Guía de alertas de la Administración de permisos de Microsoft Entra

Las alertas son esenciales para ayudar a resolver problemas de permisos. Las alertas permiten a su organización adoptar un enfoque proactivo para administrar identidades y su acceso a los recursos.

Use Administración de permisos de Entra de Microsoft para configurar alertas para supervisar continuamente el entorno en escenarios como cuentas sobreprivilegadas e identidades inactivas. También puede notificarle posibles amenazas, interrupciones del servicio y uso anómalo de permisos.

Las alertas de administración de permisos van a los usuarios suscritos por correo electrónico y tienen vistas de resumen: la alerta desencadenada, el sistema de autorización en cuestión y el número de identidades, tareas y recursos implicados en la alerta. Vea alertas en Administración de permisos para obtener información más detallada sobre los desencadenadores.

Nota:

Las alertas de Administración de permisos no son en tiempo real; se basan en las actualizaciones del registro de actividad del producto, por lo que puede haber un retraso entre la actividad y la alerta.

Hay cuatro tipos de alertas para configurar en Administración de permisos de Entra de Microsoft:

• Statistical anomaly (Anomalía estadística)
• Rule-based anomaly (Anomalía basada en reglas)
• Permission analytics (Análisis de permisos)
• Actividad

Alertas de anomalías estadísticas

Las alertas de anomalías estadísticas usan las funcionalidades de inteligencia artificial (IA) y aprendizaje automático (ML) de Administración de permisos de Microsoft Entra. En función de la información previa del registro de actividad, la administración de permisos clasifica y determina el comportamiento típico de cada identidad. Seleccione entre alertas preconfiguradas para actividades inusuales o sospechosas en su entorno. Por ejemplo, puede recibir una notificación cuando una identidad realiza un gran número de tareas o cuando una identidad realiza tareas en una hora inusual del día.

Las alertas de anomalías estadísticas son útiles para la detección de amenazas, ya que una actividad inusual en su entorno puede ser un signo de una cuenta en peligro. Use estas alertas para detectar posibles interrupciones del servicio. Las seis alertas de anomalías estadísticas preconfiguradas son:

• Identidad realizó un gran número de tareas: use esta alerta para la detección de amenazas. Las identidades que realizan un número normalmente elevado de tareas pueden ser una indicación de peligro.
• Identidad realizó un número bajo de tareas: esta alerta es útil para detectar posibles interrupciones del servicio, especialmente de las cuentas de equipo. Las identidades que realizan un número inusualmente bajo de tareas pueden ser una indicación de interrupciones repentinas o problemas de permisos.
• Identidad realizó tareas con varios patrones inusuales: use esta alerta para la detección de amenazas. Las identidades con varios patrones de tareas inusuales pueden ser una indicación de una cuenta en peligro.
• Identidad realizó tareas con resultados inusuales: esta alerta es útil para detectar posibles interrupciones del servicio. Las identidades que realizan tareas con resultados inusuales, como las tareas que producen errores, pueden indicar interrupciones repentinas o problemas de permisos.
• Identidad realizó tareas con tiempo inusual: esta alerta es para la detección de amenazas. Las identidades que realizan tareas fuera de sus horas típicas pueden indicar una cuenta en peligro o un usuario que accede a los recursos desde una ubicación inusual.
• Identidad realizó tareas con tipos inusuales: esta alerta es para la detección de amenazas. Las identidades que realizan tareas repentinamente no suelen realizar podrían indicar una cuenta en peligro.

Para obtener más información sobre estas alertas preconfiguradas, consulte crear y ver alertas de anomalías estadísticas y desencadenadores de alertas.

Respuesta a alertas de anomalías estadísticas

Una alerta estadística de anomalías podría indicar un posible incidente de seguridad o una interrupción del servicio. No significa necesariamente que se haya producido un incidente. Hay casos de uso válidos que desencadenan estas alertas. Por ejemplo, un empleado en un viaje de negocios fuera de país, en una nueva zona horaria, puede desencadenar una alerta de Identidad realizó tareas con un tiempo inusual.

En general, se recomienda investigar la identidad para determinar si se necesita una acción. Use la pestaña Auditar en Administración de permisos o analice la información de registro reciente.

Alertas de anomalías basadas en reglas

Las alertas de anomalías basadas en reglas están preconfiguradas. Úselas para la notificación de la actividad inicial en su entorno. Por ejemplo, cree alertas para el acceso inicial a los recursos o cuando los usuarios realicen tareas por primera vez.

Use alertas de anomalías basadas en reglas para sistemas de autorización de producción altamente confidenciales o identidades que quiera supervisar de cerca.

Hay tres alertas de anomalías basadas en reglas preconfiguradas:

• Cualquier recurso al que se accede por primera vez: use este desencadenador para recibir una notificación de los nuevos recursos activos en un sistema de autorización. Por ejemplo, un usuario crea una nueva instancia de Microsoft Azure Blob Storage en una suscripción sin sus conocimientos. El desencadenador le avisa cuando se accede al nuevo Blob Storage por primera vez.
• Identidad realiza una tarea determinada por primera vez: use este desencadenador para detectar el desenlace de ámbito o un aumento de los permisos de los usuarios. Por ejemplo, si un usuario realiza tareas diferentes por primera vez, es posible que la cuenta esté en peligro, o quizás el usuario haya tenido recientemente un cambio en los permisos que les permita realizar nuevas tareas.
• Identidad realiza una tarea por primera vez: use este desencadenador de alerta para los nuevos usuarios activos de una suscripción o para detectar cuentas inactivas en peligro. Por ejemplo, se aprovisiona un nuevo usuario en una suscripción de Azure. Este desencadenador le alerta cuando el nuevo usuario realiza su primera tarea.

Nota:

Identidad realiza una tarea determinada por primera vez envía una notificación cuando un usuario realiza una tarea única por primera vez. Identidad realiza una tarea por primera vez envía una notificación cuando una identidad realiza su primera tarea dentro de un período de tiempo especificado.

Para más información, consulte crear y ver alertas de anomalías basadas en reglas y desencadenadores de alertas.

Respuesta a alertas de anomalías basadas en reglas

Las alertas de anomalías basadas en reglas pueden generar muchas alertas. Por lo tanto, se recomienda usarlos para sistemas de autorización altamente confidenciales.

Cuando reciba una alerta de anomalía basada en reglas, investigue la identidad o el recurso para determinar si se necesita una acción. Use la pestaña Auditar en Administración de permisos o analice la información de registro reciente.

Alertas de análisis de permisos

Las alertas de análisis de permisos están preconfiguradas; úselas para encontrar conclusiones clave en su entorno. Cada alerta está vinculada a una categoría en el informe de Análisis de permisos. Por ejemplo, se puede recibir una notificación de inactividad del usuario o cuando un usuario se sobrepone.

Use alertas de análisis de permisos para obtener información sobre los hallazgos clave, de forma proactiva. Por ejemplo, cree una alerta para los usuarios nuevos y superados en su entorno.

Las alertas de análisis de permisos desempeñan un papel clave en el flujo de Detectar-Corregir-Supervisar recomendado. En el ejemplo siguiente se usa el flujo para limpiar usuarios inactivos en su entorno:

1. Detectar: use el informe de Análisis de permisos para detectar usuarios inactivos en su entorno.
2. Corregir: limpie manualmente los usuarios inactivos o con herramientas de corrección en administración de permisos de Microsoft Entra.
3. Supervisar: cree una alerta de análisis de permisos para los nuevos usuarios inactivos detectados en su entorno, lo que permite un enfoque proactivo para limpiar cuentas obsoletas.

Obtenga más información en el artículo crear y ver un desencadenador de análisis de permisos.

La siguiente lista de alertas de análisis de permisos recomendados es para entornos de nube compatibles. Agregue más alertas de análisis de permisos según sea necesario. Las recomendaciones para Microsoft Azure, Amazone Web Services (AWS) y Google Cloud Platform (GCP)’no reflejan un entorno determinado.

Azure: recomendaciones de alertas de análisis de permisos

• Usuarios activos sobreaprovisionados
• Identidades de sistema activas sobreaprovisionadas
• Funciones sin servidor activas sobreaprovisionadas
• Superusuarios
• Superidentidades de sistema
• Superfunciones sin servidor
• Usuarios inactivos
• Inactive Groups (Grupos inactivos)
• Funciones inactivas sin servidor
• Identidades del sistema inactivas

AWS: recomendaciones de alertas de análisis de permisos

• Usuarios activos sobreaprovisionados
• Roles activos sobreaprovisionados
• Recursos activos sobreaprovisionados
• Funciones sin servidor activas sobreaprovisionadas
• Usuarios con elevación de privilegios
• Roles con elevación de privilegios
• Cuentas con escalación de privilegios
• Superusuarios
• Superroles
• Superrecursos
• Superfunciones sin servidor
• Usuarios inactivos
• Roles inactivos
• Inactive Groups (Grupos inactivos)
• Recursos inactivos
• Funciones inactivas sin servidor
• Usuarios sin MFA (opcional en función del uso de IDP para MFA)

GCP: recomendaciones de alertas de análisis de permisos

• Usuarios activos sobreaprovisionados
• Cuentas de servicio activas sobreaprovisionadas
• Funciones sin servidor activas sobreaprovisionadas
• Usuarios con elevación de privilegios
• Cuentas de servicio con elevación de privilegios
• Superusuarios
• Cuentas de superservicio
• Superfunciones sin servidor
• Usuarios inactivos
• Inactive Groups (Grupos inactivos)
• Funciones inactivas sin servidor
• Cuentas inactivas sin servidor

Respuesta a alertas de análisis de permisos

La corrección varía para cada alerta. Hay casos de uso válidos que desencadenan alertas de análisis de permisos. Por ejemplo, las cuentas de administrador o las cuentas de acceso de emergencia podrían desencadenar alertas para usuarios activos sobreaprovisionados. Si no se necesita ninguna corrección, puede aplicar las etiquetas ck_exclude_from_pci y ck_exclude_from_reports a la identidad.

• ck_exclude_from_pci quita la identidad de la puntuación PCI del sistema de autorización
• ck_exclude_from_reports quita la identidad de los resultados del informe de Análisis de permisos

Alertas de actividad

Las alertas de actividad supervisan continuamente las identidades y los recursos críticos para ayudarle a mantenerse al tanto de las actividades de alto riesgo en su entorno. Por ejemplo, estas alertas pueden notificarle los recursos a los que tiene acceso en su entorno o realizar tareas. Las alertas de actividad son personalizables. Puede crear criterios de alerta con la interfaz de código fácil de usar. Aprenda a crear y ver alertas de actividad y desencadenadores de alertas.

Las secciones siguientes tienen alertas de actividad de ejemplo que puede crear. Se organizan por ideas generales y, a continuación, escenarios para Azure, AWS y GCP.

Ideas generales sobre alertas de actividad

Aplique las siguientes alertas de actividad en entornos de nube compatibles: Azure, AWS y GCP.

Desencadenador de alerta para supervisar la actividad de la cuenta de acceso de emergencia

Las cuentas de acceso de emergencia son para escenarios en los que no se pueden usar cuentas administrativas normales. Cree una alerta para supervisar la actividad de estas cuentas para detectar riesgos y posibles usos indebidos.

Desencadenador de alerta para supervisar la actividad realizada en recursos críticos

Para los recursos críticos en el entorno que quiere supervisar, cree una alerta para notificarle la actividad en un recurso específico, especialmente para la detección de amenaza.

Ideas de alertas de actividad de Azure

Desencadenador de alerta para supervisar la asignación de roles directa

Si su organización usa un modelo de acceso Just-In-Time (JIT), cree un desencadenador de alerta para notificarle la asignación directa de roles en una suscripción de Azure.

Desencadenador de alertas para supervisar la desactivación de la máquina virtual y reiniciar

Use alertas de actividad para supervisar los tipos de recursos y detectar posibles interrupciones del servicio. En el ejemplo siguiente se muestra una alerta de actividad para que la máquina virtual (VM) se desactive y reinicie en una suscripción de Azure.

Desencadenador de alertas para supervisar las identidades administradas

Para supervisar determinados tipos de identidad o recursos, cree una alerta para la actividad realizada por una identidad o tipo de recurso específico. En el ejemplo siguiente se muestra una alerta para supervisar la actividad de las identidades administradas en una suscripción de Azure.

Ideas de alertas de actividad de AWS

Desencadenador de alerta para supervisar la actividad por parte del usuario raíz

Si hay cuentas con privilegios elevados que desea supervisar, cree alertas para las actividades que realizan esas cuentas. El ejemplo siguiente es una alerta de actividad para supervisar la actividad del usuario raíz.

Desencadenador de alerta para supervisar a los usuarios creados por alguien que no esté en el rol ITAdmins

En el caso de las tareas que realizan ciertas personas o roles en su entorno, cree alertas para las tareas realizadas por otros usuarios, lo que podría indicar un actor incorrecto. El ejemplo siguiente es una alerta de actividad para los usuarios creados por alguien que no esté en el rol ITAdmins.

Desencadenador de alerta para supervisar las descargas de objetos no autorizados de un cubo S3

Resulta útil crear alertas para la actividad con errores, para la detección de amenazas y la detección de interrupciones del servicio. La siguiente alerta de actividad de ejemplo es para un error de descarga de objetos de depósito de Amazon Simple Storage Service (S3), lo que podría indicar que una cuenta en peligro intenta acceder a recursos no autorizados.

Desencadenador de alerta para supervisar la actividad de error de autorización de una clave de acceso

Para supervisar claves de acceso específicas, cree alertas de actividad para errores de autorización.

Ideas de alertas de actividad de GCP

Desencadenador de alerta de para supervisar la creación de bases de datos SQL en la nube

Para supervisar los nuevos recursos creados en el entorno, establezca alertas para la creación de tipos de recursos específicos. En el ejemplo siguiente se muestra una alerta para la creación de Cloud SQL Database.

Desencadenador de alerta para supervisar los errores de autorización de las claves de cuenta de servicio

Para supervisar las claves de servicio para detectar posibles interrupciones, cree una alerta de actividad para errores de autorización, para una clave de cuenta de servicio, en un proyecto de GCP.

Respuesta a las alertas de actividad

En general, cuando reciba una alerta de actividad, se recomienda investigar la actividad para determinar si es necesario realizar acciones. Use la pestaña Auditar en Administración de permisos o analice la información de registro reciente.

Nota:

Dado que las alertas de actividad son personalizables, las respuestas varían en función de los tipos de alertas de actividad implementados.

Pasos siguientes

La configuración de alertas es un componente operativo importante de administración de permisos de Microsoft Entra. Estas alertas le permiten supervisar continuamente su entorno para escenarios como cuentas sobreprivilegadas e identidades inactivas, así como notificarle posibles amenazas, interrupciones del servicio y uso anómalo de permisos. Para obtener instrucciones adicionales sobre las operaciones de administración de permisos de Microsoft Entra, consulte los siguientes recursos:

• Fase 1: implementación del marco para administrar a escala
• Fase 2: permisos de tamaño correcto y automatización del principio de privilegios mínimos
• Fase 3: configuración de la supervisión y alertas de la Administración de permisos de Microsoft Entra