Share via

Tutorial: Configuración del análisis de seguridad para datos de Azure Active Directory datos B2C con Microsoft Sentinel

  • Artículo

Mejore la seguridad de su entorno de Azure Active Directory B2C (Azure AD B2C) redirigiendo registros e información de auditoría a Microsoft Sentinel. Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) escalable y nativa de la nube. Use la solución para la detección de alertas, visibilidad de amenazas, búsqueda proactiva y respuesta a amenazas para Azure AD B2C.

Más información:

Más usos para Microsoft Sentinel, con Azure AD B2C, son:

  • Detectar amenazas no detectadas previamente y minimizar los falsos positivos con funciones de análisis e inteligencia sobre amenazas
  • Investigar amenazas con inteligencia artificial (IA)
    • Buscar actividades sospechosas a gran escala y beneficiarse de la experiencia de años de trabajo en ciberseguridad en Microsoft
  • Responder rápidamente a los incidentes con la orquestación y automatización de tareas comunes
  • Cumplir los requisitos de seguridad y conformidad de su organización

En este tutorial, aprenderá a:

  • Transferir registros de Azure AD B2C a un área de trabajo de Log Analytics
  • Habilitar Microsoft Sentinel en un área de trabajo de Log Analytics
  • Crear una regla de ejemplo en Microsoft Sentinel que desencadene un incidente
  • Configurar la respuesta automatizada

Configuración de Azure AD B2C con Log Analytics en Azure Monitor

Para definir dónde se envían los registros y las métricas de un recurso,

  1. Habilite la configuración de diagnóstico en Microsoft Entra ID, en el inquilino de Microsoft Entra ID B2C.
  2. Configure Azure AD B2C para enviar registros a Azure Monitor.

Obtenga más información sobre la supervisión de Azure AD B2C con Azure Monitor.

Implementación de una instancia de Microsoft Sentinel

Después de configurar la instancia de Azure AD B2C para enviar registros a Azure Monitor, habilite una instancia de Microsoft Sentinel.

Importante

Para habilitar Microsoft Sentinel, obtenga permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel. Para usar Microsoft Sentinel, use permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.

  1. Inicie sesión en Azure Portal.

  2. Seleccione la suscripción dónde se ha creado el área de trabajo de Log Analytics.

  3. Busque y seleccione Sentinel.

    Captura de pantalla de Azure Sentinel introducida en el campo de búsqueda y la opción de Azure Sentinel que aparece.

  4. Seleccione Agregar.

  5. En el campo Áreas de trabajo de búsqueda, seleccione el área de trabajo nueva.

    Captura de pantalla del campo Áreas de trabajo de búsqueda en Elegir un área de trabajo que se va a agregar a Azure Sentinel.

  6. Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).

    Nota:

    Es posible ejecutar Microsoft Sentinel en más de una área de trabajo, pero los datos están aislados en una sola área de trabajo.
    Consulte, Inicio rápido: Incorporación a Microsoft Sentinel

Creación de una regla de Microsoft Sentinel

Después de habilitar Microsoft Sentinel, recibirá notificaciones cuando se produzca algo sospechoso en su inquilino de Azure AD B2C.

Puede crear reglas de análisis personalizadas para detectar amenazas y comportamientos anómalos en el entorno. Estas reglas buscan eventos específicos o conjuntos de eventos y le avisan cuando se cumplen los umbrales de eventos o las condiciones. A continuación, se generan incidentes para su investigación.

Consulte Creación de reglas de análisis personalizadas para detectar amenazas

Nota

Microsoft Sentinel tiene plantillas para crear reglas de detección de amenazas que buscan los datos para detectar actividades sospechosas. En este tutorial, creará una regla.

Regla de notificación para el acceso forzado incorrecto

Siga estos pasos para recibir una notificación sobre dos o más intentos de acceso forzados sin éxito en su entorno. Un ejemplo es el ataque por fuerza bruta.

  1. En Microsoft Sentinel, en el menú de la izquierda, seleccione Analytics.

  2. En la barra de la parte superior, seleccione + Crear>Regla de consulta programada.

    Captura de pantalla de la opción Crear en Analytics.

  3. En el Asistente para reglas de Analytics, vaya a General.

  4. En Nombre, escriba un nombre para los inicios de sesión incorrectos.

  5. En Descripción, indique que la regla notifica dos o más inicios de sesión incorrectos en un plazo de 60 segundos.

  6. En Tácticas, seleccione una categoría. Por ejemplo, seleccione PreAttack.

  7. En Gravedad, seleccione un nivel de gravedad.

  8. Estado está habilitado de forma predeterminada. Para cambiar una regla, vaya a la pestaña Reglas activas.

    Captura de pantalla de Crear nueva regla con opciones y selecciones.

  9. Haga clic en la pestaña Establecer la lógica de la regla.

  10. Escriba una consulta en el campo Consulta de regla. En el ejemplo de consulta se organizan los inicios de sesión mediante UserPrincipalName.

    Captura de pantalla del texto de la consulta en el campo Consulta de regla en Establecer lógica de regla.

  11. Vaya a Programación de consultas.

  12. En Ejecutar consulta cada, escriba 5 y minutos.

  13. En Buscar datos del último, escriba 5 y minutos.

  14. Para Generar alerta cuando el número de resultados de la consulta, seleccione Es mayor que y 0.

  15. En Agrupación de eventos, seleccione Agrupar todos los eventos en una sola alerta.

  16. En Detener la ejecución de la consulta después de generar la alerta, seleccione Desactivado.

  17. Seleccione Siguiente: configuración de incidentes (versión preliminar) .

Captura de pantalla de las opciones y las selecciones de programación de consultas.

  1. Vaya a la pestaña Revisar y crear para revisar la configuración de la regla.

  2. Cuando aparezca el banner Validación superada, seleccione Crear.

    Captura de pantalla de la configuración seleccionada, el banner Validación pasada y la opción Crear.

Vea la regla y los incidentes que genera. Puede encontrar la regla personalizada recién creada de tipo Programado en la tabla en la pestaña Reglas activas de la pantalla principal

  1. Vaya a la pantalla Analytics.
  2. Seleccione la pestaña Reglas activas.
  3. En la tabla, en Programado, busque la regla.

Puede editar, activar, desactivar o eliminar la regla.

Captura de pantalla de las reglas activas con las opciones Habilitar, Deshabilitar, Eliminar y Editar.

Evaluar, investigar y corregir incidentes

Un incidente puede incluir varias alertas y es una agregación de pruebas pertinentes para una investigación. En el nivel de incidente, puede establecer propiedades como la gravedad y el estado.

Obtenga más información: Investigación de incidentes con Microsoft Sentinel.

  1. Vaya a la página Incidentes.

  2. Seleccione un incidente.

  3. A la derecha, aparece información detallada del incidente, incluida la gravedad, las entidades, los eventos y el id. de incidente.

    Captura de pantalla que muestra la información del incidente.

  4. En el panel Incidentes, elija Ver detalles completos.

  5. Revise las pestañas que resumen el incidente.

    Captura de pantalla de una lista de incidentes.

  6. Seleccione Evidencia>Eventos>Vincular a Log Analytics.

  7. En los resultados, consulte el valor de identidad UserPrincipalName que intenta iniciar sesión.

    Captura de pantalla de los detalles de un incidente

Respuesta automatizada

Microsoft Sentinel tiene funciones de orquestación de seguridad, automatización y respuesta (SOAR). Adjunte acciones automatizadas o un cuaderno de estrategias a reglas de análisis.

Consulte ¿Qué es SOAR?

Notificación de correo electrónico de un incidente

Para esta tarea, utilice un libro de estrategias del repositorio de GitHub de Microsoft Sentinel.

  1. Vaya a un cuaderno de estrategias configurado.
  2. Edite la regla.
  3. En la pestaña Respuesta automatizada, seleccione el cuaderno de estrategias.

Más información: Incidente-Correo electrónico-Notificación

Captura de pantalla de las opciones de respuesta automatizadas de una regla.

Recursos

Para más información sobre Microsoft Sentinel y Azure AD B2C, consulte:

Paso siguiente

Control de falsos positivos en Microsoft Sentinel