Fase 3: configuración de la supervisión y alertas de administración de permisos de Microsoft Entra
En esta sección de la guía de referencia de operaciones de administración de permisos de Microsoft Entra se describen las comprobaciones y las acciones que debe realizar para implementar una estrategia eficaz de alertas e informes.
Implementación de un sistema de informes para las partes interesadas clave
Propietario recomendado: arquitectura de seguridad de la información
Identificación de las partes interesadas clave que consumen informes
Administración de permisos de Microsoft Entra genera informes del sistema para ver y obtener información sobre los entornos en la nube. Para ayudar a definir quién consume informes de su organización, tenga en cuenta las siguientes audiencias recomendadas:
| Denuncia | Audiencia recomendada |
|---|---|
| Clave de acceso a los derechos y al uso | Operaciones de seguridad de la información, propietarios técnicos del sistema de autorización de destino |
| Uso y derechos de usuario | IAM, garantía y auditoría de la seguridad, propietarios técnicos del sistema de autorización de destino |
| Uso y derechos de grupo | IAM, garantía y auditoría de la seguridad, propietarios técnicos del sistema de autorización de destino |
| Permisos de identidad | IAM, garantía y auditoría de la seguridad, propietarios técnicos del sistema de autorización de destino |
| Análisis de permisos | IAM, garantía y auditoría de la seguridad, propietarios técnicos del sistema de autorización de destino |
| Detalles de la directiva y el rol | IAM, garantía y auditoría de la seguridad, propietarios técnicos del sistema de autorización de destino |
| Historial de PCI | Operaciones de seguridad de la información, infraestructura en la nube, garantía y auditoría de la seguridad |
| Todos los permisos de la identidad | IAM, garantía y auditoría de la seguridad, respuesta a incidentes, propietarios técnicos del sistema de autorización de destino |
Para obtener descripciones detalladas, consulte informes del sistema en el panel de informes
Programación de informes para las partes interesadas clave
Para las partes interesadas clave que consumen informes, configure una cadencia de entrega regular: cada hora, diaria, semanal, quincenal o mensual. Aprenda a crear, ver y compartir un informe personalizado.
Definición de consultas de auditoría personalizadas para satisfacer los requisitos de la organización
Use consultas de auditoría personalizadas para obtener información del registro de actividad que ingiere el producto, revisa el acceso y realiza revisiones de cumplimiento. Además, úselas para análisis forenses. Por ejemplo, durante un incidente de seguridad, use consultas de auditoría para buscar el punto de entrada de un atacante y realizar un seguimiento de su ruta de acceso.
Use administración de permisos para crear y guardar consultas de auditoría personalizadas que otras personas vean en su organización. Se recomienda crear consultas de auditoría que se alineen con la información que la organización revisa periódicamente. Use los siguientes diagramas para empezar.
Nota:
Los siguientes diagramas son ejemplos de consultas. La estructura exacta depende de la consulta. Al crear consultas de auditoría personalizadas, seleccione el tipo de sistema de autorización y los sistemas de autorización y las carpetas que desea consultar.
Revisión del acceso a recursos críticos
Revisión de la actividad de administrador y cuenta con privilegios
Revisión del uso de permisos de alto riesgo
Revisión de errores de autorización
Revisión del uso de la clave de acceso
Revisión de la actividad de corrección de administración de permisos
Nota:
Para consultar los registros de administración de permisos de Microsoft Entra, en el tipo de sistema de autorización, seleccione Plataforma.
Para obtener más información sobre cómo crear, ver, guardar y usar consultas personalizadas:
- Creación de una consulta personalizada
- Filtro y consulto de la actividad del usuario
- Uso de consultas para ver cómo los usuarios acceden a la información
Configuración de alertas para investigaciones de operaciones de seguridad
Puede configurar alertas para supervisar continuamente el entorno. Obtenga notificaciones para las cuentas sobreprivilegadas, el uso anómalo de permisos, las posibles amenazas y las interrupciones del servicio.
Determine las alertas que sirven a su entorno y quién las recibe. Esta acción proporciona una mejor visibilidad del entorno y permite un enfoque más proactivo para administrar identidades y su acceso a los recursos.
Para obtener información sobre los tipos de alertas y los escenarios de uso, consulte la guía de alertas de administración de permisos de Microsoft Entra.
Desarrollo de estrategias y estrategias de respuesta de alertas
Desarrolle estrategias de respuesta manuales o automatizadas y cuadernos de estrategias para las alertas configuradas.
- Determine quién actúa en la alerta, probablemente el destinatario de la alerta
- Cree y proporcione pasos de corrección claros
Por ejemplo, revise la siguiente estrategia de respuesta y cuaderno de estrategias para obtener una alerta de usuario inactivo.
Ejemplo de estrategia de respuesta manual
Corrección: cuando se desencadena una alerta de usuario inactivo, el destinatario de la alerta asigna el estado de solo lectura del usuario y aplica las etiquetas de ck_exclude_from_reports al usuario.
En la respuesta manual, use las herramientas de corrección de administración de permisos de Microsoft Entra y aclare que los destinatarios de las alertas de usuario inactivo realizan la corrección. Los destinatarios usan la administración de permisos para asignar el estado de solo lectura al usuario. Esta acción revoca los permisos del usuario y les asigna el estado de solo lectura con el clic de un botón.
Un destinatario aplica las etiquetas ck_exclude_from_reports al usuario. Esta etiqueta quita al usuario del informe de análisis de permisos, por lo que no se llama como un usuario inactivo.
Ejemplo de estrategia de respuesta automatizada
Corrección: cuando se desencadena una alerta de usuario inactivo, el usuario se elimina Microsoft Power Automate, una herramienta para crear flujos para procesos empresariales, de escritorio y de nube.
Use Power Automate para respuestas automatizadas a alertas de usuario inactivas. Por ejemplo, cree un flujo que elimine usuarios inactivos después de que un correo electrónico de Administración de permisos indique inactividad.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de