Cómo: Investigar los riesgos

  • Artículo

Identity Protection proporciona a las organizaciones informes que pueden usar para investigar los riesgos de identidad en su entorno. Estos informes incluyen usuarios de riesgo, inicios de sesión de riesgo, identidades de carga de trabajo de riesgo y detecciones de riesgo. La investigación de eventos es clave para comprender e identificar mejor los puntos débiles de la estrategia de seguridad. Todos estos informes permiten descargar eventos en formato .CSV o la integración con otras soluciones de seguridad, como una herramienta SIEM dedicada para su posterior análisis.

Las organizaciones pueden beneficiarse de las integraciones de Microsoft Graph API para agregar datos con otros orígenes a los que pueden tener acceso como organización.

Los tres informes se encuentran en el Centro de administración de Microsoft Entra>Protección>Protección de identidad.

Cada informe se inicia con una lista de todas las detecciones correspondientes al período mostrado en la parte superior del informe. Cada informe permite agregar o quitar columnas en función de la preferencia del administrador. Los administradores pueden elegir descargar los datos en formato CSV o JSON. Los informes se pueden filtrar con los filtros de la parte superior del informe.

La selección de entradas individuales puede habilitar más entradas en la parte superior del informe, como la capacidad de confirmar que un inicio de sesión es de riesgo o seguro, confirmar que un usuario está en peligro o descartar el riesgo del usuario.

La selección de entradas individuales expande una ventana de detalles debajo de las detecciones. La vista de detalles permite a los administradores investigar y realizar acciones en cada detección.

Usuarios de riesgo

El informe de usuarios de riesgo enumera todos los usuarios cuyas cuentas están actualmente en riesgo o se han considerado en peligro de riesgo. Los usuarios de riesgo deben investigarse y corregirse para evitar el acceso no autorizado a los recursos.

¿Por qué un usuario está en riesgo?

Un usuario se convierte en un usuario de riesgo cuando:

  • Tienen uno o varios inicios de sesión de riesgo.
  • Hay uno o varios riesgos detectados en la cuenta del usuario, como credenciales filtradas.

Investigación de usuarios de riesgo

Para ver e investigar los inicios de sesión de riesgo de un usuario, seleccione la pestaña "Inicios de sesión de riesgo recientes" o el vínculo "Inicios de sesión de riesgo de usuarios".

Para ver e investigar los riesgos en la cuenta de un usuario, seleccione la pestaña "Detecciones no vinculadas a un inicio de sesión" o el vínculo "Detecciones de riesgo del usuario".

La pestaña Historial de riesgos también muestra todos los eventos que han llevado a un cambio de riesgo del usuario en los últimos 90 días. Esta lista incluye detecciones de riesgo que aumentaron el riesgo del usuario y las acciones de corrección del administrador que han reducido el riesgo del usuario. Puede verlo para comprender cómo ha cambiado el riesgo del usuario.

Captura de pantalla del informe de usuarios de riesgo.

Con la información que proporciona el informe de usuarios de riesgo, los administradores pueden buscar lo siguiente:

  • ¿Qué usuarios están en riesgo, lo han corregido o lo han descartado?
  • Detalles sobre las detecciones
  • Historial de todos los inicios de sesión de riesgo
  • Historial de riesgos

A continuación, los administradores pueden elegir tomar medidas en estos eventos. Los administradores pueden optar por:

Descripción del ámbito

  1. Considere la posibilidad de crear una base de datos de viajeros conocidos para informes de viajes organizativos actualizados y usarlo para la actividad de viajes entre referencias.
  2. Agregue intervalos de direcciones IP y VPN corporativas a ubicaciones con nombre para reducir los falsos positivos.
  3. Revise los registros para identificar actividades similares con las mismas características. Esto podría indicar que hay más cuentas en peligro.
    1. Si hay características comunes, como la dirección IP, la geografía, el éxito o el error, etc., considere la posibilidad de bloquearlas con una directiva de acceso condicional.
    2. Revise qué recurso puede haber estado en peligro, como posibles descargas de datos o modificaciones administrativas.
    3. Habilitación de directivas de autocorrección mediante el acceso condicional
  4. Si observa que el usuario ha realizado otras actividades de riesgo, como descargar un gran volumen de archivos desde una nueva ubicación, se trata de un indicador fuerte de un posible riesgo.

Inicios de sesión no seguros

Captura de pantalla del informe de inicios de sesión de riesgo.

El informe de inicios de sesión de riesgo contiene datos que se pueden filtrar hasta los últimos 30 días (1 mes).

Con la información que proporciona el informe de inicios de sesión de riesgo, los administradores pueden buscar lo siguiente:

  • Qué inicios de sesión están clasificados como de riesgo, confirmados en peligro, confirmados seguros, descartados o corregidos.
  • Niveles de riesgo agregado y en tiempo real asociado con los intentos de inicio de sesión.
  • Tipos de detección desencadenados.
  • Directivas de acceso condicionales aplicadas.
  • Detalles de MFA.
  • Información del dispositivo
  • Información de la aplicación
  • Información de la ubicación.

A continuación, los administradores pueden elegir tomar medidas en estos eventos. Los administradores pueden optar por:

  • Confirmar el peligro del inicio de sesión
  • Confirmar la seguridad del inicio de sesión

Nota:

Identity Protection evalúa el riesgo de todos los flujos de autenticación, si es interactivo o no interactivo. El informe de inicio de sesión de riesgo ahora muestra inicios de sesión interactivos y no interactivos. Use el filtro de "tipo de inicio de sesión" para modificar esta vista.

Detecciones de riesgo

Captura de pantalla del informe de detecciones de riesgos.

El informe de detecciones de riesgo contiene datos que se pueden filtrar hasta los últimos 90 días (tres meses).

Con la información que proporciona el informe de detecciones de riesgo, los administradores pueden buscar lo siguiente:

  • Información sobre cada detección de riesgo, incluido el tipo.
  • Otros riesgos desencadenados al mismo tiempo.
  • Ubicación del intento de inicio de sesión.
  • Vínculo para obtener más detalles desde Microsoft Defender for Cloud Apps.

Los administradores pueden elegir volver al informe de riesgo del usuario o de inicios de sesión para realizar acciones en función de la información recopilada.

Nota:

Nuestro sistema puede detectar que el evento de riesgo que ha contribuido a la puntuación de riesgo del usuario de riesgo era un falso positivo o que se ha corregido el riesgo del usuario con la aplicación de directivas, como al completar una solicitud de MFA o un cambio de contraseña seguro. Por lo tanto, el sistema descartará el estado de riesgo y se mostrará un detalle de riesgo de "La IA confirmó que el inicio de sesión es seguro" y dejará de contribuir al riesgo del usuario.

Marco de investigación

Las organizaciones pueden usar los marcos siguientes para iniciar una investigación sobre cualquier actividad sospechosa. Puede que las investigaciones requieran tener una conversación con el usuario en cuestión, revisar los registros de inicio de sesión o revisar los registros de auditoría por nombrar algunos.

  1. Compruebe los registros y valide si la actividad sospechosa es normal en el caso del usuario determinado.
    1. Consulte las actividades anteriores del usuario, incluidas al menos las siguientes propiedades para ver si son normales para el usuario en cuestión.
      1. Application
      2. Dispositivo: ¿el dispositivo está registrado o es compatible?
      3. Ubicación: ¿puede que el usuario se desplace a otra ubicación o acceda a dispositivos desde varias ubicaciones?
      4. IP address (Dirección IP)
      5. Cadena de agente de usuario
    2. Si tiene acceso a otras herramientas de seguridad como Microsoft Sentinel, compruebe las alertas correspondientes que podrían indicar un problema más grave.
    3. Las organizaciones con acceso a Microsoft 365 Defender pueden seguir un evento de riesgo de usuario a través de otras alertas e incidentes relacionados y la cadena MITRE ATTCK.
      1. Seleccione el usuario en el informe Usuarios de riesgo.
      2. Seleccione los puntos suspensivos (...) en la barra de herramientas y, a continuación, elija Investigar con Microsoft 365 Defender.
  2. Póngase en contacto con el usuario para confirmar si reconoce el inicio de sesión. Los métodos como el correo o Teams pueden estar en peligro.
    1. Compruebe la información que tiene, por ejemplo:
      1. Aplicación
      2. Dispositivo
      3. Location
      4. Dirección IP

Importante

Si sospecha que un atacante puede suplantar al usuario, restablecer su contraseña y realizar MFA, debe bloquear al usuario y revocar todos los tokens de actualización y acceso.

Investigar detecciones de inteligencia sobre amenazas en Microsoft Entra

Para investigar una detección de riesgo de inteligencia sobre amenazas de Microsoft Entra, siga estos pasos:

Si se muestra más información para la detección:

  1. Inicio de sesión desde una dirección IP sospechosa:
    1. Compruebe si la dirección IP muestra un comportamiento sospechoso en su entorno.
    2. Compruebe si la dirección IP genera un gran número de errores para un usuario o un conjunto de usuarios del directorio.
    3. Compruebe si el tráfico de la dirección IP viene de un protocolo o aplicación inesperados, por ejemplo, protocolos heredados Exchange.
    4. Si la dirección IP corresponde a un proveedor de servicios en la nube, descarte que no existen aplicaciones empresariales legítimas que se ejecutan desde la misma dirección IP.
  2. Esta cuenta fue víctima de un ataque de difusión de contraseñas:
    1. Valide que ningún otro usuario del directorio sea objetivo del mismo ataque.
    2. Compruebe si otros usuarios tienen inicios de sesión con patrones atípicos similares que se ven en el inicio de sesión detectado dentro del mismo período de tiempo. Los ataques de difusión de contraseña pueden mostrar patrones inusuales en:
      1. Cadena de agente de usuario
      2. Application
      3. Protocolo
      4. Intervalos de direcciones IP/ASN
      5. Hora y frecuencia de inicios de sesión
  3. Esta detección se desencadenó mediante una regla en tiempo real:
    1. Valide que ningún otro usuario del directorio sea objetivo del mismo ataque. Puede encontrarlo el número TI_RI_#### asignado a la regla.
    2. Las reglas en tiempo real protegen contra ataques nuevos identificados por la inteligencia sobre amenazas de Microsoft. Si varios usuarios del directorio eran destinos del mismo ataque, investigue patrones inusuales en otros atributos del inicio de sesión.

Investigación con Microsoft 365 Defender

Las organizaciones que han implementado Microsoft 365 Defender y Microsoft Defender for Identity obtienen un valor adicional de las señales de Identity Protection. Este valor se presenta en forma de correlación mejorada con otros datos de otras partes de la organización y una investigación y respuesta automatizadas adicionales.

Captura de pantalla que muestra alertas para un usuario de riesgo en el portal de Microsoft 365 Defender.

En Microsoft 365 Defender, los profesionales y administradores de seguridad pueden realizar conexiones a actividades sospechosas desde áreas como:

  • Alertas en Defender for Identity
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Cloud
  • Microsoft Defender for Cloud Apps

Para obtener más información sobre cómo investigar actividades sospechosas mediante Microsoft 365 Defender, consulte los artículos Investigación de recursos en Microsoft Defender for Identity e Investigación de incidentes en Microsoft 365 Defender.

Para más información sobre estas alertas y su estructura, consulte el artículo Descripción de las alertas de seguridad.

Estado de la investigación

Cuando el personal de seguridad investiga los riesgos en Microsoft 365 Defender y Defender for Identity, se devuelven los siguientes estados y motivos a Identity Protection en el portal y las API.

Estado de Microsoft 365 Defender Clasificación de Microsoft 365 Defender Estado de riesgo en Microsoft Entra ID Protection Detalle del riesgo en Microsoft Entra ID Protection
Nuevo Falso positivo Confirmado (seguro) M365DAdminDismissedDetection
Nuevo Verdadero positivo inofensivo Confirmado (seguro) M365DAdminDismissedDetection
Nuevo Verdadero positivo Confirmado (en peligro) M365DAdminDismissedDetection
En curso Sin establecer En riesgo
En curso Falso positivo Confirmado (seguro) M365DAdminDismissedDetection
En curso Verdadero positivo inofensivo Confirmado (seguro) M365DAdminDismissedDetection
En curso Verdadero positivo Confirmado (en peligro) M365DAdminDismissedDetection
Resuelto Sin establecer Descartado M365DAdminDismissedDetection
Resuelto Falso positivo Confirmado (seguro) M365DAdminDismissedDetection
Resuelto Verdadero positivo inofensivo Confirmado (seguro) M365DAdminDismissedDetection
Resuelto Verdadero positivo Corregido M365DAdminDismissedDetection

Pasos siguientes