Tutorial: Configuración del análisis de seguridad para datos de Azure Active Directory datos B2C con Microsoft Sentinel
Mejore la seguridad de su entorno de Azure Active Directory B2C (Azure AD B2C) redirigiendo registros e información de auditoría a Microsoft Sentinel. Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) escalable y nativa de la nube. Use la solución para la detección de alertas, visibilidad de amenazas, búsqueda proactiva y respuesta a amenazas para Azure AD B2C.
Más información:
Más usos para Microsoft Sentinel, con Azure AD B2C, son:
- Detectar amenazas no detectadas previamente y minimizar los falsos positivos con funciones de análisis e inteligencia sobre amenazas
- Investigar amenazas con inteligencia artificial (IA)
- Buscar actividades sospechosas a gran escala y beneficiarse de la experiencia de años de trabajo en ciberseguridad en Microsoft
- Responder rápidamente a los incidentes con la orquestación y automatización de tareas comunes
- Cumplir los requisitos de seguridad y conformidad de su organización
En este tutorial, aprenderá a:
- Transferir registros de Azure AD B2C a un área de trabajo de Log Analytics
- Habilitar Microsoft Sentinel en un área de trabajo de Log Analytics
- Crear una regla de ejemplo en Microsoft Sentinel que desencadene un incidente
- Configurar la respuesta automatizada
Configuración de Azure AD B2C con Log Analytics en Azure Monitor
Para definir dónde se envían los registros y las métricas de un recurso,
- Habilite la configuración de diagnóstico en Microsoft Entra ID, en el inquilino de Microsoft Entra ID B2C.
- Configure Azure AD B2C para enviar registros a Azure Monitor.
Obtenga más información sobre la supervisión de Azure AD B2C con Azure Monitor.
Implementación de una instancia de Microsoft Sentinel
Después de configurar la instancia de Azure AD B2C para enviar registros a Azure Monitor, habilite una instancia de Microsoft Sentinel.
Importante
Para habilitar Microsoft Sentinel, obtenga permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel. Para usar Microsoft Sentinel, use permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.
Inicie sesión en Azure Portal.
Seleccione la suscripción dónde se ha creado el área de trabajo de Log Analytics.
Busque y seleccione Sentinel.
Seleccione Agregar.
En el campo Áreas de trabajo de búsqueda, seleccione el área de trabajo nueva.
Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).
Nota:
Es posible ejecutar Microsoft Sentinel en más de una área de trabajo, pero los datos están aislados en una sola área de trabajo.
Consulte, Inicio rápido: Incorporación a Microsoft Sentinel
Creación de una regla de Microsoft Sentinel
Después de habilitar Microsoft Sentinel, recibirá notificaciones cuando se produzca algo sospechoso en su inquilino de Azure AD B2C.
Puede crear reglas de análisis personalizadas para detectar amenazas y comportamientos anómalos en el entorno. Estas reglas buscan eventos específicos o conjuntos de eventos y le avisan cuando se cumplen los umbrales de eventos o las condiciones. A continuación, se generan incidentes para su investigación.
Consulte Creación de reglas de análisis personalizadas para detectar amenazas
Nota
Microsoft Sentinel tiene plantillas para crear reglas de detección de amenazas que buscan los datos para detectar actividades sospechosas. En este tutorial, creará una regla.
Regla de notificación para el acceso forzado incorrecto
Siga estos pasos para recibir una notificación sobre dos o más intentos de acceso forzados sin éxito en su entorno. Un ejemplo es el ataque por fuerza bruta.
En Microsoft Sentinel, en el menú de la izquierda, seleccione Analytics.
En la barra de la parte superior, seleccione + Crear>Regla de consulta programada.
En el Asistente para reglas de Analytics, vaya a General.
En Nombre, escriba un nombre para los inicios de sesión incorrectos.
En Descripción, indique que la regla notifica dos o más inicios de sesión incorrectos en un plazo de 60 segundos.
En Tácticas, seleccione una categoría. Por ejemplo, seleccione PreAttack.
En Gravedad, seleccione un nivel de gravedad.
Estado está habilitado de forma predeterminada. Para cambiar una regla, vaya a la pestaña Reglas activas.
Haga clic en la pestaña Establecer la lógica de la regla.
Escriba una consulta en el campo Consulta de regla. En el ejemplo de consulta se organizan los inicios de sesión mediante
UserPrincipalName
.Vaya a Programación de consultas.
En Ejecutar consulta cada, escriba 5 y minutos.
En Buscar datos del último, escriba 5 y minutos.
Para Generar alerta cuando el número de resultados de la consulta, seleccione Es mayor que y 0.
En Agrupación de eventos, seleccione Agrupar todos los eventos en una sola alerta.
En Detener la ejecución de la consulta después de generar la alerta, seleccione Desactivado.
Seleccione Siguiente: configuración de incidentes (versión preliminar) .
Vaya a la pestaña Revisar y crear para revisar la configuración de la regla.
Cuando aparezca el banner Validación superada, seleccione Crear.
Visualización de una regla e incidentes relacionados
Vea la regla y los incidentes que genera. Puede encontrar la regla personalizada recién creada de tipo Programado en la tabla en la pestaña Reglas activas de la pantalla principal
- Vaya a la pantalla Analytics.
- Seleccione la pestaña Reglas activas.
- En la tabla, en Programado, busque la regla.
Puede editar, activar, desactivar o eliminar la regla.
Evaluar, investigar y corregir incidentes
Un incidente puede incluir varias alertas y es una agregación de pruebas pertinentes para una investigación. En el nivel de incidente, puede establecer propiedades como la gravedad y el estado.
Obtenga más información: Investigación de incidentes con Microsoft Sentinel.
Vaya a la página Incidentes.
Seleccione un incidente.
A la derecha, aparece información detallada del incidente, incluida la gravedad, las entidades, los eventos y el id. de incidente.
En el panel Incidentes, elija Ver detalles completos.
Revise las pestañas que resumen el incidente.
Seleccione Evidencia>Eventos>Vincular a Log Analytics.
En los resultados, consulte el valor de identidad
UserPrincipalName
que intenta iniciar sesión.
Respuesta automatizada
Microsoft Sentinel tiene funciones de orquestación de seguridad, automatización y respuesta (SOAR). Adjunte acciones automatizadas o un cuaderno de estrategias a reglas de análisis.
Consulte ¿Qué es SOAR?
Notificación de correo electrónico de un incidente
Para esta tarea, utilice un libro de estrategias del repositorio de GitHub de Microsoft Sentinel.
- Vaya a un cuaderno de estrategias configurado.
- Edite la regla.
- En la pestaña Respuesta automatizada, seleccione el cuaderno de estrategias.
Más información: Incidente-Correo electrónico-Notificación
Recursos
Para más información sobre Microsoft Sentinel y Azure AD B2C, consulte: