Recuperación de un riesgo de identidad sistemático
Este artículo describe los recursos y recomendaciones de Microsoft para recuperarse de un ataque sistémico de compromiso de identidad contra su organización, que puede producirse durante un ataque de ransomware.
El contenido de este artículo se basa en la orientación proporcionada por el equipo de Respuesta a Incidentes de Microsoft (anteriormente DART/CRSP), que trabaja para responder a los compromisos y ayudar a los clientes a ser ciber-resistentes. Para obtener más orientación del equipo de respuesta a incidentes de Microsoft, consulte su serie de blogs sobre seguridad de Microsoft.
Muchas organizaciones han pasado a un enfoque basado en la nube para gozar de una mayor seguridad en la administración de identidades y acceso. Sin embargo, puede que su organización tenga también sistemas locales activos y que use distintos métodos de arquitectura híbrida. En este artículo se parte del hecho de que los ataques de identidad sistémicos afectan a los sistemas híbridos, locales y en la nube, y se proporcionan recomendaciones y referencias para todos estos entornos.
Importante
Esta información se proporciona tal y como está y constituye una orientación general; la determinación final sobre cómo aplicar esta guía a su entorno de TI y sus inquilinos debe tener en cuenta su entorno y necesidades únicos, que cada cliente está en la mejor posición para determinar.
Acerca de la vulnerabilidad sistémica de identidad comprometida
Un ataque de identidad sistémico en una organización se produce cuando un atacante logra entrar en la administración de la infraestructura de identidad de la organización.
Si esto le ha ocurrido a su organización, se enfrenta al atacante en una carrera para proteger su entorno antes de que se pueda hacer más daños.
Los atacantes con control administrativo sobre la infraestructura de identidad de un entorno pueden usar ese control para crear, modificar o eliminar identidades y permisos de identidad en ese entorno.
En una vulnerabilidad local, si los certificados de firma de tokens de SAML de confianza no se almacenan en un HSM, el ataque incluye acceso a esos certificados.
Los atacantes pueden usar el certificado para falsificar los tokens SAML y suplantar cualquiera de los usuarios y cuentas existentes de la organización sin necesidad de acceder a las credenciales de la cuenta y sin dejar ninguna huella.
También se puede usar el acceso a cuentas con privilegios elevados para agregar credenciales controladas por el atacante a las aplicaciones existentes, lo que permite que los atacantes accedan mediante esos permisos al sistema sin ser detectados, por ejemplo, para llamar a las API.
Respuesta al ataque
La respuesta a la vulnerabilidad sistémica de identidad comprometida debe incluir los pasos que se muestran en la siguiente imagen y tabla:
Paso | Descripción |
---|---|
Establecer comunicaciones seguras | Una organización que ha visto comprometida su identidad sistémica debe asumir que toda la comunicación se ve afectada. Antes de realizar cualquier acción de recuperación, debe asegurarse de que los miembros del equipo que son clave para su trabajo de investigación y respuesta pueden comunicarse de forma segura. La protección de las comunicaciones debe ser el primer paso que se lleve a cabo; esto permitirá continuar sin que lo sepa el atacante. |
Investigar el entorno | Después de proteger las comunicaciones del el equipo de investigación principal, puede empezar a buscar puntos de acceso iniciales y las técnicas de persistencia. Identifique los indicios de identidad comprometida y después busque los puntos de acceso iniciales y la persistencia. A la vez, comience a establecer operaciones de supervisión continuas durante las labores de recuperación. |
Mejorar la posición de seguridad | Habilite las características y funcionalidades de seguridad siguiendo las recomendaciones sobre procedimientos para mejorar la seguridad del sistema en el futuro. Asegúrese de continuar con las labores de supervisión continua a medida que avance y vaya cambiando el panorama de seguridad. |
Recuperar y conservar el control | Debe recuperar el control administrativo del entorno de manos del atacante. Después de conseguir de nuevo el control y haber actualizado la posición de seguridad del sistema, asegúrese de corregir o bloquear todas las posibles técnicas de persistencia y las nuevas vulnerabilidades de seguridad de acceso iniciales. |
Establecimiento de comunicaciones seguras
Antes de empezar a responder, debe asegurarse de que puede comunicarse de forma segura sin que se entere el atacante. Asegúrese de aislar las comunicaciones relacionadas con el incidente para no poner sobre aviso de la investigación al atacante y conseguir que le tomen por sorpresa las acciones de respuesta.
