Compartir a través de


Operaciones de seguridad de Microsoft Entra para Privileged Identity Management

La seguridad de los activos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI. Los atacantes cibernéticos usan ataques de robo de credenciales dirigidos a las cuentas de administrador y otras cuentas de acceso con privilegios para intentar acceder a datos confidenciales.

En el caso de los servicios en la nube, la prevención y la respuesta son responsabilidades conjuntas del proveedor de servicios en la nube y del cliente.

Tradicionalmente, la seguridad de la organización se ha centrado en los puntos de entrada y salida de una red, como el perímetro de seguridad. Sin embargo, las aplicaciones SaaS y los dispositivos personales han hecho que este enfoque sea menos eficaz. En Microsoft Entra ID, se ha reemplazado el perímetro de seguridad de la red por la autenticación en la capa de identidad de la organización. A medida que se asignan roles administrativos con privilegios a los usuarios, su acceso debe protegerse en los entornos locales, de nube e híbridos.

Usted es totalmente responsable de todas las capas de seguridad de su entorno de TI local. Cuando se usan servicios en la nube de Azure, la prevención y la respuesta son responsabilidades conjuntas de Microsoft como proveedor de servicios en la nube y de usted como cliente.

Privileged Identity Management (PIM) es un servicio de Microsoft Entra que permite administrar, controlar y supervisar el acceso a recursos importantes de la organización. Estos recursos incluyen recursos en Microsoft Entra ID, Azure y otros servicios de Microsoft Online Services, como Microsoft 365 o Microsoft Intune. Puede usar PIM para ayudar a mitigar los siguientes riesgos:

  • Identificar y minimizar el número de personas que tienen acceso a información y recursos seguros.

  • Detectar permisos de acceso excesivos, innecesarios o mal usados en recursos confidenciales.

  • Reducir las posibilidades de que actores malintencionados obtengan acceso a información o recursos protegidos.

  • Reducir la posibilidad de que usuarios no autorizados alteren por accidente recursos confidenciales.

Use este artículo para consultar instrucciones sobre cómo establecer líneas base, auditar inicios de sesión y usar cuentas con privilegios. Use el origen del registro de auditoría de origen para ayudar a mantener la integridad de la cuenta con privilegios.

Dónde mirar

Los archivos de registro que usa para la investigación y supervisión son:

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Azure Portal tiene varias maneras de integrar los registros de Microsoft Entra con otras herramientas que permiten la supervisión y la creación de alertas de forma automática:

  • Microsoft Sentinel: permite el análisis de seguridad inteligente en el nivel empresarial al proporcionar funcionalidades de Administración de eventos e información de seguridad (SIEM).

  • Reglas sigma: Sigma es un estándar abierto en constante evolución para escribir reglas y plantillas que las herramientas de administración automatizadas pueden usar para analizar los archivos de registro. Donde existen plantillas sigma para nuestros criterios de búsqueda recomendados, hemos agregado un vínculo al repositorio Sigma. Las plantillas Sigma no están escritas, probadas ni administradas por Microsoft. Más bien, es la comunidad mundial de seguridad de TI que crea y recopila el repositorio y las plantillas.

  • Azure Monitor: permite la supervisión y la generación de alertas automatizadas de diversas condiciones. Puede crear o usar libros para combinar datos de orígenes diferentes.

  • Azure Event Hubs integrado con SIEM- Los registros de Microsoft Entra se pueden integrar con otras SIEM como Splunk, ArcSight, QRadar y Sumo Logic a través de la integración de Azure Event Hubs.

  • Microsoft Defender for Cloud Apps: permite detectar y administrar aplicaciones, controlar aplicaciones y recursos, y comprobar el cumplimiento de las aplicaciones en la nube.

  • Protección de identidades de carga de trabajo con Protección de id. de Microsoft Entra: se usa para detectar riesgos en las identidades de carga de trabajo a través del comportamiento de inicio de sesión y los indicadores sin conexión de riesgo.

En el resto de este artículo se proporcionan recomendaciones para establecer una línea de base sobre la que supervisar y generar alertas, con un modelo de niveles. Los vínculos a soluciones pregeneradas aparecen después de la tabla. También puede crear alertas mediante las herramientas anteriores. El contenido se organiza en las siguientes áreas:

  • Líneas de base

  • Asignación de roles de Microsoft Entra

  • Configuración de alertas de rol de Microsoft Entra

  • Asignación de roles de recursos de Azure

  • Administración del acceso a los recursos de Azure

  • Acceso con privilegios elevados para administrar suscripciones de Azure

Líneas de base

Esta es la configuración de línea de base recomendada:

Elementos para supervisar Nivel de riesgo Recomendación Roles Notas
Asignación de roles de Microsoft Entra Alto Exigir una justificación para la activación. Se requiere aprobación para activar. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas. Administrador de seguridad, Administrador de roles con privilegios o Administrador global Un administrador de roles con privilegios puede personalizar PIM en su organización de Microsoft Entra, por ejemplo, cambiar la experiencia de los usuarios que activan una asignación de roles válida.
Configuración del rol de recursos de Azure Alto Exigir una justificación para la activación. Se requiere aprobación para activar. Establecer un proceso de aprobación de dos niveles. En la activación, requiera autenticación multifactor de Microsoft Entra. Establecer la duración máxima de elevación en 8 horas. Propietario o Administrador de acceso de usuarios Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno.

