Operaciones de seguridad de Azure Active Directory para dispositivos

Los dispositivos no se usan normalmente como destino en ataques basados en identidades, pero se pueden usar para satisfacer y engañar los controles de seguridad, o para suplantar a los usuarios. Los dispositivos pueden tener una de las cuatro relaciones con Azure AD:

• No registrado

• Registrado en Azure Active Directory (Azure AD)

• Azure AD joined

• Unido a Azure AD híbrido
  ‎

Los dispositivos registrados y unidos se emiten como token de actualización principal (PRT), que se puede usar como artefacto de autenticación principal y, en algunos casos, como artefacto de autenticación multifactor. Los atacantes pueden intentar registrar sus propios dispositivos, usar PRT en dispositivos legítimos para acceder a datos empresariales, robar tokens basados en PRT de dispositivos de usuario legítimos o encontrar configuraciones incorrectas en controles basados en dispositivos en Azure Active Directory. Con dispositivos unidos a Azure AD híbrido, los administradores inician y controlan el proceso de unión, lo que reduce los métodos de ataque disponibles.

Para más información sobre los métodos de integración de dispositivos, consulte Elección de los métodos de integración en el artículo Planeamiento de la implementación de dispositivos de Azure Active Directory.

Para reducir el riesgo de que los actores no válidos ataquen la infraestructura a través de dispositivos, supervise lo siguiente

• Registro de dispositivos y unión a Azure AD

• Dispositivos no compatibles que acceden a aplicaciones

• Recuperación de claves de BitLocker

• Roles de administrador de dispositivos

• Inicios de sesión en máquinas virtuales

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

• Registros de auditoría de Azure AD

• Registros de inicio de sesión

• Registros de auditoría de Microsoft 365

• Registros de Azure Key Vault

En Azure Portal, puede ver los registros de auditoría de Azure AD y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Azure AD con otras herramientas que permiten una mayor automatización de la supervisión y las alertas:

• Microsoft Sentinel : permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).

• Azure Monitor : permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

• Azure Event Hubs (integrado con un Azure AD)- : los registros de Azure AD se pueden integrar con otras instancias de SIEM, como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

• Microsoft Defender for Cloud Apps : permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

• Protección de identidades de carga de trabajo con la versión preliminar de Identity Protection: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

Gran parte de lo que supervisará y alertará son los efectos de las directivas de acceso condicional. Puede usar el libro Información detallada e informes del acceso condicional para examinar los efectos de una o varias directivas de acceso condicional en los inicios de sesión y los resultados de las directivas, incluido el estado del dispositivo. Este libro le permite ver un resumen de impacto e identificar el impacto durante un período de tiempo específico. También puede usar el libro para investigar los inicios de sesión de un usuario específico.

En el resto de este artículo se describe lo que se recomienda supervisar y alertar, y se organiza por el tipo de amenaza. Cuando hay soluciones previamente creadas y específicas, se establecen vínculos a ellas o se proporcionan ejemplos después de la tabla. De lo contrario, puede crear alertas mediante las herramientas anteriores.

Registros de dispositivos y combinaciones fuera de la directiva

Los dispositivos registrados en Azure AD y unidos a Azure AD poseen tokens de actualización principales (PRT), que son el equivalente de un único factor de autenticación. En ocasiones, estos dispositivos pueden contener notificaciones de autenticación sólida. Para más información sobre cuándo los PRT contienen notificaciones de autenticación segura, vea ¿Qué es un token de actualización principal? Para evitar que los actores no válidos se registren o se unan a dispositivos, es necesaria la autenticación multifactor (MFA) para registrar o unir dispositivos. A continuación, supervise los dispositivos registrados o unidos sin MFA. También tendrá que estar atento a los cambios en la configuración y las directivas de MFA, así como en las directivas de cumplimiento de dispositivos.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Registro de dispositivos o unión completados sin MFA	Media	Registros de inicio de sesión	Actividad: autenticación correcta en el servicio de registro de dispositivos. And No se requiere MFA	Alerta cuando: Cualquier dispositivo registrado o unido sin MFA Plantilla de Azure Sentinel
Cambios en el botón de alternancia de MFA de registro de dispositivos en Azure AD	Alto	Registro de auditoría	Actividad: establecimiento de directivas de registro de dispositivos	Buscar: El botón de alternancia establecido en desactivado. No hay ninguna entrada de registro de auditoría. Programación de comprobaciones periódicas.
Cambios en las directivas de acceso condicional que requieren un dispositivo compatible o unido a un dominio.	Alto	Registro de auditoría	Cambios en las directivas de CA	Alerta cuando: Haya un cambio a cualquier directiva compatible o que requiera unión a un dominio. Haya cambios en ubicaciones de confianza. Se agreguen cuentas o dispositivos a excepciones de directiva de MFA.

Puede crear una alerta que notifique a los administradores adecuados cuando un dispositivo se registre o se una sin MFA mediante Microsoft Sentinel.

Sign-in logs

| where ResourceDisplayName == "Device Registration Service"

| where conditionalAccessStatus == "success"

| where AuthenticationRequirement <> "multiFactorAuthentication"

También puede usar Microsoft Intune para establecer y supervisar las directivas de cumplimiento de dispositivos.

Inicio de sesión de dispositivo no compatible

Es posible que no se pueda bloquear el acceso a todas las aplicaciones de nube y software como servicio con directivas de acceso condicional que requieran dispositivos compatibles.

La administración de dispositivos móviles (MDM) le ayuda a mantener los dispositivos Windows 10 compatibles. Con Windows versión 1809, lanzamos una línea base de seguridad de directivas. Azure Active Directory se puede integrar con MDM para exigir el cumplimiento de dispositivos con las directivas corporativas y puede notificar el estado de cumplimiento de un dispositivo.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Inicios de sesión por parte de dispositivos no compatibles	Alto	Registros de inicio de sesión	DeviceDetail.isCompliant == false	Si requiere el inicio de sesión desde dispositivos compatibles, alerte cuando: se produzca cualquier inicio de sesión por parte de dispositivos no compatibles. se produzca cualquier acceso sin MFA o una ubicación de confianza. Si trabaja para requerir dispositivos, supervise los inicios de sesión sospechosos. Plantilla de Azure Sentinel
Inicios de sesión por parte de dispositivos desconocidos	Bajo	Registros de inicio de sesión	DeviceDetail está vacío Autenticación de factor único Desde una ubicación que no es de confianza	Buscar: se produzca cualquier acceso desde dispositivos fuera de cumplimiento. se produzca cualquier acceso sin MFA o una ubicación de confianza.

Uso de LogAnalytics para consultar

Inicios de sesión por parte de dispositivos no compatibles

SigninLogs

| where DeviceDetail.isCompliant == false

| where conditionalAccessStatus == "success"

Inicios de sesión por parte de dispositivos desconocidos

SigninLogs
| where isempty(DeviceDetail.deviceId)

| where AuthenticationRequirement == "singleFactorAuthentication"

| where ResultType == "0"

| where NetworkLocationDetails == "[]"

Dispositivos obsoletos

Los dispositivos obsoletos incluyen dispositivos que no han iniciado sesión durante un período de tiempo especificado. Los dispositivos pueden quedar obsoletos cuando un usuario obtiene un nuevo dispositivo o pierde un dispositivo, o cuando un dispositivo unido a Azure AD se borra o se vuelve a aprovisionar. Los dispositivos también pueden permanecer registrados o unidos cuando el usuario ya no está asociado al inquilino. Los dispositivos obsoletos deben quitarse para que no se puedan usar sus tokens de actualización principales (PRT).

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Fecha del último inicio de sesión	Bajo	Graph API	approximateLastSignInDateTime	Use Graph API o PowerShell para identificar y quitar dispositivos obsoletos.

Recuperación de claves de BitLocker

Los atacantes que han comprometido el dispositivo de un usuario pueden recuperar las claves de BitLocker en Azure AD. No es habitual que los usuarios recuperen claves y deben supervisarse e investigarse.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Recuperación de claves	Media	Registros de auditoría	OperationName == "Read BitLocker key"	Buscar recuperación de claves otro comportamiento anómalo por parte de los usuarios que recuperan claves.

En LogAnalytics, cree una consulta como

AuditLogs

| where OperationName == "Read BitLocker key" 

Roles de administrador de dispositivos

Los administradores globales y los administradores de dispositivos en la nube obtienen automáticamente derechos de administrador local en todos los dispositivos unidos a Azure AD. Es importante supervisar quién tiene estos derechos para mantener su entorno seguro.

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Usuarios agregados a roles de administrador global o de dispositivo	Alto	Registros de auditoría	Tipo de actividad = Agregar miembro a rol.	Buscar: nuevos usuarios agregados a estos roles de Azure AD. Comportamiento anómalo posterior por máquinas o usuarios.

Inicios de sesión que no son de Azure AD en máquinas virtuales

Los inicios de sesión en máquinas virtuales (VM) de Windows o LINUX deben supervisarse para los inicios de sesión de cuentas que no sean cuentas de Azure AD.

Inicio de sesión de Azure AD para LINUX

El inicio de sesión de Azure AD para LINUX permite a las organizaciones iniciar sesión en sus máquinas virtuales LINUX de Azure mediante cuentas de Azure AD a través del protocolo de shell seguro (SSH).

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Inicio de sesión de una cuenta que no es de Azure AD, especialmente a través de SSH	Alto	Registros de autenticación local	Ubuntu: supervisar /var/log/auth.log para el uso de SSH RedHat: supervisar /var/log/sssd/ para el uso de SSH	Buscar: entradas en las que las cuentas que no son de Azure AD se conectan correctamente a las máquinas virtuales. Consulte el ejemplo siguiente.

Ejemplo de Ubuntu:

9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: Versión: 1.0.015570001; usuario: localusertest01

9 de mayo 23:49:39 ubuntu1804 aad_certhandler[3915]: El usuario "localusertest01" no es un usuario de AAD; devolviendo resultado vacío.

9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: Versión: 1.0.015570001; usuario: localusertest01

9 de mayo 23:49:43 ubuntu1804 aad_certhandler[3916]: El usuario "localusertest01" no es un usuario de AAD; devolviendo resultado vacío.

9 de mayo 23:49:43 ubuntu1804 sshd[3909]: Aceptado públicamente para localusertest01 desde el puerto 192.168.0.15 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ

9 de mayo 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): sesión abierta para el usuario localusertest01 (uid=0).

Puede establecer una directiva para los inicios de sesión de máquinas virtuales LINUX y detectar y marcar las máquinas virtuales Linux que tengan cuentas locales no aprobadas agregadas. Para más información, consulte Uso de Azure Policy para garantizar estándares y evaluar el cumplimiento.

Inicios de sesión de Azure AD para Windows Server

El inicio de sesión de Azure AD para Windows permite a su organización iniciar sesión en las máquinas virtuales Windows 2019+ de Azure mediante cuentas de Azure AD a través del protocolo de escritorio remoto (RDP).

Elementos para supervisar	Nivel de riesgo	Where	Filtro o subfiltro	Notas
Inicio de sesión de una cuenta que no es de Azure AD, especialmente a través de RDP	Alto	Registros de eventos de Windows Server	Inicio de sesión interactivo en máquina virtual Windows	Evento 528, tipo de inicio de sesión 10 (RemoteInteractive). Muestra cuándo un usuario inicia sesión a través de Terminal Services o Escritorio remoto.

Pasos siguientes

Consulte estos artículos de la guía de operaciones de seguridad adicionales:

Información general de operaciones de seguridad de Azure AD

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para Privileged Identity Management

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura