¿Qué es Identity Protection?

Identity Protection es una herramienta que permite a las organizaciones realizar tres tareas clave:

Identity Protection usa los aprendizajes que Microsoft ha adquirido de su puesto en organizaciones con Azure AD, el espacio de consumidor con cuentas de Microsoft y juegos con Xbox para proteger a los usuarios. Microsoft analiza 6,5 billones de señales al día para identificar y proteger a los clientes frente a amenazas.

Las señales que genera y con las que se alimenta Identity Protection se pueden insertar en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de información de seguridad y administración de eventos (SIEM) para realizar una investigación más detallada en función de las directivas aplicadas.

¿Por qué es importante la automatización?

En su entrada de blog de octubre de 2018, Alex Weinert, que dirige al equipo de protección y seguridad de la identidad de Microsoft, explica por qué la automatización es tan importante cuando se trabaja con el volumen de eventos:

Cada día, nuestros sistemas de aprendizaje automático y heurística proporcionan puntuaciones de riesgo para 18 mil millones de intentos de inicio de sesión para más de 800 millones de cuentas distintas, 300 millones de los cuales proceden claramente de adversarios (entidades como actores criminales o hackers).

El año pasado, en Ignite, hablé sobre los tres ataques principales a nuestros sistemas de identidad. Este es el volumen reciente de estos ataques

  • Reproducción de infracciones: 4600 millones detectados en mayo de 2018
  • Difusión de contraseña: 350 000 en abril de 2018
  • Suplantación de identidad (phishing) : Es difícil de cuantificar con precisión, pero en marzo de 2018, detectamos 23 millones de eventos de riesgo, muchos de los cuales estaban relacionados con la suplantación de identidad (phishing)

Detección y corrección de riesgos

Identity Protection identifica riesgos de muchos tipos, entre los que se incluyen:

  • Uso de una dirección IP anónima
  • Viaje atípico
  • Dirección IP vinculada al malware
  • Propiedades de inicio de sesión desconocidas
  • Credenciales con fugas
  • Difusión de contraseña
  • Y mucho más...

Puede encontrar más información sobre estos y otros riesgos, y cómo y cuándo se calculan, en el artículo ¿Qué es el riesgo?.

Las señales de riesgo pueden desencadenar esfuerzos de corrección, como exigir a los usuarios que usen Azure AD Multi-Factor Authentication, que restablezcan su contraseña mediante el autoservicio de restablecimiento de contraseña o que apliquen bloqueos hasta que un administrador tome medidas.

Investigación del riesgo

Los administradores pueden revisar las detecciones y realizar acciones manuales sobre ellas si es necesario. Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:

  • Usuarios de riesgo
  • Inicios de sesión no seguros
  • Detecciones de riesgo

Puede encontrar más información en el artículo Cómo investigar los riesgos.

Niveles de riesgo

Identity Protection clasifica el riesgo en tres niveles: bajo, medio y alto.

Aunque Microsoft no proporciona detalles específicos sobre cómo se calcula el riesgo, diremos que cada nivel aporta una mayor seguridad de que el usuario o el inicio de sesión están en peligro. Por ejemplo, cosas como un caso de propiedades de inicio de sesión desconocidas para un usuario podría no ser tan amenazante como la filtración de credenciales para otro usuario.

Exportación de datos de riesgo

Los datos de Identity Protection se pueden exportar a otras herramientas para su archivo y posterior investigación y correlación. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM. Puede encontrar información sobre cómo acceder a la API de Identity Protection en el artículo Introducción a Azure Active Directory Identity Protection y Microsoft Graph

Puede encontrar información sobre la integración de información de Identity Protection con Azure Sentinel en el artículo Conectar datos de Azure AD Identity Protection.

Permisos

Identity Protection requiere que los usuarios tengan el rol Lector de seguridad, Operador de seguridad, Administrador de seguridad, Lector global o Administrador global para poder acceder.

Role Puede hacer No se puede hacer
Administrador global Acceso completo a Identity Protection
Administrador de seguridad Acceso completo a Identity Protection Restablecer la contraseña de un usuario
Operador de seguridad Ver todos los informes de Identity Protection y la hoja de información general

Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromiso
Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas
Lector de seguridad Ver todos los informes de Identity Protection y la hoja de información general Configurar o cambiar directivas

Restablecer la contraseña de un usuario

Configurar alertas

Enviar comentarios sobre las detecciones

Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.

Los administradores de acceso condicional también pueden crear directivas que representen el riesgo de inicio de sesión como una condición. Obtenga más información en el artículo Acceso condicional: Condiciones.

Requisitos de licencia

Necesita una licencia de Azure AD Premium P2 para usar esta característica. Para obtener la licencia correcta de acuerdo con sus requisitos, consulte la comparación de características con disponibilidad general de las siguientes ediciones: Gratis, Aplicaciones de Office 365 y Premium.

Capacidad Detalles Aplicaciones de Azure AD Free y Microsoft 365 Azure AD Premium P1 Azure AD Premium P2
Directivas de riesgo Directiva de riesgo de usuario (mediante Identity Protection) No No
Directivas de riesgo Directiva de riesgo de inicio de sesión (mediante Identity Protection o acceso condicional) No No
Informes de seguridad Información general No No
Informes de seguridad Usuarios de riesgo Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. Acceso total
Informes de seguridad Inicios de sesión no seguros Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. Acceso total
Informes de seguridad Detecciones de riesgo No Información limitada. No hay ningún cajón de detalles. Acceso total
Notificaciones Alertas detectadas sobre usuarios en riesgo No No
Notificaciones Resumen semanal No No
Directiva de registro de MFA No No

Puede encontrar más información sobre estos informes completos en el artículo Procedimiento: investigar los riesgos.

Pasos siguientes