Por ejemplo:
Para las comunicaciones individuales y de grupo iniciales, puede que desee usar llamadas RTC, puentes de conferencia que no estén conectados a la infraestructura corporativa y soluciones de mensajería cifrada de un extremo a otro.
Las comunicaciones fuera de estos marcos deben tratarse como comunicaciones comprometidas que no son de confianza, a menos que se lleven a cabo a través de un canal seguro.
Después de esas conversaciones iniciales, puede que desee crear un inquilino de Microsoft 365 completamente nuevo, aislado del inquilino de producción de la organización. Cree cuentas solo para el personal clave que necesite formar parte de la respuesta.
Si crea un nuevo inquilino de Microsoft 365, asegúrese de seguir todos los procedimientos recomendados para el inquilino, especialmente en lo relacionado con las cuentas y los derechos administrativos. Limite los derechos administrativos y no confíe en aplicaciones ni proveedores externos.
Importante
Asegúrese de que no intercambia comunicaciones sobre el nuevo inquilino en sus cuentas de correo electrónico existentes, que pueden haberse visto comprometidas.
Para más información, consulte Procedimientos recomendados para usar Microsoft 365 de forma segura.
Identificación de las indicaciones de compromiso
Se recomienda que los clientes sigan las actualizaciones de los proveedores del sistema, incluidos Microsoft y cualquier asociado, implementen las nuevas detecciones y protecciones proporcionadas, e identifiquen los indicadores de compromiso (IOC) publicados.
Busque actualizaciones en los siguientes productos de seguridad de Microsoft e implemente los cambios recomendados:
- Microsoft Sentinel
- Soluciones y servicios de seguridad de Microsoft 365
- Seguridad de Windows 10 Enterprise
- Microsoft Defender for Cloud Apps
- Microsoft Defender para IoT
La implementación de nuevas actualizaciones le ayudará a identificar las campañas anteriores y a evitar futuras campañas contra su sistema. Tenga en cuenta que es posible que las listas de IOC no sean exhaustivas y que pueden ampliarse a medida que continúan las investigaciones.
Por lo tanto, también le recomendamos que lleve a cabo las siguientes acciones:
Asegúrese de que ha aplicado el punto de referencia de seguridad en la nube de Microsoft y de que supervisa el cumplimiento por medio de Microsoft Defender for Cloud.
Incorpore fuentes de inteligencia sobre amenazas en su solución de SIEM, por ejemplo, mediante la configuración de Microsoft Purview Data Connectors en Microsoft Sentinel.
Asegúrese de que cualquier herramienta de detección y respuesta ampliada, como Microsoft Defender para IoT, usa los datos de inteligencia sobre amenazas más recientes.
Para más información, consulte la documentación sobre seguridad de Microsoft:
Investigación del entorno
Una vez que los respondedores de incidentes y el personal clave tienen un lugar seguro para colaborar, puede empezar a investigar el entorno comprometido.
Tendrá que buscar el equilibrio entre la necesidad de llegar al fondo de cada comportamiento anómalo y de tomar medidas rápidas para detener cualquier otra actividad por parte del atacante. Para que las correcciones tengan éxito, es necesario comprender el método inicial de entrada y los métodos de persistencia que usó el atacante, del modo más completo posible en ese momento. Los métodos de persistencia que no se hayan detectado durante la investigación pueden dar lugar a un acceso continuo por parte del atacante y a que se vea de nuevo comprometido el sistema.
En este punto, puede que desee realizar un análisis de riesgos para establecer la prioridad de sus acciones. Para más información, consulte:
- Amenazas de centro de datos, vulnerabilidad y evaluación de riesgos
- Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas
- Administración de amenazas y vulnerabilidades
Los servicios de seguridad de Microsoft proporcionan amplios recursos para investigaciones detalladas. En las secciones siguientes se describen las principales acciones recomendadas.
