacante está tratando de entrar en la cuenta. |
| Interrupción | Alto, medio | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Código de error = 53003 - y - Motivo del error = Bloqueado por el acceso condicional |
El evento puede indicar que un atacante tiene la contraseña de la cuenta, pero no puede pasar el desafío de autenticación multifactor. |
| Bloqueo de cuenta | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Código de error = 50053 |
Define un umbral de referencia, luego supervisa y ajusta para adaptarte a los comportamientos de tu organización. Limitar las alertas falsas. |
| Cuenta deshabilitada o bloqueada para inicios de sesión | low | Registro de inicios de sesión de Microsoft Entra | Estado = Error - y - Objetivo = UPN de usuario - y - Código de error = 50057 |
El evento podría indicar que alguien intenta obtener acceso a la cuenta después de haber dejado la organización. Aunque la cuenta esté bloqueada, registra y alerta esta actividad. |
| Alerta o bloqueo de fraude de MFA | Alto | Registro de inicios de sesión de Microsoft Entra/Azure Log Analytics | Inicios de sesión>Detalles de autenticación Detalles del resultado = MFA denegado, se introdujo un código de fraude |
El usuario con privilegios indica que no ha instigado la solicitud de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta. |
| Alerta o bloqueo de fraude de MFA | Alto | Registro de inicios de sesión de Microsoft Entra/Azure Log Analytics | Tipo de actividad = Fraude informado: el usuario está bloqueado para MFA o se ha notificado fraude: no se toman medidas (en función de la configuración de nivel del inquilino para el informe de fraude) | El usuario con privilegios no indicó ninguna instigación de la solicitud de MFA. Esto escenario puede indicar que un atacante tiene la contraseña de la cuenta. |
| Inicios de sesión de cuentas con privilegios fuera de los controles esperados | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Error UserPricipalName = <Cuenta de administrador> Ubicación = <Ubicación no aprobada> Dirección IP = <Dirección IP no aprobada> Información del dispositivo = <Explorador o sistema operativo no aprobados> |
Supervisa y alerta las entradas que definiste como no aprobadas. |
| Fuera de las horas de inicio de sesión normales | Alto | Registro de inicios de sesión de Microsoft Entra | Estado = Correcto - y - Ubicación = - y - Hora = Fuera del horario laboral |
Supervisa y notifica si los inicios de sesión se producen fuera del horario esperado. Encuentra el patrón de trabajo normal para cada cuenta con privilegios y avisa si hay cambios no planificados fuera del horario laboral normal. Los inicios de sesión fuera del horario laboral normal podrían indicar un compromiso o una posible amenaza interna. |
| Cambio de contraseña | Alto | Registros de auditoría de Microsoft Entra | Actor de la actividad = Administrador/Autoservicio - y - Objetivo = Usuario - y - Estado = correcto o error |
Alerta cuando cambia cualquier contraseña de la cuenta Administrador. Escribir una consulta para cuentas con privilegios. |
| Cambios en los métodos de autenticación | Alto | Registros de auditoría de Microsoft Entra | Actividad: Crear proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo. |
| Proveedor de identidades actualizado por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Actualizar el proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo. |
| Proveedor de identidades eliminado por actores no aprobados | Alto | Revisión de acceso de Microsoft Entra | Actividad: Eliminar el proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo. |
APLICACIONES
| Elementos para supervisar | Nivel de riesgo | Where | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Se agregaron credenciales a las aplicaciones | Alto | Registros de auditoría de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización de certificados de aplicaciones y administración de secretos - y - Actividad: Actualización de entidad de servicio y aplicación |
Alertar cuando las credenciales: se agreguen fuera del horario comercial normal o los flujos de trabajo, los tipos no se usen en su entorno o se agreguen a una entidad de servicio compatible con el flujo que no es SAML. |
| Aplicación asignada a un rol de control de acceso basado en roles (RBAC) de Azure o a un rol de Microsoft Entra | De alto a medio | Registros de auditoría de Microsoft Entra | Tipo: entidad de servicio Actividad: "Agregar miembro a rol" o "Incorporación de un miembro apto al rol" O bien "Agregar miembro con ámbito a rol". |
N/D |
| Aplicación a la que se le han concedido permiso con privilegios elevados, como permisos con ".All" (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.) | Alto | Registros de auditoría de Microsoft Entra | N/D | Las aplicaciones concedieron permisos amplios, como ".All” (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.) |
| Administrador que otorga permisos de aplicación (roles de aplicación) o permisos delegados con privilegios elevados | Alto | Portal de Microsoft 365 | "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- "Agregar concesión de permisos delegados", donde los destinos identifican una API con datos confidenciales (como Microsoft Graph). -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph) - y - DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados. |
Alerta cuando un administrador global, de aplicaciones o de aplicaciones en la nube da su consentimiento para una aplicación. Busca especialmente el consentimiento fuera de la actividad normal y cambia los procedimientos. |
| A la aplicación se le conceden permisos para Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Registros de auditoría de Microsoft Entra | "Agregar concesión de permisos delegados" O bien "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph, Exchange Online, entre otros) |
Usar la alerta de la fila anterior. |
| Permisos delegados altamente privilegiados otorgados en nombre de todos los usuarios | Alto | Registros de auditoría de Microsoft Entra | "Agregar concesión de permisos delegados" , donde Los destinos identifican una API con datos confidenciales (como Microsoft Graph) DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados - y - DelegatedPermissionGrant.ConsentType es "AllPrincipals". |
