Investigación de la difusión de contraseña

En este artículo se proporcionan instrucciones para identificar e investigar los ataques de difusión de contraseña dentro de la organización a fin de tomar las medidas correctivas necesarias para proteger la información y minimizar los riesgos adicionales.

Este artículo contiene las siguientes secciones:

  • Requisitos previos: cubre los requisitos específicos que debe completar antes de iniciar la investigación. Por ejemplo, el registro que debe activarse, los roles y los permisos necesarios, entre otras cosas.
  • Flujo de trabajo: muestra el flujo lógico que debe seguir para realizar esta investigación.
  • Lista de comprobación: contiene una lista de tareas para cada uno de los pasos del diagrama de flujo. Esta lista de comprobación puede ser útil en entornos muy regulados para comprobar lo que ha hecho o simplemente como una estación de calidad para el usuario.
  • Pasos de investigación: incluye una guía detallada paso a paso para esta investigación específica.
  • Recuperación: contiene pasos generales sobre cómo recuperar o mitigar un ataque de difusión de contraseña.
  • Referencias: contiene materiales de lectura y referencia adicionales.

Requisitos previos

Antes de iniciar la investigación, asegúrese de que ha completado la configuración de registros y alertas y los requisitos adicionales del sistema.

Configuración de los registros de ADFS

Registro de eventos en ADFS 2016

De manera predeterminada, los Servicios de federación de Microsoft Active Directory (AD FS) en Windows Server 2016 tienen un nivel básico de auditoría habilitado. Con la auditoría básica, los administradores pueden ver cinco eventos o menos para una única solicitud.

Para ver el nivel de auditoría actual, puede usar este comando de PowerShell:

Get-AdfsProperties

adfs

Esta tabla contiene los niveles de auditoría disponibles.

Nivel de auditoría Sintaxis de PowerShell Descripción
Ninguno Set-AdfsProperties -AuditLevel - None La auditoría está deshabilitada y no se registrará ningún evento
Básico (predeterminado) Set-AdfsProperties -AuditLevel - Basic No se registrarán más de cinco eventos para una única solicitud.
Verbose Set-AdfsProperties -AuditLevel - Verbose Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud.

Para aumentar o reducir el nivel de auditoría, use este comando de PowerShell:

Set-AdfsProperties -AuditLevel

Configuración del registro de seguridad de ADFS 2012 R2/2016/2019

  1. Haga clic en Inicio, vaya a Programas> Herramientas administrativas y, luego, haga clic en Directiva de seguridad local.

  2. Navegue hasta la carpeta Configuración de seguridad\Directivas locales\Administración de permisos del usuario y haga doble clic en Generar auditorías de seguridad.

  3. En la pestaña Configuración de seguridad local, compruebe que aparezca la cuenta de servicio de ADFS. Si no aparece, haga clic en Agregar usuario o grupo, agréguela a la lista y luego haga clic en Aceptar.

  4. Para habilitar la auditoría, abra un símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    
  5. Cierre Directiva de seguridad local.

  6. A continuación, abra el complemento de administración de ADF. Haga clic en Inicio, vaya a Programas > Herramientas administrativas y, luego, haga clic en Administración de ADFS.

  7. En el panel Acciones, haga clic en Editar propiedades del servicio de federación.

  8. En el cuadro de diálogo Propiedades del servicio de federación, haga clic en la pestaña Eventos.

  9. Active las casillas Auditorías de aciertos y Auditorías de errores.

  10. Haga clic en Aceptar para finalizar y guardar la configuración.

Instalación de Azure AD Connect Health para ADFS

El agente de Azure Active Directory (Azure AD) Connect Health para ADFS le permite una mayor visibilidad del entorno de federación. Proporciona varios paneles preconfigurados, como el de uso, supervisión del rendimiento y los informes de direcciones IP de riesgo.

Para instalar ADFS Connect Health, revise los requisitos para usar Azure AD Connect Health y, a continuación, instale el agente de Azure ADFS Connect Health.

Configuración de alertas de IP de riesgo

Una vez configurado Azure AD Connect Health para ADFS, debe establecer los umbrales para las alertas en función de lo que sea adecuado para su entorno.

alertas de IP de riesgo

Configuración de alertas de herramientas SIEM en Azure Sentinel

Para configurar las alertas de la herramienta SIEM, consulte el tutorial sobre alertas integradas.

Integración de SIEM en MCAS

Conecte la herramienta Administración de eventos e información de seguridad (SIEM) a Microsoft Cloud App Security (MCAS), que actualmente admite Micro Focus ArcSight y el formato de evento común (CEF) genérico.