Nota
Si descubre que uno o varios de los orígenes de registro enumerados no forman parte actualmente del programa de seguridad, se recomienda configurarlos lo antes posible para habilitar las detecciones y las revisiones de registros futuras.
Asegúrese de configurar la retención de registros para servir de apoyo a los objetivos de investigación de su organización en el futuro. Conserve la evidencia según sea necesario para fines legales, normativos o relacionados con los seguros.
Investigación y revisión de los registros del entorno de nube
Investigue y revise los registros del entorno de nube para ver si hay acciones sospechosas e indicaciones de compromiso de atacantes. Por ejemplo, compruebe los registros siguientes:
- Registros de auditoría unificados
- Registros de Microsoft Entra
- Registros locales de Microsoft Exchange
- Registros de VPN, como los de VPN Gateway
- Registros del sistema de ingeniería
- Registros de antivirus y detección de puntos de conexión
Revisión de los registros de auditoría de puntos de conexión
Revise los registros de auditoría de puntos de conexión para comprobar si hay cambios locales, como los siguientes tipos de acciones:
- Cambios de pertenencia a grupos
- Creación de nuevas cuentas de usuario
- Delegaciones dentro de Active Directory
Tenga en cuenta especialmente cualquiera de estos cambios si se producen junto con otros signos típicos de compromiso o actividad.
Revisión de los derechos administrativos en los entornos
Revise los derechos administrativos tanto en el entorno local como de nube. Por ejemplo:
Entorno | Descripción |
---|---|
Todos los entornos de nube | - Revise los derechos de acceso con privilegios en la nube y quite los permisos innecesarios. - Implemente Privileged Identity Management (PIM). - Configure directivas de acceso condicional para limitar el acceso administrativo durante la protección. |
Todos los entornos locales | - Revise el acceso con privilegios en el entorno local y quite los permisos innecesarios. - Reduzca la pertenencia a grupos integrados. - Compruebe las delegaciones de Active Directory. - Proteja el entorno de nivel 0 y limite quién tiene acceso a los recursos de este nivel. |
Todas las aplicaciones empresariales | Revise los permisos delegados y las concesiones de consentimiento que permitan cualquiera de las siguientes acciones: - Modificación de usuarios y roles con privilegios - Lectura o acceso a todos los buzones - Envío o reenvío de correo electrónico en nombre de otros usuarios - Acceso a todo el contenido del sitio de OneDrive o SharePoint - Adición de entidades de servicio que puedan leer y escribir en el directorio |
Entornos de Microsoft 365 | Revise las opciones de acceso y configuración del entorno de Microsoft 365, entre las que se incluyen: - Uso compartido de SharePoint Online - Microsoft Teams - Power Apps - Microsoft OneDrive para la Empresa |
Revisión de las cuentas de usuario en los entornos | - Revise y quite las cuentas de usuario invitado que ya no son necesarias. - Revise las configuraciones de correo electrónico para delegados, permisos de carpeta de buzones, registros de dispositivos móviles de ActiveSync, reglas de bandeja de entrada y las opciones de Outlook en la web. - Revise los derechos de ApplicationImpersonation y reduzca cualquier uso de la autenticación heredada tanto como sea posible. - Compruebe que se aplica MFA y que la información de contacto de MFA y del autoservicio de restablecimiento de contraseña (SSPR) de todos los usuarios es correcta. |
Establecimiento de la supervisión continua
La detección del comportamiento del atacante incluye varios métodos y depende de las herramientas de seguridad que la organización tenga disponibles para responder al ataque.
Por ejemplo, los servicios de seguridad de Microsoft pueden tener recursos e instrucciones específicos pertinentes para el ataque, tal como se describe en las secciones siguientes.
Importante
Si la investigación encuentra pruebas de que se han obtenido permisos administrativos por verse comprometido el sistema y han proporcionado acceso a la cuenta de administrador global de la organización o al certificado de firma de tokens SAML de confianza, le recomendamos que adopte medidas para corregir y conservar el control administrativo.
Supervisión con Microsoft Sentinel
Microsoft Sentinel cuenta con muchos recursos integrados para ayudar en la investigación, como libros de búsqueda y reglas de análisis que pueden ayudar a detectar ataques en áreas pertinentes de su entorno.
Use el centro de conectividad de contenido de Microsoft Sentinel para instalar soluciones de seguridad ampliadas y conectores de datos que transmitan contenido de otros servicios en su entorno. Para más información, consulte:
- Visualización de los datos recopilados
- Detección de amenazas integrada
- Detección e implementación de soluciones integradas
Supervisión con Microsoft Defender para IoT
Si en su entorno también se incluyen recursos de tecnología operativa (OT), es posible que tenga dispositivos que usen protocolos especializados, que den prioridad a los desafíos operativos antes que a la seguridad.
Implemente Microsoft Defender para IoT para supervisar y proteger esos dispositivos, especialmente aquellos que no cuenten con la protección de los sistemas de supervisión de la seguridad tradicionales. Instale sensores de red de Defender para IoT en puntos de interés específicos de su entorno para detectar amenazas en la actividad de red en curso mediante la supervisión sin agente y la inteligencia sobre amenazas dinámica.
Para más información, consulte Introducción a la supervisión de la seguridad de red de OT.
Supervisión con Microsoft Defender XDR
Se recomienda buscar instrucciones específicas pertinentes para el ataque en Microsoft Defender XDR para punto de conexión y Antivirus de Microsoft Defender.
Busque otros ejemplos de detecciones, consultas de búsqueda e informes de análisis de amenazas en el Centro de seguridad de Microsoft, como en las aplicaciones de Microsoft Defender XDR, Microsoft Defender XDR for Identity y Microsoft Defender for Cloud. Para garantizar la cobertura, asegúrese de instalar el agente de Microsoft Defender for Identity en los servidores de ADFS, además de hacerlo en todos los controladores de dominio.
Para más información, consulte:
- Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas
- Comprender el informe de analistas en análisis de amenazas en Microsoft 365 Defender
Supervisión con Microsoft Entra ID
Los registros de inicio de sesión de Microsoft Entra pueden mostrar si la autenticación multifactor se usa correctamente. Para acceder a los registros de la información de inicio de sesión directamente desde el área de Microsoft Entra en Azure Portal, use el cmdlet Get-AzureADAuditSignInLogs o consúltelos en el área Registros de Microsoft Sentinel.
Por ejemplo, busque o filtre los resultados que aparecen cuando el campo MFA results (Resultados de MFA) tiene el valor MFA requirement satisfied by claim in the token (Requisito de MFA satisfecho por notificación en el token). Si su organización usa ADFS y las notificaciones registradas no están incluidas en la configuración de este sistema, pueden ser un indicio de actividad por parte del atacante.
Busque o filtre aún más los resultados para excluir ruido adicional. Por ejemplo, es posible que quiera incluir solo los resultados de dominios federados. Si encuentra inicios de sesión sospechosos, explore aún más en función de las direcciones IP, las cuentas de usuario, etc.
En la tabla siguiente se describen más métodos para usar los registros de Microsoft Entra en la investigación:
Método | Descripción |
---|---|
Análisis de eventos de inicio de sesión de riesgo | Microsoft Entra ID y su plataforma de protección de identidad pueden generar eventos de riesgo asociados al uso de tokens SAML generados por el atacante. Estos eventos se pueden etiquetar como propiedades desconocidas, dirección IP anónima, viaje imposible, etcétera. Se recomienda analizar detalladamente todos los eventos de riesgo asociados a las cuentas que tienen privilegios administrativos, incluidos los que se puedan haber descartado o corregido automáticamente. Por ejemplo, un evento de riesgo o una dirección IP anónima podrían corregirse automáticamente porque el usuario ha superado la autenticación multifactor. Asegúrese de usar ADFS Connect Health para que todos los eventos de autenticación sean visibles en Microsoft Entra ID. |
Detección de propiedades de autenticación de dominio | Cualquier intento por parte del atacante de manipular las directivas de autenticación de dominio aparecerá en los registros de auditoría de Microsoft Entra y se reflejará en el registro de auditoría unificado. Por ejemplo, revise los eventos asociados a Se ha establecido una autenticación de dominio en el registro de auditoría unificado, los registros de auditoría de Microsoft Entra o el entorno de SIEM para comprobar que todas las actividades incluidas se esperaban y se habían planeado. |
Detección de credenciales para aplicaciones de OAuth | Los atacantes que han adquirido el control de una cuenta con privilegios pueden buscar una aplicación con la capacidad de acceder al correo electrónico de cualquier usuario de la organización y, a continuación, agregar credenciales controladas por ellos a esa aplicación. Por ejemplo, puede que desee buscar cualquiera de las siguientes actividades, que se corresponderían con el comportamiento de un atacante: - Adición o actualización de credenciales de entidad de servicio - Actualización de certificados y secretos de aplicación - Adición de una concesión de asignación de roles de aplicación a un usuario - Adición de Oauth2PermissionGrant |
Detección del acceso al correo electrónico por parte de las aplicaciones | Busque acceso al correo electrónico por parte de las aplicaciones de su entorno. Por ejemplo, use las características de Microsoft Purview Audit (Premium) para investigar las cuentas comprometidas. |
Detección de inicios de sesión no interactivos en entidades de servicio | Los informes de inicio de sesión de Microsoft Entra proporcionan detalles sobre los inicios de sesión no interactivos que han usado credenciales de entidad de servicio. Por ejemplo, puede usar estos informes para encontrar datos valiosos para la investigación, como una dirección IP usada por el atacante para acceder a las aplicaciones de correo electrónico. |
Mejora de la posición de seguridad
Si se ha producido un evento de seguridad en los sistemas, se recomienda reflexionar sobre la estrategia de seguridad y las prioridades actuales.
A menudo se pide a los respondedores de incidentes que proporcionen recomendaciones sobre las inversiones a las que la organización debe dar prioridad ahora que se ha enfrentado a nuevas amenazas.
Además de las recomendaciones documentadas en este artículo, se recomienda considerar la posibilidad de dar prioridad a las áreas de atención que responden a las técnicas posteriores a la vulnerabilidad de seguridad usadas por este atacante y a las brechas comunes de la posición de seguridad que las permiten.
En las secciones siguientes se incluyen recomendaciones para mejorar la posición de seguridad, tanto general como de identidad.
Mejora de la posición de seguridad general
Se recomiendan las siguientes acciones para garantizar la posición de seguridad general:
Revise la puntuación de seguridad de Microsoft para obtener recomendaciones personalizadas sobre aspectos básicos de seguridad para los productos y servicios de Microsoft que consume.
Asegúrese de que la organización tenga soluciones de detección y respuesta ampliadas (XDR), así como la Administración de eventos e información de seguridad (SIEM) activas, como Microsoft Defender XDR para punto de conexión, Microsoft Sentinel y Microsoft Defender para IoT.
Revise el modelo de acceso empresarial de Microsoft.
Mejora de la posición de seguridad de identidad
Se recomiendan las siguientes acciones para garantizar la posición de seguridad relacionada con la identidad:
Revise los cinco pasos de Microsoft para asegurar su infraestructura de identidad y dé prioridad a los pasos que correspondan a su arquitectura de identidad.
Considere la posibilidad de migrar a los valores predeterminados de seguridad de Microsoft Entra para la directiva de autenticación.
Deje de usar la autenticación heredada en su organización, si los sistemas o las aplicaciones todavía la requieren. Para más información, consulte Bloqueo de la autenticación heredada en Microsoft Entra ID con acceso condicional.
Trate la infraestructura de ADFS y la infraestructura de AD Connect como un recurso de nivel 0.
Restrinja el acceso administrativo local al sistema, incluida la cuenta que se usa para ejecutar el servicio ADFS.
El privilegio mínimo necesario para la cuenta que ejecuta ADFS es la asignación de derechos de usuario Iniciar sesión como servicio.
Restrinja el acceso administrativo a usuarios limitados y desde intervalos de direcciones IP limitados mediante directivas de Windows Firewall para Escritorio remoto.
Se recomienda configurar un jumpbox de nivel 0 o un sistema equivalente.
Bloquee todo el acceso SMB de entrada a los sistemas desde cualquier lugar del entorno. Para obtener más información, consulte el artículo sobre cómo proteger el tráfico SMB en Windows. También se recomienda transmitir los registros de Windows Firewall a una solución de SIEM para una supervisión proactiva y histórica.
Si usa una cuenta de servicio y su entorno lo admite, migre de una cuenta de servicio a una cuenta de servicio administrada de grupo (gMSA) . Si no puede cambiar a una cuenta gMSA, rote la contraseña de la cuenta de servicio a una contraseña compleja.
Asegúrese de que el registro detallado esté habilitado en los sistemas ADFS.
Corrección y conservación del control administrativo
Si la investigación ha identificado que el atacante tiene control administrativo en el entorno local o en la nube de la organización, debe recuperar el control de tal forma que se asegure de que el atacante no es persistente.
En esta sección se proporcionan los posibles métodos y pasos que se deben tener en cuenta al crear el plan de recuperación del control administrativo.
Importante
Los pasos exactos necesarios en la organización dependerán de la persistencia que haya descubierto en la investigación y de la confianza que tenga en que la investigación haya sido completa y haya descubierto todos los métodos de entrada y persistencia posibles.
Asegúrese de que las acciones que se realizan se aplican en un dispositivo de confianza, creado a partir de origen limpio. Por ejemplo, use una estación de trabajo de acceso con privilegios nueva.
En las secciones siguientes se incluyen los siguientes tipos de recomendaciones para corregir y conservar el control administrativo:
- Eliminación de la confianza en los servidores actuales
- Rotación del certificado de firma de tokens SAML o sustitución de los servidores de ADFS si es necesario
- Actividades de corrección específicas para entornos locales o en la nube
Eliminación de la confianza en los servidores actuales
Si su organización ha perdido el control de los certificados de firma de tokens o la confianza federada, el enfoque más seguro es quitar la confianza y cambiar a la identidad controlada en la nube mientras se corrige el entorno local.
La eliminación de la confianza y el cambio a la identidad controlada en la nube requiere un planeamiento cuidadoso y una profunda comprensión de los efectos de la operación empresarial que supone aislar la identidad. Para más información, consulte el artículo Protección de Microsoft 365 contra ataques locales.
Rotación del certificado de firma de tokens SAML
Si su organización decide noquitar la confianza al recuperar el control administrativo en el entorno local, tendrá que rotar el certificado de firma de tokens SAML después de recuperarlo y de bloquear la capacidad de los atacantes de acceder de nuevo al certificado de firma.
La rotación del certificado de firma de tokens una sola vez sigue permitiendo que funcione el certificado de firma de tokens anterior. Este comportamiento es una funcionalidad integrada para las rotaciones de certificados normales que permite un período de gracia para que las organizaciones actualicen las confianzas de usuario autenticado antes de que expire el certificado.
Si ha habido un ataque, no quiere que el atacante conserve el acceso de ningún modo. Asegúrese de que el atacante no mantiene la capacidad de falsificación de tokens para el dominio.
Para más información, consulte:
Reemplazo de los servidores de ADFS
Si, en lugar de rotar el certificado de firma de tokens SAML, decide reemplazar los servidores de ADFS por sistemas limpios, deberá quitar el sistema de archivos distribuido de Azure existente del entorno y, a continuación, crear uno nuevo.
Para más información, consulte la sección Eliminación de una configuración.