Usar la alerta de la fila anterior. |
| Aplicaciones que usan el flujo de autenticación ROPC | Media | Registro de inicios de sesión de Microsoft Entra | Estado: correcto Protocolo de autenticación: ROPC |
Se deposita un alto nivel de confianza en esta aplicación porque las credenciales se pueden almacenar en caché o almacenar. Si es posible, pasa a un flujo de autenticación más seguro. Usa el proceso solo en pruebas de aplicaciones automatizadas, si alguna vez lo haces. |
| URI pendiente | Alto | Registros de Microsoft Entra y registro de aplicaciones | Servicio: Directorio principal Category-ApplicationManagement Actividad: Actualización de aplicación Éxito: nombre de propiedad AppAddress |
Por ejemplo, busca URI pendientes que apunten a un nombre de dominio que ya no está o que no es de su propiedad. |
| Cambios de configuración de URI de redirección | Alto | Registros de Microsoft Entra | Servicio: Directorio principal Category-ApplicationManagement Actividad: Actualización de aplicación Éxito: nombre de propiedad AppAddress |
Busque URI que no usen HTTPS*, URI con caracteres comodín al final o el dominio de la dirección URL, URI que no sean exclusivos de la aplicación, URI que apunten a un dominio que no controle. |
| Cambios en el URI de AppID | Alto | Registros de Microsoft Entra | Servicio: Directorio principal Category-ApplicationManagement Actividad: Actualización de aplicación Actividad: Actualización de la entidad de servicio |
Busca modificaciones de URI de AppID, como agregar, modificar o eliminar la URI. |
| Cambios en la propiedad de las aplicaciones | Media | Registros de Microsoft Entra | Servicio: Directorio principal Category-ApplicationManagement Actividad: Incorporación de un propietario a una aplicación |
Busca instancias de usuarios agregados como propietarios de aplicaciones fuera de las actividades normales de administración de cambios. |
| Cambios en la URL de cierre de sesión | Bajo | Registros de Microsoft Entra | Servicio: Directorio principal Category-ApplicationManagement Actividad: Actualización de aplicación - y - Actividad: Actualización de la entidad de servicio |
Busca modificaciones en una URL de cierre de sesión. Las entradas en blanco o las entradas en ubicaciones inexistentes impedirían que un usuario terminara una sesión. |
Infraestructura
| Elementos para supervisar | Nivel de riesgo | Where | Filtro/Subfiltro | Notas |
|---|---|---|---|---|
| Directiva de acceso condicional creada por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Agregar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario |
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional? |
| Directiva de acceso condicional eliminada por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Eliminar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario |
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional? |
| Directiva de acceso condicional actualizada por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Actualizar una directiva de acceso condicional Categoría: Directiva Iniciado por (actor) = Nombre principal de usuario |
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional? Revisar las propiedades modificadas y comparar el valor antiguo con el nuevo |
| Directiva personalizada B2C creada por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Crear una directiva personalizada Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas? |
| Directiva personalizada B2C actualizada por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Obtener directivas personalizadas Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas? |
| Directiva personalizada B2C eliminada por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Eliminar directiva personalizada Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas? |
| Flujo de usuario creado por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Crear un flujo de usuario Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario? |
| Flujo de usuario actualizado por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Actualizar el flujo de usuario Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario? |
| Flujo de usuario eliminado por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Eliminar el flujo de usuario Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario? |
| Conectores de API creados por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Crear un conector de API Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API? |
| Conectores de API actualizados por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Actualizar el conector de API Categoría: ResourceManagement Destino: nombre principal de usuario: ResourceManagement |
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API? |
| Conectores de API eliminados por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Actualizar el conector de API Categoría: ResourceManagment Destino: nombre principal de usuario: ResourceManagment |
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API? |
| Proveedor de identidades (IdP) creado por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Crear proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP? |
| IdP actualizado por actores no aprobados | Alto | Registros de auditoría de Microsoft Entra | Actividad: Actualizar el proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP? |
| IdP eliminado por actores no aprobados | Media | Registros de auditoría de Microsoft Entra | Actividad: Eliminar el proveedor de identidades Categoría: ResourceManagement Destino: Nombre principal de usuario |
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP? |
Pasos siguientes
Para obtener más información, consulta los siguientes artículos sobre operaciones de seguridad:
- Guía de operaciones de seguridad de Microsoft Entra
- Operaciones de seguridad de Microsoft Entra para cuentas de usuario
- Operaciones de seguridad para cuentas con privilegios en Microsoft Entra ID
- Operaciones de seguridad de Microsoft Entra para Privileged Identity Management
- Guía de operaciones de seguridad de Microsoft Entra para aplicaciones
- Operaciones de seguridad de Microsoft Entra para dispositivos
- Operaciones de seguridad para infraestructura
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de