Alertas de Privileged Identity Management

Privileged Identity Management (PIM) genera alertas cuando hay actividades sospechosas o no seguras en su organización de Microsoft Entra. Cuando se genera una alerta, aparece en el panel Privileged Identity Management. También puede configurar una notificación por correo electrónico o enviarla a su SIEM a través de GraphAPI. Dado que estas alertas se centran específicamente en roles administrativos, debe supervisar estrechamente las alertas.

Elementos para supervisar Nivel de riesgo Dónde Experiencia de usuario de filtro o subfiltro Notas
Los roles se están asignando fuera de Privileged Identity Management Alto Privileged Identity Management, alertas Los roles se están asignando fuera de Privileged Identity Management Configuración de alertas de seguridad
Reglas sigma
Posibles cuentas obsoletas en un rol con privilegios Medio Privileged Identity Management, alertas Posibles cuentas obsoletas en un rol con privilegios Configuración de alertas de seguridad
Reglas sigma
Los administradores no están usando sus roles con privilegios Bajo Privileged Identity Management, alertas Los administradores no están usando sus roles con privilegios Configuración de alertas de seguridad
Reglas sigma
Roles no requieren autenticación multifactor para la activación Bajo Privileged Identity Management, alertas Roles no requieren autenticación multifactor para la activación Configuración de alertas de seguridad
Reglas sigma
La organización no tiene Microsoft Entra ID P2 ni Gobierno de id. de Microsoft Entra Bajo Privileged Identity Management, alertas La organización no tiene Microsoft Entra ID P2 ni Gobierno de id. de Microsoft Entra Configuración de alertas de seguridad
Reglas sigma
Hay demasiados administradores globales Bajo Privileged Identity Management, alertas Hay demasiados administradores globales Configuración de alertas de seguridad
Reglas sigma
Se están activando roles con demasiada frecuencia Bajo Privileged Identity Management, alertas Se están activando roles con demasiada frecuencia Configuración de alertas de seguridad
Reglas sigma

Asignación de roles de Microsoft Entra

Un administrador de roles con privilegios puede personalizar PIM en su organización de Microsoft Entra, por ejemplo, cambiar la experiencia de los usuarios que activan una asignación de roles válida:

  • Evitar que un alguien que actúe con mala intención quite los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios.

  • Evitar que los usuarios malintencionados omitan la justificación y la aprobación de la activación del acceso con privilegios.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Alerta sobre la incorporación de cambios a permisos de cuenta con privilegios Alto Registros de auditoría de Microsoft Entra Categoría = Administración de roles
-y-
Tipo de actividad: agregar un miembro válido (permanente)
-y-
Tipo de actividad: agregar un miembro válido (opcional)
-y-
Estado = Correcto/error
-y-
Propiedades modificadas = Role.DisplayName
Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener privilegios para modificar la configuración de asignación de roles. Si no tiene un umbral definido, genere una alerta cuando haya 4 en 60 minutos para los usuarios y cuando haya 2 en 60 minutos para las cuentas con privilegios.

Reglas sigma
Alerta sobre los cambios de eliminación masiva en los permisos de cuentas con privilegios Alto Registros de auditoría de Microsoft Entra Categoría = Administración de roles
-y-
Tipo de actividad: quitar un miembro válido (permanente)
-y-
Tipo de actividad: quitar un miembro válido (opcional)
-y-
Estado = Correcto/error
-y-
Propiedades modificadas = Role.DisplayName
Investigue inmediatamente si no se trata de un cambio planeado. Esta configuración podría permitir que un atacante accediera a las suscripciones de Azure de su entorno.
Plantilla de Microsoft Sentinel

Reglas sigma
Cambios en la configuración de PIM Alto Registro de auditoría de Microsoft Entra Servicio = PIM
-y-
Categoría = Administración de roles
-y-
Tipo de actividad = Actualización de la configuración de roles en PIM
-y-
Razón para el estado = MFA durante la activación deshabilitada (ejemplo)
Supervise siempre los cambios en el administrador de roles con privilegios y en el administrador global, y genere alertas al respecto. Podrían indicar que un atacante intenta obtener acceso para modificar la configuración de asignación de roles. Una de estas acciones podría reducir la seguridad de la elevación de PIM y facilitar a los atacantes la adquisición de una cuenta con privilegios.
Plantilla de Microsoft Sentinel

Reglas sigma
Elevación de aprobaciones y denegaciones Alto Registro de auditoría de Microsoft Entra Servicio = Revisión de acceso
-y-
Categoría = UserManagement
-y-
Tipo de actividad = Solicitud aprobada o denegada
-y-
Actor iniciado = UPN
Se deben supervisar todas las elevaciones. Registre todas las elevaciones, ya que podrían ser un indicio claro de la escala de tiempo de un ataque.
Plantilla de Microsoft Sentinel

Reglas sigma
La configuración de alerta cambia a deshabilitado. Alto Registros de auditoría de Microsoft Entra Servicio =PIM
-y-
Categoría = Administración de roles
-y-
Tipo de actividad = Deshabilitar alerta de PIM
-y-
Estado = Correcto/error
Genere una alerta siempre. Ayuda a detectar actores no autorizados que quitan alertas asociadas a los requisitos de autenticación multifactor de Microsoft Entra para activar el acceso con privilegios. Ayuda a detectar actividades sospechosas o poco seguras.
Plantilla de Microsoft Sentinel

Reglas sigma

Para más información sobre cómo identificar cambios en la configuración de roles en el registro de auditoría de Microsoft Entra, consulte Visualización del historial de auditoría para los roles de Microsoft Entra en Privileged Identity Management.

Asignación de roles de recursos de Azure

La supervisión de las asignaciones de roles de recursos de Azure proporciona visibilidad sobre la actividad y las activaciones de los roles de recursos. Es posible que se utilicen incorrectamente para crear una superficie de ataque a un recurso. Cuando supervise este tipo de actividad, intente detectar:

  • Asignaciones de roles de consulta en recursos específicos

  • Asignaciones de roles para todos los recursos secundarios

  • Todos los cambios de asignación de roles activos y válidos

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Auditoría de recursos de alerta Auditoría de registro de actividades de cuentas con privilegios Alto En PIM, en recursos de Azure, Auditoría de recursos Acción: agregar un miembro válido al rol en PIM finalizado (límite de tiempo)
-y-
Destino principal
-y-
Tipo usuario
-y-
Estado = Correcto
Genere una alerta siempre. Ayuda a detectar actores no autorizados que agregan roles válidos para administrar todos los recursos de Azure.
Auditoría de recurso de alerta Auditoría para deshabilitar alerta Medio En PIM, en recursos de Azure, Auditoría de recursos Acción: deshabilitar alerta
-y-
Objetivo principal: demasiados propietarios asignados a un recurso
-y-
Estado = Correcto
Ayuda a detectar actores no autorizados que deshabilitan las alertas desde el panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga
Auditoría de recurso de alerta Auditoría para deshabilitar alerta Medio En PIM, en recursos de Azure, Auditoría de recursos Acción: deshabilitar alerta
-y-
Objetivo principal: demasiados propietarios permanentes asignados a un recurso
-y-
Estado = Correcto
Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga
Auditoría de recurso de alerta Auditoría para deshabilitar alerta Medio En PIM, en recursos de Azure, Auditoría de recursos Acción: deshabilitar alerta
-y-
Se ha creado un rol duplicado de destino principal
-y-
Estado = Correcto
Impedir que un actor no autorizado deshabilite las alertas del panel Alertas, lo que puede pasar por alto la actividad malintencionada que se investiga

Para más información sobre la configuración de alertas y la auditoría de roles de recursos de Azure, consulte:

Administración del acceso para recursos y suscripciones de Azure

Los usuarios o miembros de un grupo que tienen asignados los roles de suscripciones de propietario o de administrador de acceso de usuario, y los administradores globales de Microsoft Entra que permiten la administración de suscripciones en Microsoft Entra ID tienen, de manera predeterminada, permisos de administrador de recursos. Estos administradores pueden asignar roles, configurar opciones de rol y revisar el acceso con Privileged Identity Management (PIM) a los recursos de Azure.

Un usuario que tenga permisos de administrador de recursos puede administrar PIM para los recursos. Supervise y reduzca este riesgo: la funcionalidad se puede usar para permitir que actores no autorizados tengan acceso con privilegios a los recursos de la suscripción de Azure, como máquinas virtuales o cuentas de almacenamiento.

Elementos para supervisar Nivel de riesgo Dónde Filtro o subfiltro Notas
Elevaciones Alto Microsoft Entra ID, en Administrar, Propiedades Revise periódicamente la configuración.
Administración del acceso a los recursos de Azure
Los administradores globales pueden elevar sus privilegios si se habilita la administración del acceso a los recursos de Azure.
Compruebe que actores no autorizados no hayan obtenido permisos para asignar roles en todas las suscripciones y grupos de administración de Azure asociados a Active Directory.

Para más información, consulte Asignación de roles de recursos de Azure en Privileged Identity Management

Pasos siguientes

Introducción a las operaciones de seguridad de Microsoft Entra

Operaciones de seguridad para cuentas de usuario

Operaciones de seguridad para cuentas de consumidor

Operaciones de seguridad para cuentas con privilegios

Operaciones de seguridad para aplicaciones

Operaciones de seguridad para dispositivos

Operaciones de seguridad para infraestructura