Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID Protection proporciona a las organizaciones información sobre la actividad sospechosa en su inquilino y le permite responder rápidamente para evitar que se produzca más riesgo. Las detecciones de riesgo son un recurso eficaz que puede incluir cualquier actividad sospechosa o anómala relacionada con las cuentas de usuario y las entidades de servicio del directorio. Las detecciones de riesgo de protección de identificadores se pueden vincular a un usuario individual o a un evento de inicio de sesión y contribuir a la puntuación general de riesgo del usuario que se encuentra en el informe Usuarios de riesgo.
Las detecciones de riesgo de usuario pueden marcar una cuenta de usuario legítima como en riesgo, cuando un posible actor de amenazas obtiene acceso a una cuenta al poner en peligro sus credenciales o cuando se detecta una actividad anómala del usuario. Las detecciones de riesgo de inicio de sesión representan la probabilidad de que una solicitud de autenticación determinada no sea el propietario autorizado de la cuenta. Tener la capacidad de identificar el riesgo en el nivel de usuario e inicio de sesión es fundamental para que los clientes puedan proteger su inquilino.
Nota:
Para obtener la lista completa de detecciones de riesgos, cómo se calculan y sus requisitos de licencia, consulte Detección de riesgos y tipos de eventos.
Niveles de riesgo
ID Protection clasifica el riesgo en tres niveles: bajo, medio y alto. Los niveles de riesgo se calculan mediante nuestros algoritmos de aprendizaje automático y representan la confianza de Microsoft de que una o varias de las credenciales del usuario son conocidas por una entidad no autorizada.
Las detecciones pueden activarse en más de un nivel de riesgo, en función del nivel de confianza. Por ejemplo, las propiedades de inicio de sesión desconocidas pueden activarse en un nivel alto, medio o bajo en función del nivel de familiaridad con las propiedades de inicio de sesión. Otras detecciones, como Credenciales Filtradas y IP de Actor de Amenazas Verificado siempre se entregan como de alto riesgo porque hemos encontrado prueba de las credenciales filtradas o del actor de amenazas.
El nivel de riesgo es importante al decidir qué detecciones priorizar , investigar y corregir. El nivel de riesgo le ayuda a priorizar los esfuerzos de investigación y corrección.
Los niveles de riesgo también desempeñan un papel clave en la configuración de directivas de acceso condicional basadas en riesgos, ya que cada directiva se puede establecer para activarse ante un riesgo bajo, medio, alto o ningún riesgo detectado. En función de la tolerancia al riesgo de su organización, puede crear directivas de acceso condicional que requieran MFA o restablecimiento de contraseña cuando la protección de identificadores detecte un determinado nivel de riesgo para uno de los usuarios. Estas directivas pueden guiar al usuario a corregirse automáticamente para resolver el riesgo.
Importante
Las detecciones de riesgo de nivel bajo y los usuarios se mantienen en el producto durante seis meses, después de los cuales se eliminan automáticamente para permitir una experiencia de investigación más clara. Los niveles de riesgo medio y alto persisten hasta que se corrija o se descarten.
Una detección de riesgos con el nivel de riesgo de:
- Alto significa que Microsoft está muy seguro de que la cuenta está en peligro. Las señales como la inteligencia sobre amenazas y los patrones de ataque conocidos tienen en cuenta el nivel de confianza de la detección de riesgos.
- Medio indica que se detectaron una o más anomalías de gravedad moderada, pero hay menos confianza de que la cuenta esté comprometida. Los patrones de inicio de sesión, los comportamientos y otras señales tienen en cuenta el nivel de confianza de la detección de riesgos.
- Bajo significa que las anomalías están presentes en el inicio de sesión o en la credencial de un usuario, pero estamos menos seguros de que la cuenta no se ha puesto en peligro. Los patrones de inicio de sesión antes y durante el inicio de sesión se usan para determinar si hay un patrón o si el inicio de sesión es una anomalía.
Detecciones en tiempo real y sin conexión
Id Protection utiliza técnicas para aumentar la precisión de las detecciones de riesgo de usuario e inicio de sesión mediante el cálculo de algunos riesgos en tiempo real o sin conexión después de la autenticación. La detección de riesgos en tiempo real en el inicio de sesión ofrece la ventaja de identificar el riesgo temprano para que los usuarios puedan corregirse automáticamente durante el inicio de sesión y los administradores pueden investigar rápidamente el riesgo potencial. Las políticas de acceso condicional aplicadas durante el inicio de sesión pueden detener a un actor malintencionado antes de que obtenga acceso a la cuenta.
Las detecciones calculadas sin conexión pueden proporcionar más información sobre cómo el actor de amenazas obtuvo acceso a la cuenta y el efecto en el usuario legítimo. Algunas detecciones se pueden desencadenar tanto sin conexión como durante el inicio de sesión, lo que aumenta la confianza en la detección de riesgos.
Las detecciones desencadenadas en tiempo real tardan entre 5 y 10 minutos en exponer los detalles de los informes. Las detecciones sin conexión tardan hasta 48 horas en exponerse en los informes, ya que se tarda en evaluar las propiedades del riesgo potencial. Es importante recordar que los niveles de riesgo pueden cambiar, ya que algunas detecciones de riesgo se calculan sin conexión después del inicio de sesión.
| Tipo de detección | Riesgo de inicio de sesión | Riesgo de usuario |
|---|---|---|
| Tiempo real | Se detecta un inicio de sesión sospechoso y se puede corregir en tiempo real a través de una directiva de acceso condicional, como requerir MFA. | Se detecta el riesgo de usuario y se puede corregir a través de una directiva de acceso condicional, como forzar un cambio de contraseña seguro en tiempo real. |
| Sin conexión | Riesgo de inicio de sesión detectado después del inicio de sesión. Si no se corrige este riesgo, se puede escalar al riesgo del usuario si se detectan más riesgos y se agregan al riesgo del usuario. | El usuario se considera arriesgado después del inicio de sesión. Si la directiva de acceso condicional está configurada, el usuario se bloquea hasta que realice el autoservicio de restablecimiento de contraseña la próxima vez que se autentique. |
Nota:
Nuestro sistema podría determinar que el evento de riesgo que contribuyó a la puntuación de riesgo del usuario era:
- Un falso positivo, o
- La directiva corrigió el riesgo del usuario (mediante la finalización de la autenticación multifactor o un cambio de contraseña seguro).
Nuestro sistema descarta el estado de riesgo y establece el detalle de riesgo en la seguridad de inicio de sesión confirmada por IA, por lo que el estado de riesgo ya no contribuye al riesgo general del usuario.
Detección de tiempo
En los datos detallados por el riesgo, Detección de tiempo registra el momento exacto en que se identifica un riesgo durante el inicio de sesión de un usuario, lo que permite la evaluación de riesgos en tiempo real y la aplicación de directivas inmediata para proteger al usuario y la organización. Última actualización de la detección muestra la actualización más reciente de una detección de riesgo, que puede atribuirse a nuevas informaciones, cambios de nivel de riesgo o acciones administrativas, y garantiza la administración de riesgos actualizada.
Estos campos son esenciales para la supervisión en tiempo real, la respuesta a las amenazas y el mantenimiento del acceso seguro a los recursos de la organización.
Ubicaciones
La ubicación en las detecciones de riesgo se determina mediante la búsqueda de direcciones IP. Los inicios de sesión de ubicaciones con nombre de confianza mejorar la precisión del cálculo de riesgo de Microsoft Entra ID Protection, lo que reduce el riesgo de inicio de sesión de un usuario cuando se autentica desde una ubicación marcada como de confianza.
Nota:
¿Busca las detecciones de riesgo asignadas a la tabla riskEventType ? Se ha movido al nuevo artículo Detección de riesgos y tipos de eventos .