Para más información, consulte Integración de SIEM genérica.

Integración de SIEM con Graph API

Puede conectar SIEM con API Microsoft Graph Security mediante cualquiera de las siguientes opciones:

  • Uso directo de las opciones de integración admitidas: consulte la lista de opciones de integración admitidas, como escribir código para conectar directamente la aplicación a fin de obtener conclusiones completas. Aproveche los ejemplos para empezar a trabajar.
  • Uso de integraciones nativas y conectores creados por asociados de Microsoft: consulte las soluciones de los asociados de API Microsoft Graph Security para usar dichas integraciones.
  • Uso de conectores creados por Microsoft: consulte la lista de conectores que puede usar para conectarse con la API a través de una variedad de soluciones para la administración de incidentes y eventos de seguridad (SIEM), la respuesta y orquestación de seguridad (SOAR), el seguimiento de incidentes y administración de servicios (ITSM), los informes, etc.

Para obtener más información, consulte Integraciones de soluciones de seguridad mediante API Microsoft Graph Security.

Uso de Splunk

También puede usar la plataforma Splunk para configurar alertas.

Flujo de trabajo

Flujo de trabajo de la investigación de la difusión de contraseña

Lista de comprobación

Desencadenadores de la investigación

  • Se recibió un desencadenador de SIEM, de los registros de firewall o de Azure AD
  • Característica de difusión de contraseña de Azure AD Identity Protection o IP de riesgo
  • Gran número de inicios de sesión con error (id. de evento 411)
  • Aumento de actividad en Azure AD Connect Health para ADFS
  • Otro incidente de seguridad (por ejemplo, suplantación de identidad [phishing])
  • Actividad inexplicable, por ejemplo, un inicio de sesión desde una ubicación desconocida o un usuario que recibe avisos de MFA inesperados

Investigación

  • ¿Qué dice la alerta?
  • ¿Puede confirmar que se trata de una difusión de contraseña?
  • Determinar la escala de tiempo del ataque
  • Determinar las direcciones IP del ataque
  • Filtrar los inicios de sesión correctos en este período y la dirección IP, incluidos los casos con contraseñas correctas que devolvieron MFA con errores
  • Comprobar los informes de MFA
  • ¿Hay algo fuera de lo normal en la cuenta, por ejemplo, un nuevo dispositivo, un nuevo sistema operativo o el uso de una nueva dirección IP? Use MCAS o Azure Information Protection para detectar la actividad sospechosa.
  • Informar a las autoridades locales o a terceros para obtener ayuda
  • Si sospecha que hay riesgo, comprobar si se han filtrado datos
  • Comprobar que la cuenta asociada no presente algún comportamiento sospechoso
  • Comprobar las cuentas de cualquier persona que trabaje en la misma oficina o acceso delegado: protección de contraseñas (asegúrese de que no usa la misma contraseña que la cuenta en peligro)
  • Ejecutar la ayuda de ADFS

Mitigaciones

Consulte la sección Referencias para obtener instrucciones sobre cómo habilitar características.

Recuperación

Pasos de investigación

Respuesta ante incidentes de difusión de contraseña

Aprenderemos algunas técnicas de ataque de difusión de contraseñas antes de continuar con la investigación.

Contraseña en peligro: un atacante ha adivinado correctamente la contraseña del usuario, pero no ha podido acceder a la cuenta debido a otros controles, como la autenticación multifactor (MFA).

Cuenta en peligro: un atacante ha adivinado correctamente la contraseña del usuario y ha obtenido acceso a la cuenta.

Detección de entornos

Identificación del tipo de autenticación

Como primer paso, debe comprobar qué tipo de autenticación se usa para el dominio comprobado o inquilino que está investigando.

Para obtener el estado de autenticación de un nombre de dominio específico, use el comando de PowerShell Get-MsolDomain. Veamos un ejemplo:

Connect-MsolService
Get-MsolDomain -DomainName "contoso.com"

¿La autenticación está federada o administrada?

Si la autenticación está federada, los inicios de sesión correctos se almacenarán en Azure AD. Los inicios de sesión con errores se encontrarán en su proveedor de identidades (IDP). Para obtener más información, consulte Solución de problemas y registro de eventos de ADFS.

Si el tipo de autenticación es administrada (solo nube, sincronización de hash de contraseñas [PHS] o autenticación transferida [PTA]), los inicios de sesión correctos y erróneos se almacenarán en los registros de inicio de sesión de Azure AD.

Nota

La característica Lanzamiento preconfigurado permite federar el nombre de dominio del inquilino, pero permite administrar usuarios específicos. Determine si algún usuario es miembro de este grupo.

¿Azure AD Connect Health está habilitado para ADFS?

¿El registro avanzado está habilitado en ADFS?

¿Los registros se almacenan en SIEM?

Para comprobar si los registros se están almacenando y correlacionando en un sistema de administración de eventos e información de seguridad (SIEM) o en cualquier otro sistema, compruebe lo siguiente:

  • Log Analytics: consultas precompiladas
  • Sentinel: consultas precompiladas
  • Splunk: consultas precompiladas
  • Registros de firewall
  • Registro de acceso de usuarios si tiene más de 30 días

Descripción de los informes de Azure AD y MFA

Es importante que comprenda los registros que ve para poder determinar el riesgo. A continuación se enumeran nuestras guías rápidas para comprender los informes de inicios de sesión y MFA de Azure AD. Consulte estos artículos:

Desencadenadores de los incidentes

Un desencadenador de incidentes es un evento o una serie de eventos que hace que se desencadene una alerta predefinida. Un ejemplo de esto es cuando el número de intentos erróneos de introducir la contraseña ha superado el umbral predefinido. A continuación se muestran otros ejemplos de desencadenadores que pueden recibir alertas en caso de ataques de difusión de contraseñas y dónde se muestran estas alertas. Los desencadenadores de incidentes incluyen:

  • Usuarios

  • IP

  • Cadenas de agente de usuario

  • Fecha y hora

  • Anomalías

  • Intentos erróneos de introducir la contraseña

    intentos de introducir la contraseña Gráfico que muestra el número de intentos erróneos de introducir la contraseña

Los aumentos inusuales en la actividad son indicadores clave de Azure AD Health Connect (suponiendo que esté instalado). Otros indicadores son:

  • Las alertas a través de SIEM muestran un aumento al intercalar los registros.
  • Un tamaño de registro mayor de lo normal para los inicios de sesión con error de ADFS (puede ser una alerta en la herramienta SIEM).
  • Aumento en las cantidades de identificadores de evento 342/411: el nombre de usuario o la contraseña son incorrectos. O identificadores 516 para el bloqueo de extranet.
  • Umbral de solicitud de autenticación con error: IP de riesgo en Azure AD o alerta de herramienta SIEM/errores 342 y 411 (para poder ver esta información, el registro avanzado debe estar activado).

IP de riesgo en el portal de Azure AD Health Connect

La dirección IP de riesgo avisará cuando se haya alcanzado el umbral personalizado de contraseñas incorrectas en una hora y el número de contraseñas incorrectas en un día, así como los bloqueos de extranet.

Ejemplo de datos de un informe de direcciones IP de riesgo

Datos del informe de direcciones IP de riesgo

Los detalles de los intentos con error están disponibles en las pestañas Dirección IP y Bloqueos de extranet.

tabla de direcciones IP

Direcciones IP y bloqueos de extranet en el informe de direcciones IP de riesgo

Detección de la difusión de contraseñas en Azure Identity Protection

Azure Identity Protection es una característica de Azure AD Premium P2 que tiene una característica de búsqueda y alerta de riesgo para la detección de difusión de contraseñas que puede usar para obtener información adicional o configurar la corrección automática.

Ejemplo de ataque de difusión de contraseña

Detalles de un ataque de difusión de contraseña

Indicadores de ataque bajo y lento

Los indicadores de ataque bajo y lento son aquellos en los que no se alcanzan los umbrales de bloqueo de cuentas o contraseñas incorrectas. Puede detectar estos indicadores a través de:

  • Errores en el orden de la lista global de direcciones
  • Errores con atributos repetitivos (agente de usuario, AppID de destino, ubicación/bloque de IP)
  • Tiempo: las difusiones automatizadas tienden a tener un intervalo de tiempo más regular entre cada intento.

Investigación y mitigación

Nota

Puede realizar la investigación y la mitigación simultáneamente durante los ataques continuos o en curso.

  1. Active el registro avanzado en ADFS, si aún no está activado.

  2. Determine la fecha y hora de inicio del ataque.

  3. Determine la dirección IP del atacante (puede tener varios orígenes y varias direcciones IP) desde el firewall, ADFS, SIEM o Azure AD.

  4. Una vez confirmada la difusión de contraseña, es posible que deba informar a las agencias locales (administración pública, terceros, entre otros).

  5. Intercale y supervise los siguientes identificadores de evento para ADFS:

    ADFS 2012 R2

    • Evento de auditoría 403: el agente de usuario que realiza la solicitud
    • Evento de auditoría 411: solicitudes de autenticación con error
    • Evento de auditoría 516: bloqueo de extranet
    • Evento de auditoría 342: solicitudes de autenticación con error
    • Evento de auditoría 412: inicio de sesión correcto
  6. Para recopilar el evento de auditoría 411: solicitudes de autenticación con error, use el siguiente script:

    PARAM ($PastDays = 1, $PastHours) 
    #************************************************ 
    #ADFSBadCredsSearch.ps1 
    #Version 1.0 
    #Date: 6-20-2016 
    #Author: Tim Springston [MSFT] 
    #Description: This script will parse the ADFS server's (not proxy) security ADFS 
    #for events which indicate an incorrectly entered username or password. The script can specify a 
    #past period to search the log for and it defaults to the past 24 hours. Results >#will be placed into a CSV for  
    #review of UPN, IP address of submitter, and timestamp.  
    #************************************************ 
    cls 
    if ($PastHours -gt 0) 
    {$PastPeriod = (Get-Date).AddHours(-($PastHours))} 
    else 
    {$PastPeriod = (Get-Date).AddDays(-($PastDays))    } 
    $Outputfile = $Pwd.path + "\BadCredAttempts.csv" 
    $CS = get-wmiobject -class win32_computersystem 
    $Hostname = $CS.Name + '.' + $CS.Domain 
    $Instances = @{} 
    $OSVersion = gwmi win32_operatingsystem 
    [int]$BN = $OSVersion.Buildnumber  
    if ($BN -lt 9200){$ADFSLogName = "AD FS 2.0/Admin"} 
    else {$ADFSLogName = "AD FS/Admin"} 
    $Users = @() 
    $IPAddresses = @() 
    $Times = @() 
    $AllInstances = @() 
    Write-Host "Searching event log for bad credential events..." 
    if ($BN -ge 9200) {Get-Winevent  -FilterHashTable @{LogName= "Security"; >StartTime=$PastPeriod; ID=411} -ErrorAction SilentlyContinue | Where-Object{$_.Message -match "The user name or password is incorrect"} |  % { 
    $Instance = New-Object PSObject 
    $UPN = $_.Properties[2].Value 
    $UPN = $UPN.Split("-")[0] 
    $IPAddress = $_.Properties[4].Value 
    $Users += $UPN 
    $IPAddresses += $IPAddress 
    $Times += $_.TimeCreated 
    add-member -inputobject $Instance -membertype noteproperty -name >"UserPrincipalName" -value $UPN 
    add-member -inputobject $Instance -membertype noteproperty -name "IP Address" ->value $IPAddress 
    add-member -inputobject $Instance -membertype noteproperty -name "Time" -value >($_.TimeCreated).ToString() 
    $AllInstances += $Instance 
    $Instance = $null 
    } 
    } 
    $AllInstances | select * | Export-Csv -Path $Outputfile -append -force ->NoTypeInformation  
    Write-Host "Data collection finished. The output file can be found at >$outputfile`." 
    $AllInstances = $null
    

ADFS 2016/2019

Junto con los identificadores de evento anteriores, intercale el evento de auditoría 1203: error de validación de credenciales nuevas.

  1. Intercale todos los inicios de sesión correctos para este período en ADFS (si están federados). Un inicio de sesión y cierre de sesión rápidos (en el mismo segundo) puede ser un indicador de que una contraseña se ha adivinado correctamente y el atacante ha intentado usarla.
  2. Intercale cualquier evento correcto o interrumpido de Azure AD durante este período para los escenarios federados y administrados.

Supervisión e intercalación de los identificadores de eventos de Azure AD

Consulte cómo encontrar el significado de los registros de errores.

Los siguientes identificadores de eventos de Azure AD son importantes:

  • 50057: se deshabilitó una cuenta de usuario.
  • 50055: contraseña expirada.
  • 50072: se pidió al usuario que proporcionara MFA.
  • 50074:MFA obligatorio.
  • 50079: el usuario debe registrar la información de seguridad.
  • 53003: el acceso condicional bloqueó al usuario.
  • 53004: no se puede configurar MFA debido a la actividad sospechosa.
  • 530032: bloqueado por el acceso condicional en la directiva de seguridad.
  • Estado de inicio de sesión: correcto, error, interrumpido

Intercalación de los identificadores de eventos desde el cuaderno de estrategias de Sentinel

Puede obtener todos los identificadores de eventos del cuaderno de estrategias de Sentinel que está disponible en GitHub.

Aislamiento y confirmación de ataques

Aísle los eventos de inicio de sesión correctos e interrumpidos de ADFS y Azure AD. Estas son las cuentas de interés.

Bloquee la dirección IP de ADFS 2012R2 y posteriores para la autenticación federada. Veamos un ejemplo:

Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

Recopilación de registros de ADFS

Recopile varios identificadores de eventos en un período de tiempo. Veamos un ejemplo:

Get-WinEvent -ProviderName 'ADFS' | Where-Object { $_.ID -eq '412' -or $_.ID -eq '411' -or $_.ID -eq '342' -or $_.ID -eq '516' -and $_.TimeCreated -gt ((Get-Date).AddHours(-"8")) }

Intercalación de registros de ADFS en Azure AD

Los informes de inicio de sesión de Azure AD incluyen la actividad de inicio de sesión de ADFS cuando se usa Azure AD Connect Health. Filtre los registros de inicio de sesión por el tipo de emisor de tokens "Federado".

Este es un comando de PowerShell de ejemplo para recuperar los registros de inicio de sesión de una dirección IP específica:

Get-AzureADIRSignInDetail -TenantId b446a536-cb76-4360-a8bb-6593cf4d9c7f -IpAddress 131.107.128.76

Además, busque en Azure Portal el período de tiempo, la dirección IP y el inicio de sesión correcto e interrumpido, tal como se muestra en estas imágenes.

período de tiempo

Búsqueda de inicios de sesión dentro de un período de tiempo específico

ipaddress

Búsqueda de inicios de sesión en una dirección IP específica

status

Búsqueda de inicios de sesión en función del estado

A continuación, puede descargar estos datos como un archivo .csv para su análisis. Para más información, consulte los Informes de actividad de inicio de sesión en el portal de Azure Active Directory.

Clasificación por orden de prioridad de los resultados

Es importante que pueda reaccionar ante la amenaza más crítica. Puede ser que el atacante haya obtenido correctamente acceso a una cuenta y, por tanto, pueda acceder a los datos o filtrarlos. El atacante tiene la contraseña, pero es posible que no pueda acceder a la cuenta, por ejemplo, si no pasa el desafío de MFA. Además, el atacante podría no adivinar las contraseñas correctamente, pero seguir intentándolo. Durante el análisis, dé prioridad a estos resultados:

  • Inicios de sesión correctos mediante direcciones IP conocidas del atacante
  • Inicio de sesión interrumpido por una dirección IP conocida del atacante
  • Inicios de sesión con errores mediante direcciones IP conocidas del atacante
  • Inicios de sesión correctos desde otra dirección IP desconocida

Comprobación de la autenticación heredada

La mayoría de los ataques usan la autenticación heredada. Hay varias maneras de determinar el protocolo del ataque.

  1. En Azure AD, vaya a Inicios de sesión y filtre por Aplicación cliente.

  2. Seleccione todos los protocolos de autenticación heredados que aparecen en la lista.

    comprobación de autenticación

    Lista de protocolos heredados

  3. O bien, si tiene un área de trabajo de Azure, puede usar el libro de autenticación heredada precompilado que se encuentra en el portal de Azure Active Directory, en Supervisión y libros.

    libro

    Libro de autenticación heredada

Bloqueo de direcciones IP de Azure AD para un escenario administrado (almacenamiento provisional con PHS)

  1. Vaya a New named locations (nuevas ubicaciones con nombre).

    Ejemplo de una nueva ubicación con nombre

  2. Cree una directiva de CA para dirigirse a todas las aplicaciones y bloquear las solo para esta ubicación con nombre.

¿El usuario ha empleado este sistema operativo, IP, ISP, dispositivo o explorador antes?

Si el usuario no los ha usado antes y esta actividad es inusual, marque al usuario e investigue todas sus actividades.

¿La dirección IP está marcada como "de riesgo"?

Asegúrese de registrar las contraseñas correctas que obtuvieron respuestas de autenticación multifactor (MFA) con errores, ya que esta actividad indica que el atacante obtuvo la contraseña, pero no pasa MFA.
Omita cualquier cuenta que parezca un inicio de sesión normal, por ejemplo, MFA, ubicación y dirección IP que no están fuera de lo normal.

Informes de MFA

También es importante comprobar los registros de MFA, ya que un atacante podría haber adivinado correctamente una contraseña, pero no haber podido realizar la solicitud de MFA. Los registros de MFA de Azure AD muestran los detalles de autenticación de los eventos cuando se solicita a un usuario la autenticación multifactor. Compruebe y asegúrese de que no haya registros de MFA sospechosos de gran tamaño en Azure AD. Para más información, consulte Uso del informe de inicios de sesión para revisar los eventos de Azure AD Multi-Factor Authentication.

Comprobaciones adicionales

En MCAS, investigue las actividades y el acceso a los archivos de la cuenta en peligro. Para más información, consulte:

Compruebe si el usuario tiene acceso a recursos adicionales, como máquinas virtuales, permisos de cuenta de dominio, almacenamiento, entre otros.
Si los datos se han vulnerado, debe informar a organismos adicionales, como la autoridades.

Medidas correctivas inmediatas

  1. Cambie la contraseña de cualquier cuenta que sospeche ha sido vulnerada, o si se ha adivinado la contraseña de la cuenta. Además, bloquee el usuario. Asegúrese de seguir las instrucciones para revocar el acceso en emergencias.
  2. Marque todas las cuentas que se hayan puesto en peligro como"en peligro" en Azure Identity Protection.
  3. Bloquee la dirección IP del atacante. Tenga cuidado al realizar esta acción, ya que los atacantes pueden usar VPN legítimas y esto podría crear más riesgos a medida que también cambien las direcciones IP. Si está usando la autenticación en la nube, bloquee la dirección IP en MCAS o Azure AD. Si es un escenario federado, debe bloquear la dirección IP en el nivel de firewall delante del servicio ADFS.
  4. Bloquee la autenticación heredada si se está utilizando (sin embargo, esta acción podría afectar a la empresa).
  5. Habilite MFA, si aún no lo ha hecho.
  6. Habilite Identity Protection para el riesgo de usuario y el riesgo de inicio de sesión.
  7. Compruebe los datos que se han puesto en peligro (correos electrónicos, SharePoint, OneDrive, aplicaciones). Consulte cómo usar el filtro de actividades en MCAS.
  8. Mantenga la protección de las contraseñas. Para obtener más información, consulte el artículo sobre la protección de contraseñas de Azure AD.
  9. También puede consultar la Ayuda de ADFS.

Recuperación

Protección con contraseña

Implemente la protección de contraseñas en Azure AD y en el entorno local al habilitar las listas de contraseñas prohibidas personalizadas. Esta configuración impedirá que los usuarios puedan establecer contraseñas poco seguras o asociadas a su organización:

protección de contraseñas

Habilitar la protección de contraseñas

Para obtener más información, consulte cómo defenderse contra ataques de difusión de contraseña.

Etiquetado de direcciones IP

Etiquete las direcciones IP en MCAS para recibir alertas relacionadas con el uso futuro:

Ejemplo de etiquetado de una dirección IP

Etiquetado de direcciones IP

En MCAS, "etiquete" la dirección IP para el ámbito IP y configure una alerta para este intervalo IP para futura referencia y respuestas agilizadas.

Ejemplo de configuración de una alerta de dirección IP

Establecimiento de alertas para una dirección IP específica

Configurar alertas

En función de las necesidades de la organización, puede configurar algunas alertas.

Configure las alertas en la herramienta SIEM y busque mejorar las brechas en el registro. Integre los registros de ADFS, Azure AD, Office 365 y MCAS.

Configure el umbral y las alertas en el portal de ADFS Health Connect y de direcciones IP de riesgo.

Ejemplo de configuración del umbral

Configuración de las opciones del umbral

Ejemplo de configuración de notificaciones

Configurar las notificaciones

Consulte cómo configurar las alertas en el portal de Identity Protection.

Configuración de directivas de riesgo de inicio de sesión con acceso condicional o Identity Protection

  • Ofrezca formación a los usuarios finales, partes interesadas clave, operaciones de primera línea, equipos técnicos, equipos de ciberseguridad y de comunicaciones.
  • Revise el control de seguridad y realice los cambios necesarios para mejorar o reforzar el control de seguridad dentro de la organización.
  • Sugiera una evaluación de la configuración de Azure AD.
  • Ejecute ejercicios del simulador de ataques periódicamente.

Referencias

Requisitos previos

Mitigaciones

Recuperación

Cuadernos de estrategias de respuesta ante incidentes adicionales

Examine las instrucciones para identificar e investigar estos tipos de ataques adicionales: