Guía de operaciones de seguridad de Microsoft Entra para aplicaciones
Las aplicaciones proporcionan una superficie expuesta a ataques para las vulneraciones de seguridad y deben supervisarse. Aunque no son objetivos de ataque tan frecuentes como las cuentas de usuario, pueden producirse vulneraciones. Dado que las aplicaciones a menudo se ejecutan sin intervención humana, los ataques pueden ser más difíciles de detectar.
En este artículo se proporcionan instrucciones para supervisar y alertar sobre eventos de aplicaciones. Se actualizan periódicamente para ayudarle a garantizar lo siguiente:
Impedir que las aplicaciones malintencionadas obtengan acceso injustificado a los datos
Impedir que las aplicaciones se vean afectadas por personas que actúan con mala intención
Recopilar información que le permita compilar y configurar nuevas aplicaciones de forma más segura
Si no está familiarizado con cómo funcionan las aplicaciones en Microsoft Entra ID, consulte Aplicaciones y entidades de servicio en Microsoft Entra ID.
Nota
Si aún no ha revisado la Información general sobre las operaciones de seguridad de Microsoft Entra, puede hacerlo ahora si lo desea.
Qué se debe tener presente
A medida que supervisa los registros de aplicaciones en busca de incidentes de seguridad, revise la lista que aparece a continuación para ayudar a diferenciar la actividad normal de la malintencionada. Los siguientes eventos pueden indicar problemas de seguridad. Se tratan todos en el artículo.
Cualquier cambio que se produzca fuera de los procesos y programaciones empresariales normales
Cambios en las credenciales de las aplicaciones
Permisos de aplicación
Entidad de servicio asignada a un rol de control de acceso basado en roles (RBAC) de Azure o a un rol de Microsoft Entra ID
Aplicaciones con permisos con privilegios elevados
Cambios en Azure Key Vault
Usuario final que otorga consentimiento a las aplicaciones
Se detuvo el consentimiento del usuario final en función del nivel de riesgo
Cambios de configuración de las aplicaciones
Identificador de recursos universal (URI) cambiado o no estándar
Cambios en los propietarios de las aplicaciones
Direcciones URL de cierre de sesión modificadas
Dónde mirar
Los archivos de registro que usa para la investigación y supervisión son:
En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra con otras herramientas, lo que permite una mayor automatización de la supervisión y las alertas:
Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial con funcionalidades de administración de eventos e información de seguridad (SIEM).
Reglas Sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.
Azure Monitor: supervisión automatizada y alertas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.
Azure Event Hubs integrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.
Microsoft Defender for Cloud Apps: detecte y administre aplicaciones, controle aplicaciones y recursos y compruebe el cumplimiento de las aplicaciones en la nube.
Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: detecta riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.
Gran parte de lo que supervisa y alerta son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Use el libro para ver un resumen e identificar los efectos durante un periodo de tiempo. También puede usar el libro para investigar los inicios de sesión de un usuario específico.
En el resto de este artículo, se describe lo que se recomienda supervisar y alertar sobre ello. El artículo está organizado por tipo de amenaza. Cuando hay soluciones previamente creadas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.
Credenciales de aplicaciones
Muchas aplicaciones usan credenciales para autenticarse en Microsoft Entra ID. Las credenciales adicionales agregadas fuera de los procesos esperados podrían ser un actor malintencionado que use esas credenciales. Se recomienda encarecidamente usar certificados X509 emitidos por entidades de confianza o administradas en lugar de usar secretos de cliente. Sin embargo, si necesita usar secretos de cliente, siga las prácticas de protección adecuadas para mantener seguras las aplicaciones. Tenga en cuenta que las actualizaciones de las aplicaciones y la entidad de servicio se registran como dos entradas en el registro de auditoría.
Supervise las aplicaciones para identificar aquellas con tiempos de expiración de credenciales largos.
Reemplace las credenciales de larga duración por credenciales que tengan una duración corta. Asegúrese de que las credenciales no se confirman en los repositorios de código y se almacenan de forma segura.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Se han agregado credenciales a las aplicaciones existentes. | Alto | Registros de auditoría de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización de certificados de aplicaciones y administración de secretos -y- Actividad: Actualización de entidad de servicio y aplicación |
Alerta cuando las credenciales: se agregan fuera del horario comercial o de los flujos de trabajo normales; son de tipos que no se usan en el entorno; o se agregan a un flujo que no pertenece al protocolo SAML que admite la entidad de servicio. Plantilla de Microsoft Sentinel Reglas Sigma |
| Credenciales con una duración mayor de la que permiten las directivas. | Medio | Microsoft Graph | Estado y fecha de finalización de las credenciales de clave de aplicación -y- Credenciales de contraseña de aplicación |
Puede usar Microsoft Graph API para buscar la fecha de inicio y finalización de las credenciales y evaluar las que tienen una duración mayor de la permitida. Consulte el script de PowerShell que sigue a esta tabla. |
Están disponibles las siguientes alertas y supervisión creadas previamente:
Microsoft Sentinel: se envía una alerta cuando se agregan nuevas credenciales de entidad de servicio o de aplicación.
Azure Monitor: Libro de Microsoft Entra para ayudarle a evaluar el riesgo de Solorigate: Microsoft Tech Community.
Defender for Cloud Apps: guía de investigación de alertas de detección de anomalías de Defender for Cloud Apps.
PowerShell: Script de PowerShell de ejemplo para buscar la duración de las credenciales.
Permisos de aplicación
Al igual que una cuenta de administrador, a las aplicaciones se les pueden asignar roles con privilegios. A las aplicaciones se les pueden asignar roles de Microsoft Entra, como Administrador de usuarios, o roles RBAC de Azure, como Lector de facturación. Como se pueden ejecutar sin un usuario y como un servicio en segundo plano, supervise concienzudamente cada vez que se conceda a una aplicación roles o permisos con privilegios elevados.
Entidad de servicio asignada a un rol
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Aplicación asignada al rol RBAC de Azure o al rol de Microsoft Entra | De alto a medio | Registros de auditoría de Microsoft Entra | Tipo: entidad de servicio Actividad: "Agregar miembro al rol" o "Agregar miembro apto al rol" -o- "Agregar miembro con ámbito al rol". |
Para los roles con privilegios elevados, el riesgo es alto. Para los roles con menos privilegios, el riesgo es medio. Se envía una alerta cada vez que se asigna una aplicación a un rol de Azure o de Microsoft Entra fuera de los procedimientos normales de configuración o administración de cambios. Plantilla de Microsoft Sentinel Reglas Sigma |
Aplicación con permisos con privilegios elevados
Las aplicaciones deben seguir el principio de privilegios mínimos. Investigue los permisos de aplicación para asegurarse de que son realmente necesarios. Puede crear un informe de concesión de consentimiento de aplicaciones para ayudar a identificar las aplicaciones existentes y resaltar los permisos con privilegios.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Aplicación a la que se le han concedido permisos con privilegios elevados, como permisos con ".All" (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.) | Alto | Registros de auditoría de Microsoft Entra | "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph) -y- AppRole.Value identifica un permiso de aplicación con privilegios elevados (rol de aplicación). |
Las aplicaciones concedieron permisos amplios, como ".All" (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.) Plantilla de Microsoft Sentinel Reglas Sigma |
| Administrador que concede permisos de aplicación (roles de aplicación) o permisos delegados con privilegios elevados | Alto | Portal de Microsoft 365 | "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph) "Agregar concesión de permisos delegados" -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph) -y- DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados. |
Alerta cuando un administrador da consentimiento a una aplicación. Analice especialmente consentimientos fuera de la actividad normal y los procedimientos de cambio. Plantilla de Microsoft Sentinel Plantilla de Microsoft Sentinel Plantilla de Microsoft Sentinel Reglas Sigma |
| A la aplicación se le conceden permisos para Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. | Alto | Registros de auditoría de Microsoft Entra | "Agregar concesión de permisos delegados" -o- "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- Los destinos identifican una API con datos confidenciales (como Microsoft Graph, Exchange Online, entre otros) |
Se envía una alerta como en la fila anterior. Plantilla de Microsoft Sentinel Reglas Sigma |
| Se conceden permisos de aplicación (roles de aplicación) para otras API | Medio | Registros de auditoría de Microsoft Entra | "Agregar la asignación de roles de aplicación a la entidad de servicio" -donde- Los destinos identifican cualquier otra API. |
Se envía una alerta como en la fila anterior. Reglas Sigma |
| Los permisos delegados con privilegios elevados se conceden en nombre de todos los usuarios. | Alto | Registros de auditoría de Microsoft Entra | "Agregar concesión de permisos delegados", donde los destinos identifican una API con datos confidenciales (como Microsoft Graph), DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados -y- DelegatedPermissionGrant.ConsentType es "AllPrincipals". |
Se envía una alerta como en la fila anterior. Plantilla de Microsoft Sentinel Plantilla de Microsoft Sentinel Plantilla de Microsoft Sentinel Reglas Sigma |
Para obtener más información sobre la supervisión de permisos de aplicación, consulte este tutorial: Investigación y corrección de aplicaciones de OAuth de riesgo.
Azure Key Vault
Use Azure Key Vault para almacenar los secretos del inquilino. Se recomienda prestar especial atención a los cambios en la configuración y las actividades de Key Vault.
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cómo y cuándo se accede a las instancias de Key Vault y quién lo hace | Medio | Registros de Azure Key Vault | Tipo de recurso: Instancias de Key Vault | Busque: cualquier acceso a Key Vault fuera de los procesos y horas normales, cualquier cambio en ACL de Key Vault. Plantilla de Microsoft Sentinel Reglas Sigma |
Después de configurar Azure Key Vault, habilite el registro. Consulte cómo y cuándo acceden a sus instancias de Key Vault y configure alertas en Key Vault par notificar a los usuarios asignados o a las listas de distribución por correo electrónico, teléfono, mensaje de texto o mediante Event Grid si el estado se ve afectado. Además, la configuración de la supervisión con la información detallada de Key Vault le proporcionará una instantánea de las solicitudes, el rendimiento, los fallos y la latencia de Key Vault. Log Analytics también tiene algunas consultas de ejemplo para Azure Key Vault a las que se puede acceder después de seleccionar la instancia de Key Vault y, a continuación, en "Supervisión", seleccionar "Registros".
Consentimiento del usuario final
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Consentimiento del usuario final a la aplicación | Bajo | Registros de auditoría de Microsoft Entra | Actividad: Consentimiento a la aplicación / ConsentContext.IsAdminConsent = false | Busque: cuentas de alto perfil o con privilegios elevados, aplicaciones que solicitan permisos de alto riesgo, aplicaciones con nombres sospechosos, por ejemplo genérico, mal escrito, etc. Plantilla de Microsoft Sentinel Reglas Sigma |
El acto de dar su consentimiento a una aplicación no es en sí mismo malintencionado. Sin embargo, investigue las nuevas concesiones de consentimiento del usuario final en busca de aplicaciones sospechosas. Puede restringir las operaciones de consentimiento del usuario.
Para obtener más información sobre las operaciones de consentimiento, vea los recursos siguientes:
El usuario final se detuvo debido a un consentimiento basado en riesgos
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| El consentimiento del usuario final se detuvo debido a un consentimiento basado en riesgos | Medio | Registros de auditoría de Microsoft Entra | Directorio principal/ApplicationManagement/Consentimiento a la aplicación Razón para el estado de error: Microsoft.online.Security.userConsent BlockedForRiskyAppsExceptions |
Supervise y analice cada vez que se detenga el consentimiento debido al riesgo. Busque: cuentas de alto perfil o con privilegios elevados, aplicaciones que solicitan permisos de alto riesgo o aplicaciones con nombres sospechosos, por ejemplo genérico, mal escrito, etc. Plantilla de Microsoft Sentinel Reglas Sigma |
Flujos de autenticación de aplicaciones
Hay varios flujos definidos en el protocolo OAuth 2.0. El flujo recomendado para una aplicación depende del tipo de aplicación que se está compilando. En algunos casos, hay una selección de flujos disponibles para la aplicación. En este caso, se recomiendan algunos flujos de autenticación sobre otros. En concreto, evite las credenciales de contraseña del propietario del recurso (ROPC) porque requieren que el usuario exponga sus credenciales de contraseña actuales a la aplicación. A continuación, la aplicación usa esas credenciales para autenticar al usuario en el proveedor de identidades. La mayoría de las aplicaciones deben usar el flujo de código de autenticación o el flujo de código de autenticación con Proof Key for Code Exchange (PKCE), ya que se recomienda encarecidamente este flujo.
El único escenario en el que se sugiere ROPC es para pruebas automatizadas de aplicaciones. Consulte Ejecución de pruebas de integración automatizadas para obtener más información.
El flujo de código de dispositivo es otro flujo de protocolo de OAuth 2.0 específicamente para dispositivos restringidos de entrada y no se usa en todos los entornos. Cuando el flujo de código del dispositivo aparece en el entorno y no se usa en un escenario de dispositivo restringido de entrada. Se garantiza más investigación para una aplicación mal configurada o potencialmente algo malintencionado. El flujo de código del dispositivo también se puede bloquear o permitir en el acceso condicional. Vea Flujos de autenticación de acceso condicional para obtener más información.
Supervise la autenticación de aplicaciones mediante la siguiente formación:
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Aplicaciones que usan el flujo de autenticación ROPC | Medio | Registro de inicios de sesión de Microsoft Entra | Estado: correcto Protocolo de autenticación: ROPC |
El alto nivel de confianza se coloca en esta aplicación, ya que las credenciales se pueden almacenar en caché o almacenarse. Si es posible, mueva a un flujo de autenticación más seguro. Esto solo se debería usar en las pruebas automatizadas de las aplicaciones, si es que se hace. Para más información, consulte Plataforma de identidad de Microsoft y credenciales de contraseña de propietario de recursos de OAuth 2.0 Reglas Sigma |
| Aplicaciones que usan el flujo de código del dispositivo | Bajo a medio | Registro de inicios de sesión de Microsoft Entra | Estado: correcto Protocolo de autenticación: código de dispositivo |
Los flujos de código de dispositivo se usan para dispositivos restringidos de entrada que pueden no estar presentes en todos los entornos. Si aparecen flujos de código de dispositivo correctos, sin necesidad de ellos, investigue la validez. Para más información, consulte Flujo de concesión de autorización de dispositivo de OAuth 2.0 y la Plataforma de identidad de Microsoft. Reglas Sigma |
Cambios de configuración de las aplicaciones
Supervisión de cambios en la configuración de la aplicación. En concreto, la configuración cambia al identificador uniforme de recursos (URI), la propiedad y la dirección URL de cierre de sesión.
Cambios de URI y URI de redirección pendientes
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| URI pendiente | Alto | Registros de Microsoft Entra y registro de aplicaciones | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización de aplicación Éxito: nombre de propiedad AppAddress |
Busque URI pendientes, por ejemplo, que apunten a un nombre de dominio que ya no existe o a uno que no posee explícitamente. Plantilla de Microsoft Sentinel Reglas Sigma |
| Cambios de configuración de URI de redirección | Alto | Registros de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización de aplicación Éxito: nombre de propiedad AppAddress |
Busque URI que no usen HTTPS*, URI con caracteres comodín al final o el dominio de la dirección URL, URI que NO sean exclusivos de la aplicación o URI que apunten a un dominio que no controle. Plantilla de Microsoft Sentinel Reglas Sigma |
Se envía una alerta cada vez que se detecten estos cambios.
URI de AppID agregado, modificado o quitado
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cambios en el URI de AppID | Alto | Registros de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización Aplicación Actividad: Actualización de la entidad de servicio |
Busque las modificaciones del URI de AppID, como agregar, modificar o quitar el URI. Plantilla de Microsoft Sentinel Reglas Sigma |
Se envía una alerta cada vez que se detectan estos cambios fuera de los procedimientos de administración de cambios aprobados.
Nuevo propietario
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cambios en la propiedad de las aplicaciones | Medio | Registros de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Incorporación de un propietario a una aplicación |
Busque cualquier instancia de un usuario que se agrega como propietario de la aplicación fuera de las actividades normales de administración de cambios. Plantilla de Microsoft Sentinel Reglas Sigma |
URL de cierre de sesión modificada o quitada
| Elementos para supervisar | Nivel de riesgo | Dónde | Filtro o subfiltro | Notas |
|---|---|---|---|---|
| Cambios en la dirección URL de cierre de sesión | Bajo | Registros de Microsoft Entra | Servicio/Directorio principal, Category-ApplicationManagement Actividad: Actualización de aplicación -y- Actividad: Actualización del principio de la entidad de servicio |
Busque cualquier modificación en una dirección URL de cierre de sesión. Las entradas en blanco o las entradas en ubicaciones inexistentes impedirían que un usuario terminara una sesión. Plantilla de Microsoft Sentinel Reglas Sigma |
Recursos
Kit de herramientas de GitHub de Microsoft Entra: https://github.com/microsoft/AzureADToolkit
Guía de seguridad e información general de seguridad de Azure Key Vault: Información general de seguridad de Azure Key Vault
Información y herramientas de riesgo de Solorigate: Libro de Microsoft Entra para ayudarle a acceder al riesgo de Solorigate
Guía de detección de ataques de OAuth: Adición inusual de credenciales a una aplicación de OAuth
Información de configuración de supervisión de Microsoft Entra para SIEM: Herramientas de asociados con integración de Azure Monitor
Pasos siguientes
Introducción a las operaciones de seguridad de Microsoft Entra
Operaciones de seguridad para cuentas de usuario
Operaciones de seguridad para cuentas de consumidor
Operaciones de seguridad para cuentas con privilegios
Operaciones de seguridad para Privileged Identity Management