Compartir por


Operaciones de seguridad de Microsoft Entra para dispositivos

Los dispositivos no se usan normalmente como destino en ataques basados en identidades, pero se pueden usar para satisfacer y engañar los controles de seguridad, o para suplantar a los usuarios. Los dispositivos pueden tener una de las cuatro relaciones con Microsoft Entra ID:

Los dispositivos registrados y unidos se emiten como token de actualización principal (PRT), que se puede usar como artefacto de autenticación principal y, en algunos casos, como artefacto de autenticación multifactor. Los atacantes pueden intentar registrar sus propios dispositivos, usar PRT en dispositivos legítimos para acceder a datos empresariales, robar tokens basados en PRT de dispositivos de usuario legítimos o encontrar configuraciones incorrectas en controles basados en dispositivos en Microsoft Entra ID. Con dispositivos híbridos unidos a Microsoft Entra, los administradores inician y controlan el proceso de unión, lo que reduce los métodos de ataque disponibles.

Para más información sobre los métodos de integración de dispositivos, consulte Elección de los métodos de integración en el artículo Planeamiento de la implementación de dispositivos de Microsoft Entra.

Para reducir el riesgo de que los actores no válidos ataquen la infraestructura a través de dispositivos, supervise lo siguiente

  • Registro de dispositivos y unión a Microsoft Entra

  • Dispositivos no compatibles que acceden a aplicaciones

  • Recuperación de claves de BitLocker

  • Roles de administrador de dispositivos

  • Inicios de sesión en máquinas virtuales

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra ID con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).

  • Reglas Sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas Sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.

  • Azure Monitor: permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

  • Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen e identificar los efectos durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico.

En el resto de este artículo se describe lo que se recomienda supervisar y alertar, y se organiza por el tipo de amenaza. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Registros de dispositivos y combinaciones fuera de la directiva

Los dispositivos registrados en Microsoft Entra y unidos a Microsoft Entra poseen tokens de actualización principales (PRT), que son el equivalente de un único factor de autenticación. En ocasiones, estos dispositivos pueden contener notificaciones de autenticación sólida. Para más información sobre cuándo los PRT contienen notificaciones de autenticación sólida, vea ¿Qué es un token de actualización principal? Para evitar que los actores no válidos se registren o se unan a dispositivos, es necesaria la autenticación multifactor (MFA) para registrar o unir dispositivos. A continuación, supervise los dispositivos registrados o unidos sin MFA. También tendrá que estar atento a los cambios en la configuración y las directivas de MFA, así como en las directivas de cumplimiento de dispositivos.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Registro de dispositivos o unión completados sin MFA Medio Registros de inicio de sesión Actividad: autenticación correcta en el servicio de registro de dispositivos.
Y
No se requiere MFA
Se alerta cuando: cualquier dispositivo se ha registrado o unido sin MFA
Plantilla de Microsoft Sentinel
Reglas Sigma
Cambios en el botón de alternancia de MFA de registro de dispositivos en Microsoft Entra ID Alto Registro de auditoría Actividad: establecimiento de directivas de registro de dispositivos Busque: el botón de alternancia establecido en desactivado. No hay ninguna entrada de registro de auditoría. Programación de comprobaciones periódicas.
Reglas Sigma
Cambios en las directivas de acceso condicional que requieren un dispositivo compatible o unido a un dominio. Alto Registro de auditoría Cambios en las directivas de acceso condicional
Se alerta cuando: se realizan cambios en cualquier directiva que requiera unión a un dominio o compatibilidad, cambios en ubicaciones de confianza, cuentas o dispositivos agregados a excepciones de directiva de MFA.

Puede crear una alerta que notifique a los administradores adecuados cuando un dispositivo se registre o se una sin MFA mediante Microsoft Sentinel.

SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"

También puede usar Microsoft Intune para establecer y supervisar las directivas de cumplimiento de dispositivos.

Inicio de sesión de dispositivo no compatible

Es posible que no se pueda bloquear el acceso a todas las aplicaciones de nube y software como servicio con directivas de acceso condicional que requieran dispositivos compatibles.

La administración de dispositivos móviles (MDM) le ayuda a mantener los dispositivos Windows 10 compatibles. Con Windows versión 1809, lanzamos una línea base de seguridad de directivas. Microsoft Entra ID se puede integrar con MDM para exigir el cumplimiento de dispositivos con las directivas corporativas y puede notificar el estado de cumplimiento de un dispositivo.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Inicios de sesión por parte de dispositivos no compatibles Alto Registros de inicio de sesión DeviceDetail.isCompliant == false Si requiere el inicio de sesión desde dispositivos compatibles, se alerta cuando: se realiza cualquier inicio de sesión desde dispositivos no compatibles o cualquier acceso sin MFA o una ubicación de confianza.

Si trabaja para requerir dispositivos, supervise los inicios de sesión sospechosos.

Reglas Sigma

Inicios de sesión por parte de dispositivos desconocidos Bajo Registros de inicio de sesión DeviceDetail está vacío, tiene autenticación de un solo factor o proviene de una ubicación que no es de confianza Busque: cualquier acceso desde dispositivos no compatibles, cualquier acceso sin MFA o ubicación de confianza
Plantilla de Microsoft Sentinel

Reglas Sigma

Uso de LogAnalytics para consultar

Inicios de sesión por parte de dispositivos no compatibles

SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"

Inicios de sesión por parte de dispositivos desconocidos


SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"

Dispositivos obsoletos

Los dispositivos obsoletos incluyen dispositivos que no han iniciado sesión durante un período de tiempo especificado. Los dispositivos pueden quedar obsoletos cuando un usuario obtiene un nuevo dispositivo o pierde un dispositivo, o cuando un dispositivo unido a Microsoft Entra se borra o se vuelve a aprovisionar. Los dispositivos también pueden permanecer registrados o unidos cuando el usuario ya no está asociado al inquilino. Los dispositivos obsoletos deben quitarse para que no se puedan usar sus tokens de actualización principales (PRT).

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Fecha del último inicio de sesión Bajo Graph API approximateLastSignInDateTime Use Graph API o PowerShell para identificar y quitar dispositivos obsoletos.

Recuperación de claves de BitLocker

Los atacantes que han comprometido el dispositivo de un usuario pueden recuperar las claves de BitLocker en Microsoft Entra ID. No es habitual que los usuarios recuperen claves y deben supervisarse e investigarse.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Recuperación de claves Medio Registros de auditoría OperationName == "Read BitLocker key" Busque: recuperación de claves, otro comportamiento anómalo por parte de los usuarios que recuperan claves.
Plantilla de Microsoft Sentinel

Reglas Sigma

En LogAnalytics, cree una consulta como

AuditLogs
| where OperationName == "Read BitLocker key" 

Roles de administrador de dispositivos

Las funciones de administrador local de dispositivo unido a Microsoft Entra y de administrador global obtienen automáticamente derechos de administrador local en todos los dispositivos unidos de Microsoft Entra. Es importante supervisar quién tiene estos derechos para mantener su entorno seguro.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Usuarios agregados a roles de administrador global o de dispositivo Alto Registros de auditoría Tipo de actividad = Agregar miembro al rol. Busque: nuevos usuarios agregados a estos roles de Microsoft Entra, comportamientos anómalos posteriores por máquinas o usuarios.
Plantilla de Microsoft Sentinel

Reglas Sigma

Inicios de sesión que no son de Azure AD en máquinas virtuales

Los inicios de sesión en máquinas virtuales (VM) de Windows o LINUX deben supervisarse para los inicios de sesión de cuentas que no sean cuentas de Microsoft Entra.

Inicio de sesión de Microsoft Entra para LINUX

El inicio de sesión de Microsoft Entra para LINUX permite a las organizaciones iniciar sesión en sus máquinas virtuales LINUX de Azure mediante cuentas de Microsoft Entra a través del protocolo de Secure Shell (SSH).

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Inicio de sesión de una cuenta que no es de Azure AD, especialmente a través de SSH Alto Registros de autenticación local Ubuntu:
supervisar /var/log/auth.log para el uso de SSH
RedHat:
supervisar /var/log/sssd/ para el uso de SSH
Busque: entradas en las que las cuentas que no son de Azure AD se conectan correctamente a las máquinas virtuales. Consulte el ejemplo siguiente.

Ejemplo de Ubuntu:

9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: Versión: 1.0.015570001; usuario: localusertest01

9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: El usuario "localusertest01" no es un usuario de Microsoft Entra; devolviendo resultado vacío.

9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: Versión: 1.0.015570001; usuario: localusertest01

9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: El usuario "localusertest01" no es un usuario de Microsoft Entra; devolviendo resultado vacío.

9 de mayo 23:49:43 ubuntu1804 sshd[3909]: Aceptado públicamente para localusertest01 desde el puerto 192.168.0.15 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 de mayo 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesión abierta para el usuario localusertest01 (uid=0).

Puede establecer una directiva para los inicios de sesión de máquinas virtuales LINUX y detectar y marcar las máquinas virtuales Linux que tengan cuentas locales no aprobadas agregadas. Para más información, consulte Uso de Azure Policy para garantizar estándares y evaluar el cumplimiento.

Inicios de sesión de Microsoft Entra para Windows Server

El inicio de sesión de Microsoft Entra para Windows permite a su organización iniciar sesión en las máquinas virtuales Windows 2019+ de Azure mediante cuentas de Microsoft Entra a través del protocolo de escritorio remoto (RDP).

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Inicio de sesión de una cuenta que no es de Azure AD, especialmente mediante RDP Alto Registros de eventos de Windows Server Inicio de sesión interactivo en máquina virtual Windows Evento 528, tipo de inicio de sesión 10 (RemoteInteractive).
Muestra cuándo un usuario inicia sesión a través de Terminal Services o Escritorio remoto.

Pasos siguientes

Introducción a las operaciones de seguridad de Microsoft Entra

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para infraestructura