Panel de Protección de id. de Microsoft Entra (versión preliminar)

Protección de id. de Microsoft Entra impide que la identidad se ponga en peligro mediante la detección de ataques de identidad y la generación de informes de riesgos. Permite a los clientes proteger a sus organizaciones mediante la supervisión de riesgos, su investigación y la configuración de directivas de acceso basadas en riesgos para proteger el acceso confidencial y corregir automáticamente los riesgos.

Nuestro nuevo panel ayuda a los clientes a analizar mejor su posición de seguridad, comprender qué tan bien están protegidos, identificar las vulnerabilidades y realizar acciones recomendadas.

Screenshot showing the new Microsoft Entra ID Protection overview dashboard.

Este panel está diseñado para capacitar a las organizaciones con información enriquecida y recomendaciones procesables adaptadas a su inquilino. Esta información proporciona una mejor vista de la posición de seguridad de la organización y le permite habilitar protecciones eficaces en consecuencia. Tiene acceso a métricas clave, gráficos de ataque, un mapa que resalta ubicaciones de riesgo, recomendaciones principales para mejorar la posición de seguridad y las actividades recientes.

Prerrequisitos

Para acceder a este nuevo panel, necesita:

  • Licencias Microsoft Entra ID gratis, Microsoft Entra ID P1 o Microsoft Entra ID P2 para sus usuarios.
  • Los usuarios deben tener asignada al menos el rol de Lector de Seguridad.
  • Para ver una lista completa de recomendaciones y seleccionar los vínculos de acción recomendados, necesita licencias Microsoft Entra ID P2.

Acceso al panel

Las organizaciones pueden acceder al nuevo panel mediante:

  1. Inicio de sesión en el Centro de administración de Microsoft Entra.
  2. Vaya al panel de Protección>protección de la identidad>(versión preliminar).

Tarjetas de métricas

A medida que implementa más medidas de seguridad, como las directivas basadas en riesgos, se refuerza la protección de inquilinos. Por lo tanto, ahora proporcionamos cuatro métricas clave para ayudarle a comprender la eficacia de las medidas de seguridad que tiene en vigor.

Screenshot showing the metric graphs in the dashboard.

Metric Definición métrica Frecuencia de actualización Dónde ver los detalles
Número de ataques bloqueados Número de ataques bloqueados para este inquilino cada día.

Un ataque se considera bloqueado si cualquier directiva de acceso interrumpió el inicio de sesión de riesgo. El control de acceso requerido por la directiva debe impedir que el atacante inicie sesión, por lo que bloquea el ataque.
Cada 24 horas. Vea las detecciones de riesgo que determinaron los ataques en el Informe de Detecciones de riesgo, filtre "Estado de riesgo" por:

- Corregido
- Descartado
-** Confirmado de forma segura**
Número de usuarios protegidos Número de usuarios de este inquilino cuyo estado de riesgo cambió de En riesgo a Corregido o Descartado cada día.

Un estado de riesgo Corregido indica que el usuario ha corregido automáticamente su riesgo de usuario completando MFA o cambio seguro de contraseña, y por lo tanto su cuenta está protegida.

Un estado de riesgo Descartado indica que un administrador ha descartado el riesgo del usuario porque identificó que la cuenta del usuario es segura.
Cada 24 horas. Vea los usuarios protegidos en el Informe de Usuarios de riesgo, filtre "Estado de riesgo" por:

- Corregido
- Descartado
Tiempo medio que los usuarios tardan en corregir sus riesgos Promedio de tiempo para que el estado de riesgo de los usuarios de riesgo del inquilino cambie de En riesgo a Corregido.

El estado de riesgo de un usuario cambia a Corregido cuando se corrige automáticamente su riesgo de usuario a través de MFA o cambio de contraseña segura.

Para reducir el tiempo de corrección automática en el inquilino, implemente directivas de acceso condicional basadas en riesgos.
Cada 24 horas. Vea los usuarios corregidos en el Informe de Usuarios de riesgo, filtre "Estado de riesgo" por:

- Corregido
Número de nuevos usuarios de alto riesgo detectados Número de nuevos usuarios de riesgo con nivel de riesgo Alto detectados cada día. Cada 24 horas. Visualización de usuarios de alto riesgo en el informe Usuarios de riesgo, filtre el nivel de riesgo por

- “Alto”

La agregación de datos de las tres métricas siguientes se inició el 22 de junio de 2023, por lo que estas métricas están disponibles a partir de esa fecha. Estamos trabajando en actualizar el grafo para reflejarlo.

