Simulación de detecciones de riesgo en Identity Protection

Puede que los administradores quieran simular riesgo en su entorno para realizar las siguientes acciones:

  • Rellenar los datos en el entorno de Identity Protection mediante la simulación de puntos vulnerables y detecciones de riesgos
  • Configurar directivas de acceso condicional en función del riesgo y probar el impacto de estas directivas

En este artículo se indican los pasos para simular los siguientes tipos de detecciones de riesgos:

  • Dirección IP anónima (fácil)
  • Propiedades de inicio de sesión desconocidas (moderado)
  • Viaje atípico (difícil)

Otras detecciones de riesgos no se pueden simular de forma segura.

Puede encontrar más información sobre cada detección de riesgos en el artículo ¿Qué es el riesgo?

Dirección IP anónima

Para completar el procedimiento siguiente, necesitará:

  • Tor Browser para simular direcciones IP anónimas. Es posible que necesite usar una máquina virtual si su organización restringe el uso de Tor Browser.
  • Todavía no hay ninguna cuenta de prueba registrada para Azure AD Multi-Factor Authentication.

Para simular un inicio de sesión desde una IP anónima, realice los siguientes pasos:

  1. Mediante Tor Browser, vaya a https://myapps.microsoft.com.
  2. Escriba las credenciales de la cuenta que desee que aparezcan en el informe Inicios de sesión desde direcciones IP anónimas .

El inicio de sesión se mostrará en el panel de Identity Protection en un plazo máximo de 10 o 15 minutos.

Propiedades de inicio de sesión desconocidas

Para simular ubicaciones desconocidas, debe iniciar sesión desde una ubicación y un dispositivo desde los que no se haya iniciado sesión en esa cuenta de prueba antes.

El siguiente procedimiento usa:

  • Una conexión VPN recién creada, para simular la nueva ubicación.
  • Una máquina virtual recién creada, para simular un dispositivo nuevo.

Para completar el procedimiento siguiente, necesitará una cuenta de usuario con:

  • Al menos un historial de inicio de sesión de 30 días.
  • Azure AD Multi-Factor Authentication habilitada.

Para simular un inicio de sesión desde una ubicación desconocida, realice los siguientes pasos:

  1. Al iniciar sesión con su cuenta de prueba, no supere el desafío de Multi-Factor Authentication (MFA).
  2. Mediante la VPN nueva, vaya a https://myapps.microsoft.com y escriba las credenciales de la cuenta de prueba.

El inicio de sesión se mostrará en el panel de Identity Protection en un plazo máximo de 10 o 15 minutos.

Viaje atípico

Simular la condición de viaje atípico es complicado porque el algoritmo usa el aprendizaje automático para descartar falsos positivos, como un viaje atípico desde dispositivos conocidos o inicios de sesión de VPN usadas por otros usuarios del directorio. Además, el algoritmo requiere un historial de inicios de sesión de 14 días y 10 inicios de sesión del usuario antes de empezar a generar detecciones de riesgos. Debido a los complejos modelos de aprendizaje automático y a las reglas anteriores, es probable que los pasos siguientes no den lugar a una detección de riesgos. Puede replicar estos pasos para varias cuentas de Azure AD para simular esta detección.

Para simular una detección de riesgo de viaje atípico, realice los pasos siguientes:

  1. Use su explorador habitual para ir a https://myapps.microsoft.com.
  2. Escriba las credenciales de la cuenta para la que desea generar una detección de riesgos de viaje atípico.
  3. Cambie el agente de usuario. Puede cambiar el agente de usuario en Microsoft Edge desde las Herramientas de desarrollo (F12).
  4. Cambie la dirección IP. Puede cambiar la dirección IP mediante una VPN, un complemento de Tor, o iniciando una nueva máquina virtual en Azure en otro centro de datos.
  5. Inicie sesión en https://myapps.microsoft.com con las mismas credenciales que antes y pocos minutos después del inicio de sesión anterior.

El inicio de sesión se mostrará en el panel de Identity Protection entre 2 y 4 horas después.

Prueba de las directivas de riesgo

En esta sección se proporcionan los pasos necesarios para probar las directivas de riesgo de usuario y de inicio de sesión creadas en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Directiva de riesgo de usuario

Para probar una directiva de seguridad de riesgo del usuario, realice los pasos siguientes:

  1. Acceda a Azure Portal.
  2. Vaya a Azure Active Directory > Seguridad > Identity Protection > Información general.
  3. Seleccione Configurar directiva de riesgo de usuario.
    1. En Asignaciones
      1. Usuarios: elija Todos los usuarios o Seleccionar individuos y grupos si limita el lanzamiento.
        1. Opcionalmente, puede optar por excluir usuarios de la directiva.
      2. Condiciones - Riesgo de usuario: la recomendación de Microsoft es establecer esta opción en Alto.
    2. En Controles
      1. Acceso: la recomendación de Microsoft es Permitir el acceso y Requerir cambio de contraseña.
    3. Aplicar directiva - Desactivado
    4. Guardar: esta acción le devolverá a la página Información general.
  4. Eleve el riesgo del usuario de una cuenta de prueba simulando, por ejemplo, una de las detecciones de riesgos varias veces.
  5. Espere unos minutos y, después, compruebe que el riesgo se ha elevado para el usuario. De lo contrario, simule más detecciones de riesgos para el usuario.
  6. Vuelva a la directiva de riesgo y establezca Aplicar directiva en Activado y guarde el cambio de directiva.
  7. Ahora puede probar el acceso condicional basado en riesgos del usuario mediante un inicio de sesión con un usuario con un nivel de riesgo elevado.

Directiva de seguridad de riesgo de inicio de sesión

Para probar la directiva de riesgo de inicio de sesión, realice los pasos siguientes:

  1. Acceda a Azure Portal.
  2. Vaya a Azure Active Directory > Seguridad > Identity Protection > Información general.
  3. Seleccione Configurar directiva de riesgo de inicio de sesión.
    1. En Asignaciones
      1. Usuarios: elija Todos los usuarios o Seleccionar individuos y grupos si limita el lanzamiento.
        1. Opcionalmente, puede optar por excluir usuarios de la directiva.
      2. Condiciones - Riesgo de inicio de sesión: la recomendación de Microsoft es establecer esta opción en Medio y superior.
    2. En Controles
      1. Acceso: la recomendación de Microsoft es Permitir el acceso y Requerir autenticación multifactor.
    3. Aplicar directiva - Activado
    4. Guardar: esta acción le devolverá a la página Información general.
  4. Ahora puede probar el acceso condicional basado en riesgo de inicio de sesión mediante el inicio de sesión con una sesión de riesgo (por ejemplo, mediante Tor Browser).

Pasos siguientes