Uso de Azure AD Identity Protection para la detección y corrección de riesgos

Uso de Azure AD Identity Protection para la detección y corrección de riesgos

14/12/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en el uso de Azure AD Identity Protection para detectar, investigar y corregir riesgos de identidad en sus entornos. Azure AD Identity Protection es una característica de Microsoft Entra ID (anteriormente Azure Active Directory) que automatiza la detección y corrección de riesgos basados ​​en identidad, protegiendo a las organizaciones contra amenazas como credenciales comprometidas, ataques de fuerza bruta y acceso no autorizado [1].

Introducción

As identidades são o novo perímetro de seguridad. Con el cambio a la nube y el trabajo remoto, proteger las identidades de los usuarios se ha vuelto más crítico que nunca. Los ataques de phishing, las fugas de credenciales, la pulverización de contraseñas y el acceso desde ubicaciones inusuales son amenazas constantes que pueden comprometer la cuenta y, en consecuencia, violaciones de datos e interrupciones del servicio. Azure AD Identity Protection proporciona una solución proactiva y automatizada para identificar actividades riesgosas, evaluar el nivel de riesgo asociado con los usuarios y los inicios de sesión, y aplicar políticas de corrección en tiempo real para proteger las identidades de su organización [2].

Esta guía práctica cubrirá los conceptos fundamentales de Azure AD Identity Protection, incluidos los tipos de detección de riesgos, las políticas de riesgo de usuario e inicio de sesión, la configuración de estas políticas, la integración con el acceso condicional de Azure AD y la investigación y corrección de riesgos. Se proporcionarán instrucciones paso a paso, ejemplos de configuración para que el lector pueda implementar y validar Azure AD Identity Protection, fortaleciendo la seguridad de sus identidades y garantizando una respuesta efectiva ante incidentes de seguridad de identidad de forma autónoma, profesional y confiable.

¿Por qué es crucial la protección de identidad de Azure AD?

  • Detección de riesgos en tiempo real: utiliza algoritmos de inteligencia de amenazas y aprendizaje automático de Microsoft para detectar automáticamente actividades sospechosas, como inicios de sesión desde ubicaciones anónimas, IP infectadas, viajes imposibles y credenciales filtradas.
  • Evaluación de riesgos adaptativa: Asigna un nivel de riesgo (bajo, medio, alto) a cada usuario y una entrada basada en una variedad de factores, lo que permite respuestas proporcionadas a la amenaza.
  • Políticas de corrección automatizadas: le permite configurar políticas que requieren automáticamente MFA, restablecer contraseñas o bloquear el acceso en respuesta a niveles de riesgo específicos.
  • Integración de acceso condicional: funciona junto con el acceso condicional de Azure AD para aplicar controles de acceso adaptativos basados ​​en el riesgo de identidad.
  • Visibilidad e investigación: proporciona informes detallados sobre detecciones de riesgos, usuarios de riesgos y entradas de riesgos, lo que facilita la investigación y la respuesta a incidentes.
  • Reduce la carga de trabajo de SOC: automatiza la clasificación y la corrección de muchos incidentes de identidad, lo que libera al personal de seguridad para que pueda centrarse en amenazas más complejas.

Requisitos previos

Para utilizar Azure AD Identity Protection, necesitará los siguientes elementos:

  1. Licencia: Azure AD Identity Protection requiere una licencia Microsoft Entra ID P2 (anteriormente Azure AD Premium P2) [3].
  2. Acceso administrativo: Una cuenta con el rol de Administrador de seguridad, Administrador de acceso condicional o Administrador global en el portal de Azure (https://portal.azure.com).
  3. MFA configurado: para que las políticas de inicio de sesión y de riesgo de usuario funcionen de manera efectiva, los usuarios deben tener configurada y registrada la autenticación multifactor (MFA). Se recomienda utilizar la autenticación multifactor de Azure AD.

Paso a paso: configurar la protección de identidad de Azure AD

Configuraremos políticas de riesgo para proteger sus identidades.

1. Acceso a la protección de identidad de Azure AD

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el campo de búsqueda superior, escriba "Azure AD Identity Protection" y selecciónelo de los resultados.

2. Configuring User Risk Policy

Esta política define la acción a tomar cuando se detecta un usuario.como en riesgo (por ejemplo, credenciales filtradas, actividad anómala persistente).

  1. En el panel de navegación izquierdo de Azure AD Identity Protection, seleccione Políticas de riesgo de usuario.

  2. Responsabilidades:

    • En "Usuarios", seleccione "Todos los usuarios" o "Seleccionar individuos y grupos" para aplicar la política a usuarios o grupos de prueba específicos. Para empezar, se recomienda postularse a un grupo de prueba.
    • Opcionalmente, puede "Eliminar usuarios y grupos" (por ejemplo, cuentas de servicio, administradores de emergencia).

  3. Condiciones:

    • En "Riesgo del usuario", establezca el nivel de riesgo que activará la política (por ejemplo, "Alto"). Puede comenzar con "Medio y superior" y ajustar según sea necesario.

  4. Controles:

    • Acceso: Seleccione Permitir acceso.
    • Hacer cumplir la política: seleccione "Requerir cambio de contraseña segura".
      • Explicación: Si un usuario alcanza el nivel de riesgo configurado, se verá obligado a cambiar su contraseña en el siguiente inicio de sesión. Esto es crucial para las credenciales filtradas.

  5. Habilitar política: configúrelo en "Activado".

  6. Haga clic en Guardar.

3. Configuración de la política de riesgo de inicio de sesión

Esta política define la acción que se debe tomar cuando se detecta que un intento de inicio de sesión es riesgoso (por ejemplo, desde una ubicación inusual, IP anónima, IP infectada).

  1. En el panel de navegación izquierdo de Azure AD Identity Protection, seleccione Políticas de riesgo entrante.

  2. Responsabilidades:

    • En "Usuarios", seleccione "Todos los usuarios" o "Seleccionar individuos y grupos".
    • Opcionalmente, puedes Eliminar usuarios y grupos.

  3. Condiciones:

    • En "Riesgo de entrada", defina el nivel de riesgo que activará la política (por ejemplo, "Medio").

  4. Controles:

    • Acceso: Seleccione Permitir acceso.
    • Aplicar política: seleccione "Requerir autenticación multifactor".
      • Explicación: Si se detecta que una entrada es riesgosa, se le pedirá al usuario que complete un desafío MFA, incluso si normalmente no es necesario. Esto ayuda a verificar la identidad del usuario.

  5. Habilitar política: configúrelo en "Activado".

  6. Haga clic en Guardar.

4. Configuración de la política MFA del Registro

Esta política garantiza que se solicite a los nuevos usuarios o a los usuarios que aún no se han registrado MFA que lo hagan, lo cual es un requisito previo para las políticas de riesgo.

  1. En el panel de navegación izquierdo de Azure AD Identity Protection, seleccione Política de registro de MFA.

  2. Responsabilidades:

    • En "Usuarios", seleccione "Todos los usuarios" o "Seleccionar individuos y grupos".
    • Opcionalmente, puedes Eliminar usuarios y grupos.

  3. Aplicar política: configúrelo en "Habilitado".

  4. Haga clic en Guardar.

5. Investigación de usuarios y entradas de riesgo

Identity Protection proporciona informes para monitorear e investigar actividades riesgosas.

  1. En el panel de navegación izquierdo de Azure AD Identity Protection, seleccione Usuarios de riesgo.

    • Este informe enumera los usuarios que han sido detectados como en riesgo, junto con su nivel de riesgo y la última detección de riesgo.

  2. Haga clic en un usuario para ver los detalles del riesgo, incluidas las detecciones de riesgo específicas (por ejemplo, "Credenciales filtradas", "Entrada de IP anónima").

  3. En el panel de navegación izquierdo, seleccione Entradas de riesgo.

    • Este informe enumera los intentos de inicio de sesión que se detectaron como riesgosos, junto con el nivel de riesgo y los detalles de inicio de sesión.

  4. Haga clic en una entrada de riesgo para ver todos los detalles, incluido el tipo de detección, la ubicación, el dispositivo y la aplicación.

6. Remediar riesgos manualmente

Aunque las políticas automatizan la corrección, es posible que deba corregir los riesgos manualmente.

  1. Para usuarios riesgosos:

    • En el informe Usuarios de riesgo, seleccione un usuario.
    • Puede elegir "Confirmar usuario comprometido" (esto activará la política de riesgo del usuario, forzando un cambio de contraseña) o "Descartar riesgo del usuario" (si determina que el riesgo es un falso positivo).

  2. Para entradas de riesgo:

    • En el informe "Entradas de riesgo", seleccione una entrada.
    • Puede elegir Confirmar compromiso o Confirmar seguridad (si es un falso positivo).

Validación y pruebas

Probar Azure AD Identity Protection es fundamental para garantizar que las políticas funcionen correctamente.como se esperaba.

1. Simulación de riesgo entrante (IP anónima)

  1. Utilice una VPN o un proxy para conectarse a Internet desde una ubicación distinta a su lugar de trabajo habitual que pueda clasificarse como una IP anónima (por ejemplo, un servidor proxy público, Tor).

  2. Intente iniciar sesión en Azure Portal o en una aplicación conectada a Azure AD con una cuenta de prueba.

    • Resultado esperado: si la política de riesgo de inicio de sesión está configurada en "Medio" o "Alto" y "Requiere autenticación multifactor", se le solicitará que complete MFA. Si el riesgo es "Alto" y la política está configurada en "Bloquear acceso", se denegará el acceso.

  3. Consulte el informe "Entradas de riesgo" en Azure AD Identity Protection. Debería ver una entrada de riesgo para la cuenta de prueba con el tipo de detección "Entrada de IP anónima".

2. Simulación de riesgos del usuario (credenciales filtradas)

No puede simular directamente las credenciales filtradas, pero puede probar la política de riesgo del usuario configurando manualmente un usuario de prueba en el nivel de riesgo "Alto" (solo para fines de prueba en un entorno controlado).

  1. En el informe "Usuarios de riesgo", seleccione un usuario de prueba.
  2. Haga clic en "Confirmar usuario comprometido" (esto establecerá el riesgo del usuario en "Alto" y activará la política).
  3. Pídale al usuario de prueba que intente iniciar sesión.
    • Resultado esperado: Se le debe solicitar al usuario que cambie su contraseña en el siguiente inicio de sesión, según lo configurado en la política de riesgo del usuario.

3. Verificación de registros de auditoría y registros de entrada

  1. En Azure Portal, navegue hasta Azure Active Directory > Monitoreo > Registros entrantes.
  2. Filtre los registros por "Estado de riesgo de entrada" y "Estado de riesgo de usuario" para ver las entradas que se evaluaron y las acciones tomadas.

Consejos de seguridad y mejores prácticas

  • Comience con el modo de informe: al configurar políticas de riesgo, comience con el modo "Solo informar" para comprender el impacto de las políticas antes de aplicarlas en el modo de cumplimiento. Esto ayuda a identificar falsos positivos sin interrumpir a los usuarios.
  • Educación del usuario: eduque a los usuarios sobre la importancia de MFA y cómo responder a solicitudes de cambio de contraseña o desafíos de MFA. Explíqueles los beneficios de la protección de identidad.
  • Integración con acceso condicional: utilice la protección de identidad junto con el acceso condicional para crear políticas de acceso adaptable más sofisticadas. Por ejemplo, bloquear el acceso a aplicaciones críticas si el riesgo de entrada es "Alto".
  • Monitoreo continuo: Supervise periódicamente los informes "Usuarios de riesgo" y "Entradas de riesgo" para investigar actividades sospechosas y garantizar que las políticas funcionen como se espera.
  • Revisión periódica de políticas: revise y ajuste sus políticas de riesgo periódicamente para adaptarse a los cambios en el panorama de amenazas y los requisitos comerciales.
  • Integración SIEM/SOAR: integre las alertas de Azure AD Identity Protection con su SIEM (por ejemplo, Microsoft Sentinel) para una vista centralizada y una automatización de respuesta a incidentes más completa.
  • Priorizar a los usuarios privilegiados: céntrese en proteger a los usuarios altamente privilegiados (administradores) con las políticas de riesgo más estrictas.

Solución de problemas comunes

  • A los usuarios no se les solicita el cambio de MFA/contraseña: Verifique que el usuario tenga una licencia de Azure AD P2. Asegúrese de que las políticas de riesgo estén "habilitadas" y que el usuario esté incluido en las asignaciones. Compruebe si el usuario ya se ha registrado en MFA.
  • Riesgo de falsos positivos: investigue las detecciones de riesgos para comprender por qué se activaron. Puede "Confirmar seguridad" para las entradas o "Descartar riesgo de usuario" para los usuarios si está seguro de que no hay ninguna amenaza. Ajustar las condiciones de la política de riesgo si es necesario (por ejemplo, aumentar el nivel de riesgo que activa la política).
  • Usuarios bloqueados incorrectamente: si la política de riesgo de inicio de sesión está configurada en "Bloquear acceso" para un riesgo "Medio" o "Bajo", esto puede resultar en bloqueos excesivos. Revisar el nivel de riesgo y la acción política. Considere utilizar "Requerir autenticación multifactor" en lugar de "Bloquear acceso" para riesgos medios.
  • Problemas de registro de MFA: asegúrese de que la política de registro de MFA esté "habilitada" y que los usuarios estén incluidostú. Verifique otras políticas de acceso condicional que puedan estar interfiriendo.
  • Las detecciones de riesgos no aparecen: Verifique que Identity Protection esté habilitada y que haya tráfico de autenticación en su Azure AD. Es posible que las detecciones de riesgos tarden algún tiempo en aparecer, especialmente en el caso de los riesgos para los usuarios.

Conclusión

Azure AD Identity Protection es una herramienta indispensable para proteger identidades en entornos modernos basados en la nube. Al automatizar la detección y corrección de riesgos de identidad, permite a las organizaciones responder rápidamente a las amenazas, reducir la superficie de ataque y fortalecer su postura general de seguridad. La implementación cuidadosa de políticas de riesgo, combinada con la educación de los usuarios y el monitoreo continuo, permite a los equipos de seguridad proteger de manera proactiva las identidades más críticas. Con esta guía práctica, los profesionales de la seguridad estarán bien equipados para configurar, validar y administrar Azure AD Identity Protection, garantizando que sus identidades permanezcan seguras y resistentes frente a las ciberamenazas en constante evolución.

Referencias:

[1] Microsoft aprende. ¿Qué es la protección de identificación de Microsoft Entra?. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft aprende. ¿Qué son las detecciones de riesgo?. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft aprende. Requisitos de licencia para Microsoft Entra ID Protection. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft aprende. Configurar políticas de riesgo para Microsoft Entra ID Protection. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft aprende. Investigue riesgos con Microsoft Entra ID Protection. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft aprende. Remediar riesgos y desbloquear usuarios. Disponible en: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock