¿Qué es Identity Protection?What is Identity Protection?

Identity Protection es una herramienta que permite a las organizaciones realizar tres tareas clave:Identity Protection is a tool that allows organizations to accomplish three key tasks:

  • Automatizar la detección y corrección de riesgos basados en la identidad.Automate the detection and remediation of identity-based risks.
  • Investigar los riesgos de usar los datos en el portal.Investigate risks using data in the portal.
  • Exportar los datos de detección de riesgos a utilidades de terceros para su posterior análisis.Export risk detection data to third-party utilities for further analysis.

Identity Protection usa los aprendizajes que Microsoft ha adquirido de su puesto en organizaciones con Azure AD, el espacio de consumidor con cuentas de Microsoft y juegos con Xbox para proteger a los usuarios.Identity Protection uses the learnings Microsoft has acquired from their position in organizations with Azure AD, the consumer space with Microsoft Accounts, and in gaming with Xbox to protect your users. Microsoft analiza 6,5 billones de señales al día para identificar y proteger a los clientes frente a amenazas.Microsoft analyses 6.5 trillion signals per day to identify and protect customers from threats.

Las señales que genera y con las que se alimenta Identity Protection se pueden insertar en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de información de seguridad y administración de eventos (SIEM) para realizar una investigación más detallada en función de las directivas aplicadas.The signals generated by and fed to Identity Protection, can be further fed into tools like Conditional Access to make access decisions, or fed back to a security information and event management (SIEM) tool for further investigation based on your organization's enforced policies.

¿Por qué es importante la automatización?Why is automation important?

En su entrada de blog de octubre de 2018, Alex Weinert, que dirige al equipo de protección y seguridad de la identidad de Microsoft, explica por qué la automatización es tan importante cuando se trabaja con el volumen de eventos:In his blog post in October of 2018 Alex Weinert, who leads Microsoft's Identity Security and Protection team, explains why automation is so important when dealing with the volume of events:

Cada día, nuestros sistemas de aprendizaje automático y heurística proporcionan puntuaciones de riesgo para 18 mil millones de intentos de inicio de sesión para más de 800 millones de cuentas distintas, 300 millones de los cuales proceden claramente de adversarios (entidades como actores criminales o hackers).Each day, our machine learning and heuristic systems provide risk scores for 18 billion login attempts for over 800 million distinct accounts, 300 million of which are discernibly done by adversaries (entities like: criminal actors, hackers).

El año pasado, en Ignite, hablé sobre los tres ataques principales a nuestros sistemas de identidad.At Ignite last year, I spoke about the top 3 attacks on our identity systems. Este es el volumen reciente de estos ataquesHere is the recent volume of these attacks

  • Reproducción de infracciones: 4600 millones detectados en mayo de 2018Breach replay: 4.6BN attacks detected in May 2018
  • Difusión de contraseña: 350 000 en abril de 2018Password spray: 350k in April 2018
  • Suplantación de identidad (phishing) : Es difícil de cuantificar con precisión, pero en marzo de 2018, detectamos 23 millones de eventos de riesgo, muchos de los cuales estaban relacionados con la suplantación de identidad (phishing)Phishing: This is hard to quantify exactly, but we saw 23M risk events in March 2018, many of which are phish related

Detección y corrección de riesgosRisk detection and remediation

Identity Protection identifica los riesgos de las siguientes clasificaciones:Identity Protection identifies risks in the following classifications:

Tipo de detección de riesgoRisk detection type DescripciónDescription
Viaje atípicoAtypical travel Iniciar sesión desde una ubicación atípica, en función de los inicios de sesión del usuario recientes.Sign in from an atypical location based on the user's recent sign-ins.
Dirección IP anónimaAnonymous IP address Iniciar sesión desde una dirección IP anónima (por ejemplo: el explorador Tor o redes VPN anonimizadoras).Sign in from an anonymous IP address (for example: Tor browser, anonymizer VPNs).
Propiedades de inicio de sesión desconocidasUnfamiliar sign-in properties Iniciar sesión con propiedades que no hemos observado recientemente en el usuario en cuestión.Sign in with properties we've not seen recently for the given user.
Dirección IP vinculada al malwareMalware linked IP address Se inicia sesión desde una dirección IP vinculada al malware.Sign in from a malware linked IP address.
Filtración de credencialesLeaked Credentials Indica que se han filtrado las credenciales válidas del usuario.Indicates that the user's valid credentials have been leaked.
Difusión de contraseñaPassword spray Indica que se está realizando un ataque de varios nombres de usuario mediante contraseñas comunes de manera unificada.Indicates that multiple usernames are being attacked using common passwords in a unified, brute-force manner.
Inteligencia de Azure AD sobre amenazasAzure AD threat intelligence Los orígenes de inteligencia sobre amenazas internas y externas de Microsoft han identificado un patrón de ataque conocido.Microsoft's internal and external threat intelligence sources have identified a known attack pattern.

Puede encontrar más información sobre estos riesgos y cómo/cuándo se calculan en el artículo Qué es el riesgo.More detail on these risks and how/when they are calculated can be found in the article, What is risk.

Las señales de riesgo pueden desencadenar esfuerzos de corrección, como exigir a los usuarios que usen Azure Multi-Factor Authentication, que restablezcan su contraseña mediante el autoservicio de restablecimiento de contraseña o que apliquen bloqueos hasta que un administrador tome medidas.The risk signals can trigger remediation efforts such as requiring users to: perform Azure Multi-Factor Authentication, reset their password using self-service password reset, or blocking until an administrator takes action.

Investigación del riesgoRisk investigation

Los administradores pueden revisar las detecciones y realizar acciones manuales sobre ellas si es necesario.Administrators can review detections and take manual action on them if needed. Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:There are three key reports that administrators use for investigations in Identity Protection:

  • Usuarios de riesgoRisky users
  • Inicios de sesión no segurosRisky sign-ins
  • Detecciones de riesgoRisk detections

Puede encontrar más información en el artículo Cómo investigar los riesgos.More information can be found in the article, How To: Investigate risk.

Niveles de riesgoRisk levels

Identity Protection clasifica el riesgo en tres niveles: bajo, medio y alto.Identity Protection categorizes risk into three tiers: low, medium, and high.

Aunque Microsoft no proporciona detalles específicos sobre cómo se calcula el riesgo, diremos que cada nivel aporta una mayor seguridad de que el usuario o el inicio de sesión están en peligro.While Microsoft does not provide specific details about how risk is calculated, we will say that each level brings higher confidence that the user or sign-in is compromised. Por ejemplo, cosas como un caso de propiedades de inicio de sesión desconocidas para un usuario podría no ser tan amenazante como la filtración de credenciales para otro usuario.For example, something like one instance of unfamiliar sign-in properties for a user might not be as threatening as leaked credentials for another user.

Exportación de datos de riesgoExporting risk data

Los datos de Identity Protection se pueden exportar a otras herramientas para su archivo y posterior investigación y correlación.Data from Identity Protection can be exported to other tools for archive and further investigation and correlation. Las API basadas en Microsoft Graph permiten a las organizaciones recopilar estos datos para su posterior procesamiento en una herramienta como su SIEM.The Microsoft Graph based APIs allow organizations to collect this data for further processing in a tool such as their SIEM. Puede encontrar información sobre cómo acceder a la API de Identity Protection en el artículo Introducción a Azure Active Directory Identity Protection y Microsoft GraphInformation about how to access the Identity Protection API can be found in the article, Get started with Azure Active Directory Identity Protection and Microsoft Graph

Puede encontrar información sobre la integración de información de Identity Protection con Azure Sentinel en el artículo Conectar datos de Azure AD Identity Protection.Information about integrating Identity Protection information with Azure Sentinel can be found in the article, Connect data from Azure AD Identity Protection.

PermisosPermissions

Identity Protection requiere que los usuarios tengan el rol Lector de seguridad, Operador de seguridad, Administrador de seguridad, Lector global o Administrador global para poder acceder.Identity Protection requires users be a Security Reader, Security Operator, Security Administrator, Global Reader, or Global Administrator in order to access.

RoleRole Puede hacerCan do No se puede hacerCan't do
Administrador globalGlobal administrator Acceso completo a Identity ProtectionFull access to Identity Protection
Administrador de seguridadSecurity administrator Acceso completo a Identity ProtectionFull access to Identity Protection Restablecer la contraseña de un usuarioReset password for a user
Operador de seguridadSecurity operator Ver todos los informes de Identity Protection y la hoja de información generalView all Identity Protection reports and Overview blade

Descartar el riesgo del usuario, confirmar el inicio de sesión seguro, confirmar el compromisoDismiss user risk, confirm safe sign-in, confirm compromise
Configurar o cambiar directivasConfigure or change policies

Restablecer la contraseña de un usuarioReset password for a user

Configurar alertasConfigure alerts
Lector de seguridadSecurity reader Ver todos los informes de Identity Protection y la hoja de información generalView all Identity Protection reports and Overview blade Configurar o cambiar directivasConfigure or change policies

Restablecer la contraseña de un usuarioReset password for a user

Configurar alertasConfigure alerts

Enviar comentarios sobre las deteccionesGive feedback on detections

Actualmente, el rol de operador de seguridad no puede acceder al informe de inicios de sesión de riesgo.Currently, the security operator role cannot access the Risky sign-ins report.

Los administradores de acceso condicional también pueden crear directivas que representen el riesgo de inicio de sesión como una condición.Conditional Access administrators can also create policies that factor in sign-in risk as a condition. Obtenga más información en el artículo Acceso condicional: Condiciones.Find more information in the article Conditional Access: Conditions.

Requisitos de licenciaLicense requirements

Necesita una licencia de Azure AD Premium P2 para usar esta característica.Using this feature requires an Azure AD Premium P2 license. Para obtener la licencia correcta para sus requisitos, consulte la  Comparación de las características con disponibilidad general de las ediciones Gratis, para aplicaciones de Office 365 y Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Office 365 Apps, and Premium editions.

CapacidadCapability DetallesDetails Aplicaciones de Azure AD Free y Microsoft 365Azure AD Free / Microsoft 365 Apps Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
Directivas de riesgoRisk policies Directiva de riesgo de usuario (mediante Identity Protection)User risk policy (via Identity Protection) NoNo NoNo Yes
Directivas de riesgoRisk policies Directiva de riesgo de inicio de sesión (mediante Identity Protection o acceso condicional)Sign-in risk policy (via Identity Protection or Conditional Access) NoNo NoNo Yes
Informes de seguridadSecurity reports Información generalOverview NoNo NoNo Yes
Informes de seguridadSecurity reports Usuarios de riesgoRisky users Información limitadaLimited Information Información limitadaLimited Information Acceso totalFull access
Informes de seguridadSecurity reports Inicios de sesión no segurosRisky sign-ins Información limitadaLimited Information Información limitadaLimited Information Acceso totalFull access
Informes de seguridadSecurity reports Detecciones de riesgoRisk detections NoNo Información limitadaLimited Information Acceso totalFull access
NotificacionesNotifications Alertas detectadas sobre usuarios en riesgoUsers at risk detected alerts NoNo NoNo Yes
NotificacionesNotifications Resumen semanalWeekly digest NoNo NoNo Yes
Directiva de registro de MFAMFA registration policy NoNo NoNo Yes

Puede encontrar más información sobre estos informes completos en el artículo Procedimiento: investigar los riesgos.More information on these rich reports can be found in the article, How To: Investigate risk.

Pasos siguientesNext steps