Actividades de corrección en la nube
Además de las recomendaciones indicadas anteriormente en este artículo, también se recomiendan las actividades siguientes para los entornos de nube:
Actividad | Descripción |
---|---|
Restablecimiento de contraseñas | Restablezca las contraseñas de las cuentas de acceso de emergencia y reduzca el número de este tipo de cuenta al mínimo necesario. |
Restringir las cuentas de acceso con privilegios | Asegúrese de que las cuentas de servicio y de usuario con acceso con privilegios son cuentas solo en la nube y que no usan cuentas locales sincronizadas o federadas con Microsoft Entra ID. |
Exigir MFA | Aplique la autenticación multifactor (MFA) en todos los usuarios con privilegios elevados del inquilino. Se recomienda aplicar MFA a todos los usuarios del inquilino. |
Limitar el acceso administrativo | Implemente Privileged Identity Management (PIM) y el acceso condicional para limitar el acceso administrativo. Para usuarios de Microsoft 365, implemente Privileged Access Management (PAM) para limitar el acceso a capacidades confidenciales, como eDiscovery, Administrador global, Administración de cuentas, etc. |
Revisar o reducir los permisos delegados y la otorgación de consentimientos | Revise y reduzca los permisos delegados u otorgaciones de consentimiento de las aplicaciones empresariales que permitan cualquiera de las siguientes funcionalidades: - Modificación de roles y usuarios con privilegios - Lectura, envío de correo electrónico o acceso a todos los buzones - Acceso a contenido de OneDrive, Teams o SharePoint - Adición de entidades de servicio que puedan leer y escribir en el directorio - Permisos de aplicación frente a acceso delegado |
Actividades de corrección locales
Además de las recomendaciones indicadas anteriormente en este artículo, también se recomiendan las actividades siguientes para los entornos locales:
Actividad | Descripción |
---|---|
Recompilar los sistemas afectados | Recompile los sistemas identificados como comprometidos por el atacante durante la investigación. |
Eliminar usuarios administradores innecesarios | Quite miembros innecesarios de los grupos de administradores de dominio, operadores de copia de seguridad y administradores empresariales. Para obtener más información, consulte Protección del acceso con privilegios. |
Restablecer contraseñas de las cuentas con privilegios | Restablezca las contraseñas de todas las cuentas con privilegios del entorno. Nota: Las cuentas con privilegios no se limitan a los grupos integrados, sino que también pueden ser grupos que tienen acceso delegado a la administración de servidores, la administración de estaciones de trabajo u otras áreas del entorno. |
Restablecer la cuenta krbtgt | Restablezca la cuenta krbtgt dos veces con el script New-KrbtgtKeys. Nota: Si usa controladores de dominio de solo lectura, deberá ejecutar el script por separado para estos controladores y los de lectura y escritura. |
Programar un reinicio del sistema | Después de validar que no existen o permanecen en el sistema mecanismos de persistencia creados por el atacante, programe un reinicio del sistema para ayudar a eliminar el malware residente en memoria. |
Restablecer la contraseña de DSRM | Restablezca la contraseña de DSRM (modo de restauración de servicios de directorio) de cada controlador de dominio a una contraseña que sea única y compleja. |
Corrección o bloqueo de la persistencia detectada durante la investigación
La investigación es un proceso iterativo y deberá encontrar el equilibrio entre el deseo de la organización de corregir a medida que se identifican las anomalías y la posibilidad de que la corrección alerte al atacante de su detección y le dé tiempo a reaccionar.
Por ejemplo, un atacante que sea consciente de la detección podría cambiar las técnicas o crear más persistencia.
Asegúrese de corregir las técnicas de persistencia que haya identificado en las fases anteriores de la investigación.
Corrección del acceso a cuentas de usuario y servicio
Además de las acciones recomendadas indicadas anteriormente, se recomienda tener en cuenta los pasos siguientes para corregir y restaurar cuentas de usuario:
Aplique el acceso condicional basado en dispositivos de confianza. Si es posible, se recomienda aplicar el acceso condicional basado en la ubicación para adaptarse a los requisitos de la organización.
Restablezca las contraseñas después de la expulsión en las cuentas de usuario que puedan haberse visto comprometidas. Asegúrese de implementar también un plan a medio plazo para restablecer las credenciales de todas las cuentas del directorio.
Revoque los tokens de actualización inmediatamente después de rotar las credenciales.
Para más información, consulte:
Pasos siguientes
Consulte la ayuda de los productos de Microsoft, incluyendo el portal de Microsoft Defender, el portal de cumplimiento de Microsoft Purview y el Centro de seguridad y cumplimiento de Office 365 seleccionando el botón Ayuda (?) en la barra de navegación superior.
Para obtener ayuda para la implementación, póngase en contacto con nosotros en FastTrack.
Si tiene necesidades relacionadas con el soporte técnico del producto, abra un caso de soporte técnico de Microsoft.
Importante
Si cree que se ha visto comprometido y necesita ayuda por medio de una respuesta a incidentes, abra un caso de soporte técnico de nivel Sev A.