  • Número de ataques bloqueados
  • Número de usuarios protegidos
  • Tiempo medio para corregir el riesgo del usuario

Los gráficos proporcionan una ventana gradual de 12 meses de datos.

Gráfico de ataque

Para ayudarle a comprender mejor la exposición al riesgo, presentamos un innovador Gráfico de ataques que muestra patrones de ataque comunes basados en identidades detectados para el inquilino. Los patrones de ataque se representan mediante técnicas MITRE ATTCK y están determinados por nuestras detecciones de riesgo avanzadas. Para obtener más información, consulte la sección Tipo de detección de riesgos para la asignación de tipos de ataque MITRE.

Screenshot showing the attack graphic in the dashboard.

¿Qué se considera un ataque en Protección de id. de Microsoft Entra?

Cada tipo de detección de riesgos corresponde a una técnica MITRE ATTCK. Cuando se detectan riesgos durante un inicio de sesión, se generan detecciones de riesgo y el inicio de sesión se convierte en un inicio de sesión de riesgo. Los ataques se identifican después en función de las detecciones de riesgo. Consulte la tabla siguiente para ver la asignación entre las detecciones de riesgo y los ataques de Protección de id. de Microsoft Entra como categorizados por técnicas de MITRE ATTCK.

¿Cómo interpretar el gráfico de ataques?

El gráfico presenta tipos de ataque que afectaron al inquilino en los últimos 30 días y si se bloquearon durante el inicio de sesión. En el lado izquierdo, verá el volumen de cada tipo de ataque. A la derecha, se muestran los números de ataques bloqueados y aún no corregidos. El gráfico se actualiza cada 24 horas, por lo que es posible que los volúmenes mostrados no reflejen exactamente el volumen de detecciones más reciente en el informe de detecciones de riesgo.

  • Bloqueado: un ataque se clasifica como bloqueado si una directiva de acceso interrumpió el inicio de sesión de riesgo asociado, como requerir autenticación multifactor. Esta acción impide el inicio de sesión del atacante y bloquea el ataque.
  • No corregido: los inicios de sesión de riesgo correctos que no se interrumpieron necesitan corregirse. Por lo tanto, las detecciones de riesgo asociadas a estos inicios de sesión de riesgo también requieren corrección. Puede ver estos inicios de sesión y las detecciones de riesgo asociadas en el informe de Inicios de sesión de riesgo filtrando por el estado de riesgo "En riesgo".

¿Dónde puedo ver los ataques?

Para ver las detecciones de riesgo que han identificado los ataques,

  1. Consulte la tabla de la sección Tipo de detección de riesgos a la asignación de tipos de ataque MITRE. Busque los tipos de detección correspondientes al tipo de ataque que le interesa.
  2. Vaya al informe de Detecciones de riesgo
  3. Use el filtro Tipo de detección y seleccione los tipos de detección de riesgo identificados en el paso 1. Aplique el filtro para ver solo las detecciones del tipo de ataque.

Estamos mejorando el informe de detecciones de riesgo para incluir un filtro por "Tipo de ataque" y mostrar el tipo de ataque asociado para cada tipo de detección. Esta característica facilita la visualización de detecciones correspondientes a tipos de ataque específicos.

Aplicación de filtros

Se pueden aplicar dos filtros al gráfico:

  • Tipos de ataque: este filtro permite ver solo patrones de ataque seleccionados.
  • Ataques controlados: use este filtro para ver los ataques bloqueados o no corregidos por separado.

Asignación de tipos de ataque MITRE a tipo de detección de riesgos

Tipo de detección de riesgos de Protección de id. de Microsoft Entra Asignación de técnicas de MITRE ATTCK Nombre para mostrar del ataque
Propiedades de inicio de sesión desconocidas T1078.004 Acceso mediante una cuenta válida (detectada en el inicio de sesión)
Viaje imposible T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Inicios de sesión sospechosos T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Nuevo país de MCAS T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Dirección IP anónima de MCAS T1078 Acceso mediante una cuenta válida (detectada sin conexión)
IP de actor de amenazas comprobada T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Explorador sospechoso T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Inteligencia sobre amenazas de Microsoft Entra (usuario) T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Inteligencia sobre amenazas de Microsoft Entra (iniciar sesión) T1078 Acceso mediante una cuenta válida (detectada sin conexión)
Actividad anómala del usuario T1098 Manipulación de cuentas
Difusión de contraseña T1110.003 Fuerza bruta: Difusión de contraseñas
Acceso masivo a archivos confidenciales TA0009 Colección
Acceso masivo a archivos confidenciales TA0009 Colección
Manipulación de MCAS T1114.003 Recopilación de correos electrónicos/Ocultar artefactos
Reenvío sospechoso desde la bandeja de entrada de MCAS T1114.003 Recopilación de correos electrónicos/Ocultar artefactos
Anomalía del emisor de tokens T1606.002 Creación de credenciales web:Tokens de SAML
Filtración de credenciales T1589.001 Recopilar información de identidad de víctima
Dirección IP anónima T1090 Ofuscación/Acceso mediante proxy
Direcciones IP malintencionadas T1090 Ofuscación/Acceso mediante proxy
Posible intento de acceso al token de actualización principal (PRT) T1528 Robo de token de aplicación
Token anómalo T1539 Robo de Cookies/Token de Sesión Web

Asignación

Se proporciona un mapa para mostrar la ubicación del país de los inicios de sesión de riesgo en el inquilino. El tamaño de la burbuja refleja el volumen de los inicios de sesión de riesgo en esa ubicación. Al mantener el puntero sobre la burbuja se muestra un cuadro, que proporciona el nombre del país y el número de inicios de sesión de riesgo desde ese lugar.

Screenshot showing the map graphic in the dashboard.

Contiene los siguientes elementos:

  • Intervalo de fechas: elija el intervalo de fechas y vea inicios de sesión de riesgo desde dentro de ese intervalo de tiempo en el mapa. Los valores disponibles son: últimas 24 horas, últimos siete días y último mes.
  • Nivel de riesgo: elija el nivel de riesgo de los inicios de sesión de riesgo que se van a ver. Los valores disponibles son: Alto, Medio y Bajo.
  • Recuento de ubicaciones de riesgo:
    • Definición: número de ubicaciones desde las que proceden los inicios de sesión de riesgo del inquilino.
    • El filtro de nivel de riesgo e intervalo de fechas se aplica a este recuento.
    • Al seleccionar este recuento, se le lleva al informe de Inicios de sesión de riesgo filtrados por el intervalo de fechas y el nivel de riesgo seleccionados.
  • Recuento de Inicios de sesión de riesgo:
    • Definición: número de inicios de sesión de riesgo totales con el nivel de riesgo seleccionado en el intervalo de fechas seleccionado.
    • El filtro de nivel de riesgo e intervalo de fechas se aplica a este recuento.
    • Al seleccionar este recuento, se le lleva al informe de Inicios de sesión de riesgo filtrados por el intervalo de fechas y el nivel de riesgo seleccionados.

Recomendaciones

También hemos introducido nuevas recomendaciones de Protección de id. de Microsoft Entra para que los clientes configuren su entorno para aumentar su posición de seguridad. Estas recomendaciones se basan en los ataques detectados en el inquilino en los últimos 30 días. Las recomendaciones se proporcionan para guiar al personal de seguridad con las acciones recomendadas que se van a realizar.

Screenshot showing recommendations in the dashboard.

Los ataques comunes que se ven, como la difusión de contraseñas, las credenciales filtradas en el inquilino y el acceso masivo a archivos confidenciales pueden informarle que se ha producido una posible infracción. En la captura de pantalla anterior, el ejemplo Identity Protection detectó al menos 20 usuarios con credenciales filtradas en el inquilino, la acción recomendada en este caso sería crear una Directiva de acceso condicional que requiera el restablecimiento de contraseña seguro en usuarios de riesgo.

En el componente de recomendaciones de nuestro nuevo panel, los clientes verán:

  • Hasta tres recomendaciones si se producen ataques específicos en su inquilino.
  • Información sobre el impacto del ataque.
  • Vínculos directos para realizar acciones adecuadas para la corrección.

Los clientes con licencias P2 pueden ver una lista completa de recomendaciones que proporcionan información sobre las acciones. Cuando se selecciona "Ver todo", se abre un panel que muestra más recomendaciones que se desencadenaron en función de los ataques en su entorno.

Actividades recientes

Actividad reciente proporciona un resumen de las actividades recientes relacionadas con el riesgo en el inquilino. Los posibles tipos de actividad son:

  1. Actividad de ataque
  2. Actividad de corrección de Administración
  3. Actividad de autocorrección
  4. Nuevos usuarios de alto riesgo

Screenshot showing recent activities in the dashboard.

Problemas conocidos

En función de la configuración del inquilino, puede haber o no recomendaciones o actividades recientes en el panel. Estamos trabajando en una mejor vista de no hay nuevas recomendaciones o actividades recientes para mejorar la experiencia.

Pasos siguientes