¿Qué es el riesgo?What is risk?

Las detecciones de riesgo en Azure AD Identity Protection incluyen todas las acciones sospechosas identificadas, relacionadas con las cuentas de usuario en el directorio.Risk detections in Azure AD Identity Protection include any identified suspicious actions related to user accounts in the directory.

Identity Protection proporciona a las organizaciones el acceso a recursos eficaces, para ver y responder rápidamente a estas acciones sospechosas.Identity Protection provides organizations access to powerful resources to see and respond quickly to these suspicious actions.

Información general sobre seguridad que muestra usuarios e inicios de sesión de riesgo

Nota

Identity Protection genera detecciones de riesgo solo cuando se usan las credenciales correctas.Identity Protection generates risk detections only when the correct credentials are used. El hecho de que se usen credenciales incorrectas en un inicio de sesión no pone en peligro las credenciales.If incorrect credentials are used on a sign-in, it does not represent risk of credential compromise.

Tipos de riesgo y detecciónRisk types and detection

Hay dos tipos de riesgo, Usuario e Inicio de sesión y dos tipos de detección o cálculo Tiempo real y Sin conexión.There are two types of risk User and Sign-in and two types of detection or calculation Real-time and Offline.

Es posible que las detecciones en tiempo real no se muestren en los informes durante un tiempo comprendido entre cinco y diez minutos.Real-time detections may not show up in reporting for five to ten minutes. Es posible que las detecciones sin conexión no se muestren en los informes durante un tiempo comprendido entre dos y veinticuatro horas.Offline detections may not show up in reporting for two to twenty-four hours.

Riesgo de usuarioUser risk

Un riesgo de usuario representa la probabilidad de que una identidad o cuenta determinada esté en peligro.A user risk represents the probability that a given identity or account is compromised.

Estos riesgos se calculan sin conexión, usando orígenes de inteligencia sobre amenazas internas y externas de Microsoft, incluidos los investigadores de seguridad, los profesionales de la aplicación de la ley, los equipos de seguridad de Microsoft y otros orígenes de confianza.These risks are calculated offline using Microsoft's internal and external threat intelligence sources including security researchers, law enforcement professionals, security teams at Microsoft, and other trusted sources.

Detección de riesgosRisk detection DescripciónDescription
Credenciales con fugasLeaked credentials Este tipo de detección de riesgo indica que se han filtrado las credenciales válidas del usuario.This risk detection type indicates that the user's valid credentials have been leaked. Cuando los cibercriminales llegan a poner en peligro las contraseñas válidas de usuarios legítimos, es frecuente que las compartan.When cybercriminals compromise valid passwords of legitimate users, they often share those credentials. Normalmente lo hacen publicándolas en la Web oscura, los sitios de pegado, o bien mediante el intercambio o la venta de esas credenciales en el mercado negro.This sharing is typically done by posting publicly on the dark web, paste sites, or by trading and selling the credentials on the black market. Cuando el servicio de credenciales filtradas de Microsoft adquiere las credenciales de usuario de la Web oscura, los sitios de pegado u otros orígenes, se comparan con las credenciales válidas actuales de los usuarios de Azure AD para encontrar coincidencias válidas.When the Microsoft leaked credentials service acquires user credentials from the dark web, paste sites, or other sources, they are checked against Azure AD users' current valid credentials to find valid matches. Para obtener más información sobre las credenciales filtradas, consulte Preguntas frecuentes.For more information about leaked credentials, see Common questions.
Inteligencia de Azure AD sobre amenazasAzure AD threat intelligence Este tipo de detección de riesgo indica una actividad de usuario poco común para el usuario en cuestión o coherente con patrones de ataque conocidos basados en orígenes de inteligencia sobre amenazas internas y externas de Microsoft.This risk detection type indicates user activity that is unusual for the given user or is consistent with known attack patterns based on Microsoft's internal and external threat intelligence sources.

Riesgo de inicio de sesiónSign-in risk

Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada.A sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner.

Estos riesgos se pueden calcular en tiempo real o sin conexión, usando orígenes de inteligencia sobre amenazas internas y externas de Microsoft, incluidos los investigadores de seguridad, los profesionales de la aplicación de la ley, los equipos de seguridad de Microsoft y otros orígenes de confianza.These risks can be calculated in real-time or calculated offline using Microsoft's internal and external threat intelligence sources including security researchers, law enforcement professionals, security teams at Microsoft, and other trusted sources.

Detección de riesgosRisk detection Tipo de detecciónDetection type DescripciónDescription
Dirección IP anónimaAnonymous IP address Tiempo realReal-time Este tipo de detección de riesgos indica inicios de sesión desde una dirección IP anónima (por ejemplo, el explorador Tor o redes VPN anónimas).This risk detection type indicates sign-ins from an anonymous IP address (for example, Tor browser or anonymous VPN). Estas direcciones IP normalmente las usan actores que quieren ocultar su telemetría de inicio de sesión (dirección IP, ubicación, dispositivo, etc.) con fines potencialmente malintencionados.These IP addresses are typically used by actors who want to hide their login telemetry (IP address, location, device, etc.) for potentially malicious intent.
Viaje atípicoAtypical travel Sin conexiónOffline Este tipo de detección de riesgos identifica dos inicios de sesión procedentes de ubicaciones geográficamente distantes, donde al menos una de las ubicaciones puede también ser inusual para el usuario, según su comportamiento anterior.This risk detection type identifies two sign-ins originating from geographically distant locations, where at least one of the locations may also be atypical for the user, given past behavior. Entre otros factores, este algoritmo de aprendizaje automático tiene en cuenta el tiempo entre los dos inicios de sesión y el tiempo que habría necesitado el usuario para viajar de la primera ubicación a la segunda, lo que indica que otro usuario utiliza las mismas credenciales.Among several other factors, this machine learning algorithm takes into account the time between the two sign-ins and the time it would have taken for the user to travel from the first location to the second, indicating that a different user is using the same credentials.

Este algoritmo omite "falsos positivos" obvios que contribuyen a una condición de viaje imposible, como las VPN y las ubicaciones que usan con regularidad otros usuarios de la organización.The algorithm ignores obvious "false positives" contributing to the impossible travel conditions, such as VPNs and locations regularly used by other users in the organization. El sistema tiene un período de aprendizaje inicial de 14 días o 10 inicios de sesión, lo que ocurra primero, durante el cual aprende el comportamiento de inicio de sesión del nuevo usuario.The system has an initial learning period of the earliest of 14 days or 10 logins, during which it learns a new user's sign-in behavior.
Dirección IP vinculada al malwareMalware linked IP address Sin conexiónOffline Este tipo de detección de riesgos indica inicios de sesión desde direcciones IP infectadas con malware, que se sabe que se comunican activamente con un servidor bot.This risk detection type indicates sign-ins from IP addresses infected with malware that is known to actively communicate with a bot server. Esta detección se determina mediante la correlación de direcciones IP del dispositivo del usuario con direcciones IP que han estado en contacto con un servidor bot mientras este último estaba activo.This detection is determined by correlating IP addresses of the user's device against IP addresses that were in contact with a bot server while the bot server was active.
Propiedades de inicio de sesión desconocidasUnfamiliar sign-in properties Tiempo realReal-time Este tipo de detección de riesgos tiene en cuenta el historial de inicio de sesión anterior (dirección IP, latitud/longitud y ASN) para determinar inicios de sesión anómalos. El sistema almacena información acerca de las ubicaciones anteriores que ha utilizado un usuario y considera estas ubicaciones "conocidas".This risk detection type considers past sign-in history (IP, Latitude / Longitude and ASN) to look for anomalous sign-ins. The system stores information about previous locations used by a user, and considers these "familiar" locations. La detección de riesgos se desencadena cuando el inicio de sesión se produce desde una ubicación que no está en la lista de ubicaciones conocidas.The risk detection is triggered when the sign-in occurs from a location that's not already in the list of familiar locations. Los usuarios recién creados estarán en "modo de aprendizaje" durante un período de tiempo, en el que las detecciones de riesgo de las propiedades de inicio de sesión desconocidas estarán desactivadas mientras nuestros algoritmos aprenden el comportamiento del usuario.Newly created users will be in "learning mode" for a period of time in which unfamiliar sign-in properties risk detections will be turned off while our algorithms learn the user's behavior. La duración del modo de aprendizaje es dinámica y depende de cuánto tiempo tarde el algoritmo en recopilar información suficiente sobre los patrones de inicio de sesión del usuario.The learning mode duration is dynamic and depends on how much time it takes the algorithm to gather enough information about the user's sign-in patterns. La duración mínima es de cinco días.The minimum duration is five days. Un usuario puede volver al modo de aprendizaje tras un largo período de inactividad.A user can go back into learning mode after a long period of inactivity. El sistema también ignora los inicios de sesión desde dispositivos conocidos y ubicaciones geográficamente cercanas a una ubicación conocida.The system also ignores sign-ins from familiar devices, and locations that are geographically close to a familiar location.

También se ejecuta esta detección para una autenticación básica o para protocolos heredados.We also run this detection for basic authentication (or legacy protocols). Dado que estos protocolos no tienen propiedades modernas como el identificador de cliente, hay una telemetría limitada para reducir los falsos positivos.Because these protocols do not have modern properties such as client ID, there is limited telemetry to reduce false positives. Se recomienda que los clientes realicen la migración a la autenticación moderna.We recommend our customers to move to modern authentication.
Vulneración de identidad de usuario confirmada por el administradorAdmin confirmed user compromised Sin conexiónOffline Esta detección indica que un administrador ha seleccionado "Confirmar vulneración de la identidad del usuario" en la interfaz de usuario de Usuarios de riesgo o mediante riskyUsers API.This detection indicates an admin has selected 'Confirm user compromised' in the Risky users UI or using riskyUsers API. Para ver qué administrador ha confirmado este usuario comprometido, compruebe el historial de riesgos del usuario (a través de la interfaz de usuario o la API).To see which admin has confirmed this user compromised, check the user's risk history (via UI or API).
Dirección IP malintencionadaMalicious IP address Sin conexiónOffline Esta detección indica el inicio de sesión desde una dirección IP malintencionada.This detection indicates sign-in from a malicious IP address. Una dirección IP se considera malintencionada si se recibe una alta tasa de errores debidos a credenciales no válidas desde la dirección IP u otros orígenes de reputación de IP.An IP address is considered malicious based on high failure rates because of invalid credentials received from the IP address or other IP reputation sources.
Reglas de manipulación sospechosa de la bandeja de entradaSuspicious inbox manipulation rules Sin conexiónOffline Esta detección se debe a Microsoft Cloud App Security (MCAS).This detection is discovered by Microsoft Cloud App Security (MCAS). Esta detección genera un perfil del entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario.This detection profiles your environment and triggers alerts when suspicious rules that delete or move messages or folders are set on a user's inbox. Esta detección puede indicar que la cuenta del usuario está en peligro, que los mensajes se están ocultando intencionadamente y que el buzón se está usando para distribuir correo no deseado o malware en su organización.This detection may indicate that the user's account is compromised, that messages are being intentionally hidden, and that the mailbox is being used to distribute spam or malware in your organization.
Difusión de contraseñaPassword spray Sin conexiónOffline Un ataque de difusión de contraseñas es aquel por el que se ataca a varios nombres de usuario mediante contraseñas comunes, en un único ataque por la fuerza bruta, para obtener acceso no autorizado.A password spray attack is where multiple usernames are attacked using common passwords in a unified brute force manner to gain unauthorized access. Esta detección de riesgo se desencadena cuando se realiza un ataque de difusión de contraseñas.This risk detection is triggered when a password spray attack has been performed.
Viaje imposibleImpossible travel Sin conexiónOffline Esta detección se debe a Microsoft Cloud App Security (MCAS).This detection is discovered by Microsoft Cloud App Security (MCAS). Esta detección identifica dos actividades de usuario (en una o varias sesiones) que se originan desde ubicaciones geográficamente distantes dentro de un período de tiempo menor que el tiempo que habría tardado el usuario para viajar de la primera ubicación a la segunda, lo que indica que otro usuario está usando las mismas credenciales.This detection identifies two user activities (is a single or multiple sessions) originating from geographically distant locations within a time period shorter than the time it would have taken the user to travel from the first location to the second, indicating that a different user is using the same credentials.

Otras detecciones de riesgoOther risk detections

Detección de riesgosRisk detection Tipo de detecciónDetection type DescripciónDescription
Riesgo adicional detectadoAdditional risk detected En tiempo real o sin conexiónReal-time or Offline Esta detección indica que se descubrió una de las detecciones prémium anteriores.This detection indicates that one of the above premium detections was detected. Dado que las detecciones premium solo son visibles para los clientes de Azure AD Premium P2, se denominan "Riesgo adicional detectado" para los clientes sin licencias de Azure AD Premium P2.Since the premium detections are visible only to Azure AD Premium P2 customers, they are titled "additional risk detected" for customers without Azure AD Premium P2 licenses.

Preguntas frecuentesCommon questions

Niveles de riesgoRisk levels

Identity Protection clasifica el riesgo en tres niveles: bajo, medio y alto.Identity Protection categorizes risk into three tiers: low, medium, and high. Al configurar directivas de Identity Protection personalizadas, también puede configurarla para que se desencadene en el nivel Sin riesgo.When configuring custom Identity protection policies, you can also configure it to trigger upon No risk level. Sin riesgo significa que no hay ninguna indicación activa de que la identidad del usuario se ha visto en peligro.No Risk means there is no active indication that the user's identity has been compromised.

Aunque Microsoft no proporciona detalles específicos sobre cómo se calcula el riesgo, diremos que cada nivel aporta una mayor seguridad de que el usuario o el inicio de sesión están en peligro.While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Por ejemplo, cosas como un caso de propiedades de inicio de sesión desconocidas para un usuario podría no ser tan amenazante como la filtración de credenciales para otro usuario.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Sincronización de hash de contraseñaPassword hash synchronization

Las detecciones de riesgos, como las credenciales filtradas y la difusión de contraseñas, requieren la presencia de hashes de contraseña para que se produzca la detección.Risk detections like leaked credentials and password spray require the presence of password hashes for detection to occur. Para obtener más información sobre la sincronización de hash de contraseñas, consulte Implementación de la sincronización de hash de contraseñas con la sincronización de Azure AD Connect.For more information about password hash synchronization, see the article, Implement password hash synchronization with Azure AD Connect sync.

Credenciales con fugasLeaked credentials

¿Dónde busca Microsoft las credenciales filtradas?Where does Microsoft find leaked credentials?

Microsoft busca las credenciales filtradas en una gran variedad de lugares, entre otros:Microsoft finds leaked credentials in a variety of places, including:

  • Los sitios de pegado públicos, como pastebin.com y paste.ca, en los que los infiltrados normalmente publican este material.Public paste sites such as pastebin.com and paste.ca where bad actors typically post such material. Esta ubicación es la parada obligada para la mayoría de los infiltrados en su búsqueda de credenciales robadas.This location is most bad actors' first stop on their hunt to find stolen credentials.
  • Organismos de autoridad judicial.Law enforcement agencies.
  • Otros grupos de Microsoft que investigan la web oscura.Other groups at Microsoft doing dark web research.

¿Por qué no veo ninguna credencial filtrada?Why aren't I seeing any leaked credentials?

Las credenciales filtradas se procesan siempre que Microsoft encuentra un nuevo lote disponible públicamente.Leaked credentials are processed anytime Microsoft finds a new, publicly available batch. Debido a la naturaleza confidencial, las credenciales filtradas se eliminan poco después de su procesamiento.Due to the sensitive nature, the leaked credentials are deleted shortly after processing. Solo se procesarán en el inquilino las nuevas credenciales filtradas que se encuentren después de habilitar la sincronización de hash de contraseñas (PHS).Only new leaked credentials found after you enable password hash synchronization (PHS) will be processed against your tenant. No se comprueban los pares de credenciales detectados anteriormente.Verifying against previously found credential pairs is not performed.

No he encontrado ningún evento de riesgo de credenciales filtradas durante bastante tiempo.I haven't seen any leaked credential risk events for quite some time?

Si no ha detectado ningún evento de riesgo de credenciales filtradas, se debe a los siguientes motivos:If you haven't seen any leaked credential risk events, it's because of the following reasons:

  • No tiene PHS habilitada para el inquilino.You don't have PHS enabled for your tenant.
  • Microsoft no ha encontrado ningún par de credenciales filtradas que coincida con sus usuarios.Microsoft hasn't found any leaked credential pairs that match your users.

¿Con qué frecuencia Microsoft procesa nuevas credenciales?How often does Microsoft process new credentials?

Las credenciales se procesan inmediatamente después de que se han encontrado, normalmente varios lotes al día.Credentials are processed immediately after they have been found, normally in multiple batches per day.

Pasos siguientesNext steps