Compartir vía


Operaciones de seguridad de Microsoft Entra para cuentas de cliente

Las actividades de identidad del consumidor son un área importante para que tu organización proteja y supervise. Este artículo es para inquilinos de Azure Active Directory B2C (Azure AD B2C) y tiene instrucciones para supervisar las actividades de la cuenta de consumidor. Las actividades son:

  • Cuenta del cliente
  • Cuenta privilegiada
  • Application
  • Infraestructura

Antes de empezar

Antes de usar las instrucciones de este artículo, se recomienda leer la guía de operaciones de seguridad de Microsoft Entra.

Definición de una base de referencia

Para descubrir un comportamiento anómalo, define el comportamiento normal y el esperado. Definir el comportamiento esperado para su organización te ayuda a descubrir comportamientos inesperados. Usa la definición para ayudar a reducir los falsos positivos durante el monitoreo y las alertas.

Con el comportamiento esperado definido, realiza un seguimiento de referencia para validar las expectativas. A continuación, supervisa los registros de lo que queda fuera de la tolerancia.

Para las cuentas creadas fuera de los procesos normales, use los registros de auditoría y de inicio de sesión de Microsoft Entra y los atributos de directorio como orígenes de datos. Las sugerencias siguientes pueden ayudarte a definir la normalidad.

Creación de una cuenta de consumidor

Evaluar la lista siguiente:

  • Estrategia y principios para herramientas y procesos para crear y administrar cuentas de consumidor
    • Por ejemplo, atributos y formatos estándar aplicados a atributos de cuentas de consumidores
  • Orígenes aprobados para la creación de cuentas.
    • Por ejemplo, incorporación de políticas personalizadas, aprovisionamiento de clientes o herramienta de migración
  • Estrategia de alerta para cuentas que se crearon fuera de orígenes aprobados.
    • Crear una lista controlada de organizaciones con las que colabora tu organización
  • Parámetros de estrategia y alerta para cuentas creadas, modificadas o deshabilitadas por un administrador de cuenta de consumidor no aprobado
  • Supervisión y estrategia de alertas para cuentas de consumidor que no tienen atributos estándar, como el número de consumidor o el hecho de no seguir las convenciones de nomenclatura de la organización
  • Estrategia, principios y proceso para la eliminación y retención de cuentas

Dónde mirar

Usar archivos de registro para investigar y supervisar. Consulta los siguientes artículos para obtener más información:

Registros de auditoría y herramientas de automatización

En Azure Portal, puede ver los registros de auditoría de Microsoft Entra y descargarlos como archivos de valores separados por comas (CSV) o notación de objetos JavaScript (JSON). Use Azure Portal para integrar los registros de Microsoft Entra con otras herramientas para automatizar la supervisión y las alertas:

Use el resto del artículo para obtener recomendaciones sobre qué supervisar y alertar. Consulta las tablas, organizadas por tipo de amenaza. Consulta los enlaces a las soluciones o ejemplos prediseñados que se encuentran a continuación de la tabla. Crear alertas con las herramientas mencionadas anteriormente.

Cuentas de consumidor

Elementos para supervisar Nivel de riesgo Where Filtro/Subfiltro Notas
Gran número de creaciones o eliminaciones de cuentas Alto Registros de auditoría de Microsoft Entra Actividad: Agregar usuario
Estado = correcto
Iniciado por (actor) = Servicio CPIM
- y -
Actividad: Eliminar usuario
Estado = correcto
Iniciado por (actor) = Servicio CPIM
Defina un umbral de base de referencia y supervíselo y ajústelo para adaptarlo a los comportamientos de la organización. Limitar las alertas falsas.
Cuentas creadas y eliminadas por usuarios o procesos no aprobados Media Registros de auditoría de Microsoft Entra Iniciado por (actor): NOMBRE PRINCIPAL DE USUARIO
- y -
Actividad: Agregar usuario
Estado = correcto
Iniciado por (actor) != Servicio CPIM
y/o
Actividad: Eliminar usuario
Estado = correcto
Iniciado por (actor) != Servicio CPIM
Si los actores son usuarios no aprobados, configure el envío de una alerta.
Cuentas asignadas a un rol con privilegios Alto Registros de auditoría de Microsoft Entra Actividad: Agregar usuario
Estado = correcto
Iniciado por (actor) == Servicio CPIM
- y -
Actividad = Agregar miembro a rol.
Estado = correcto
Si la cuenta se asigna a un rol de Microsoft Entra, un rol de Azure o a una pertenencia a grupos con privilegios, configure una alerta y dé prioridad a la investigación.
Intentos de inicio de sesión con errores Medio: si se produjo un incidente aislado
Alto: si muchas cuentas tienen el mismo patrón
Registro de inicios de sesión de Microsoft Entra Estado: Error
- y -
Código de error 50126 de inicio de sesión: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos.
- y -
Aplicación == "CPIM PowerShell Client"
O bien
Aplicación == "ProxyIdentityExperienceFramework"
Defina un umbral de línea base y, a continuación, supervise y ajuste para adaptar los comportamientos de la organización y limitar la generación de alertas falsas.
Eventos de bloqueo inteligente Medio: si se produjo un incidente aislado
Alto: si muchas cuentas tienen el mismo patrón o una VIP
Registro de inicios de sesión de Microsoft Entra Estado: Error
- y -
Código de error de inicio de sesión = 50053 – IdsLocked
- y -
Aplicación == "CPIM PowerShell Client"
O bien
Aplicación == "ProxyIdentityExperienceFramework"
Define un umbral de referencia y luego supervisa y ajusta para adaptarte a los comportamientos de tu organización y limitar las alertas falsas.
Autenticaciones con errores desde países o regiones desde las que no operas Media Registro de inicios de sesión de Microsoft Entra Estado: Error
- y -
Ubicación = <ubicación no aprobada>
- y -
Aplicación == "CPIM PowerShell Client"
O bien
Aplicación == "ProxyIdentityExperienceFramework"
Supervisa las entradas no iguales a los nombres de ciudad proporcionados.
Aumento de autenticaciones fallidas de cualquier tipo Media Registro de inicios de sesión de Microsoft Entra Estado: Error
- y -
Aplicación == "CPIM PowerShell Client"
O bien
Aplicación == "ProxyIdentityExperienceFramework"
Si no tienes un umbral, supervisa y alerta si las fallas aumentan en un 10 % o más.
Cuenta deshabilitada o bloqueada para inicios de sesión Bajo Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Código de error: 50057, la cuenta de usuario está deshabilitada.
Este escenario podría indicar que alguien intenta obtener acceso a una cuenta después de dejar una organización. La cuenta está bloqueada, pero es importante registrar y alertar sobre esta actividad.
Aumento medible de inicios de sesión exitosos Bajo Registro de inicios de sesión de Microsoft Entra Estado = Correcto
- y -
Aplicación == "CPIM PowerShell Client"
O bien
Aplicación == "ProxyIdentityExperienceFramework"
Si no tienes un umbral, supervisa y avisa si las autenticaciones exitosas aumentan en un 10 % o más.

Cuentas con privilegios

Elementos para supervisar Nivel de riesgo Where Filtro/Subfiltro Notas
Error de inicio de sesión, umbral de contraseña incorrecta Alto Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Código de error = 50126
Define un umbral de referencia y controla y ajusta para adaptarte a los comportamientos de tu organización. Limitar las alertas falsas.
Error debido a un requisito de acceso condicional Alto Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Código de error = 53003
- y -
Motivo del error = Bloqueado por el acceso condicional
El evento puede indicar que un atacante está tratando de entrar en la cuenta.
Interrupción Alto, medio Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Código de error = 53003
- y -
Motivo del error = Bloqueado por el acceso condicional
El evento puede indicar que un atacante tiene la contraseña de la cuenta, pero no puede pasar el desafío de autenticación multifactor.
Bloqueo de cuenta Alto Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Código de error = 50053
Define un umbral de referencia, luego supervisa y ajusta para adaptarte a los comportamientos de tu organización. Limitar las alertas falsas.
Cuenta deshabilitada o bloqueada para inicios de sesión low Registro de inicios de sesión de Microsoft Entra Estado = Error
- y -
Objetivo = UPN de usuario
- y -
Código de error = 50057
El evento podría indicar que alguien intenta obtener acceso a la cuenta después de haber dejado la organización. Aunque la cuenta esté bloqueada, registra y alerta esta actividad.
Alerta o bloqueo de fraude de MFA Alto Registro de inicios de sesión de Microsoft Entra/Azure Log Analytics Inicios de sesión>Detalles de autenticación
Detalles del resultado = MFA denegado, se introdujo un código de fraude
El usuario con privilegios indica que no ha instigado la solicitud de autenticación multifactor, lo que podría indicar que un atacante tiene la contraseña de la cuenta.
Alerta o bloqueo de fraude de MFA Alto Registro de inicios de sesión de Microsoft Entra/Azure Log Analytics Tipo de actividad = Fraude informado: el usuario está bloqueado para MFA o se ha notificado fraude: no se toman medidas (en función de la configuración de nivel del inquilino para el informe de fraude) El usuario con privilegios no indicó ninguna instigación de la solicitud de MFA. Esto escenario puede indicar que un atacante tiene la contraseña de la cuenta.
Inicios de sesión de cuentas con privilegios fuera de los controles esperados Alto Registro de inicios de sesión de Microsoft Entra Estado = Error
UserPricipalName = <Cuenta de administrador>
Ubicación = <Ubicación no aprobada>
Dirección IP = <Dirección IP no aprobada>
Información del dispositivo = <Explorador o sistema operativo no aprobados>
Supervisa y alerta las entradas que definiste como no aprobadas.
Fuera de las horas de inicio de sesión normales Alto Registro de inicios de sesión de Microsoft Entra Estado = Correcto
- y -
Ubicación =
- y -
Hora = Fuera del horario laboral
Supervisa y notifica si los inicios de sesión se producen fuera del horario esperado. Encuentra el patrón de trabajo normal para cada cuenta con privilegios y avisa si hay cambios no planificados fuera del horario laboral normal. Los inicios de sesión fuera del horario laboral normal podrían indicar un compromiso o una posible amenaza interna.
Cambio de contraseña Alto Registros de auditoría de Microsoft Entra Actor de la actividad = Administrador/Autoservicio
- y -
Objetivo = Usuario
- y -
Estado = correcto o error
Alerta cuando cambia cualquier contraseña de la cuenta Administrador. Escribir una consulta para cuentas con privilegios.
Cambios en los métodos de autenticación Alto Registros de auditoría de Microsoft Entra Actividad: Crear proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo.
Proveedor de identidades actualizado por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Actualizar el proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo.
Proveedor de identidades eliminado por actores no aprobados Alto Revisión de acceso de Microsoft Entra Actividad: Eliminar el proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
El cambio podría indicar que un atacante agrega un método de autenticación a la cuenta para tener acceso continuo.

APLICACIONES

Elementos para supervisar Nivel de riesgo Where Filtro/Subfiltro Notas
Se agregaron credenciales a las aplicaciones Alto Registros de auditoría de Microsoft Entra Servicio/Directorio principal, Category-ApplicationManagement
Actividad: Actualización de certificados de aplicaciones y administración de secretos
- y -
Actividad: Actualización de entidad de servicio y aplicación
Alertar cuando las credenciales: se agreguen fuera del horario comercial normal o los flujos de trabajo, los tipos no se usen en su entorno o se agreguen a una entidad de servicio compatible con el flujo que no es SAML.
Aplicación asignada a un rol de control de acceso basado en roles (RBAC) de Azure o a un rol de Microsoft Entra De alto a medio Registros de auditoría de Microsoft Entra Tipo: entidad de servicio
Actividad: "Agregar miembro a rol"
o
"Incorporación de un miembro apto al rol"
O bien
"Agregar miembro con ámbito a rol".
N/D
Aplicación a la que se le han concedido permiso con privilegios elevados, como permisos con ".All" (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.) Alto Registros de auditoría de Microsoft Entra N/D Las aplicaciones concedieron permisos amplios, como ".All” (Directory.ReadWrite.All) o permisos de amplio alcance (Mail.)
Administrador que otorga permisos de aplicación (roles de aplicación) o permisos delegados con privilegios elevados Alto Portal de Microsoft 365 "Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
"Agregar concesión de permisos delegados", donde los destinos identifican una API con datos confidenciales (como Microsoft Graph).
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph)
- y -
DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados.
Alerta cuando un administrador global, de aplicaciones o de aplicaciones en la nube da su consentimiento para una aplicación. Busca especialmente el consentimiento fuera de la actividad normal y cambia los procedimientos.
A la aplicación se le conceden permisos para Microsoft Graph, Exchange, SharePoint o Microsoft Entra ID. Alto Registros de auditoría de Microsoft Entra "Agregar concesión de permisos delegados"
O bien
"Agregar la asignación de roles de aplicación a la entidad de servicio"
-donde-
Los destinos identifican una API con datos confidenciales (como Microsoft Graph, Exchange Online, entre otros)
Usar la alerta de la fila anterior.
Permisos delegados altamente privilegiados otorgados en nombre de todos los usuarios Alto Registros de auditoría de Microsoft Entra "Agregar concesión de permisos delegados"
, donde
Los destinos identifican una API con datos confidenciales (como Microsoft Graph)
DelegatedPermissionGrant.Scope incluye permisos con privilegios elevados
- y -
DelegatedPermissionGrant.ConsentType es "AllPrincipals".
Usar la alerta de la fila anterior.
Aplicaciones que usan el flujo de autenticación ROPC Media Registro de inicios de sesión de Microsoft Entra Estado: correcto
Protocolo de autenticación: ROPC
Se deposita un alto nivel de confianza en esta aplicación porque las credenciales se pueden almacenar en caché o almacenar. Si es posible, pasa a un flujo de autenticación más seguro. Usa el proceso solo en pruebas de aplicaciones automatizadas, si alguna vez lo haces.
URI pendiente Alto Registros de Microsoft Entra y registro de aplicaciones Servicio: Directorio principal
Category-ApplicationManagement
Actividad: Actualización de aplicación
Éxito: nombre de propiedad AppAddress
Por ejemplo, busca URI pendientes que apunten a un nombre de dominio que ya no está o que no es de su propiedad.
Cambios de configuración de URI de redirección Alto Registros de Microsoft Entra Servicio: Directorio principal
Category-ApplicationManagement
Actividad: Actualización de aplicación
Éxito: nombre de propiedad AppAddress
Busque URI que no usen HTTPS*, URI con caracteres comodín al final o el dominio de la dirección URL, URI que no sean exclusivos de la aplicación, URI que apunten a un dominio que no controle.
Cambios en el URI de AppID Alto Registros de Microsoft Entra Servicio: Directorio principal
Category-ApplicationManagement
Actividad: Actualización de aplicación
Actividad: Actualización de la entidad de servicio
Busca modificaciones de URI de AppID, como agregar, modificar o eliminar la URI.
Cambios en la propiedad de las aplicaciones Media Registros de Microsoft Entra Servicio: Directorio principal
Category-ApplicationManagement
Actividad: Incorporación de un propietario a una aplicación
Busca instancias de usuarios agregados como propietarios de aplicaciones fuera de las actividades normales de administración de cambios.
Cambios en la URL de cierre de sesión Bajo Registros de Microsoft Entra Servicio: Directorio principal
Category-ApplicationManagement
Actividad: Actualización de aplicación
- y -
Actividad: Actualización de la entidad de servicio
Busca modificaciones en una URL de cierre de sesión. Las entradas en blanco o las entradas en ubicaciones inexistentes impedirían que un usuario terminara una sesión.

Infraestructura

Elementos para supervisar Nivel de riesgo Where Filtro/Subfiltro Notas
Directiva de acceso condicional creada por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Agregar una directiva de acceso condicional
Categoría: Directiva
Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional?
Directiva de acceso condicional eliminada por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Eliminar una directiva de acceso condicional
Categoría: Directiva
Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional?
Directiva de acceso condicional actualizada por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Actualizar una directiva de acceso condicional
Categoría: Directiva
Iniciado por (actor) = Nombre principal de usuario
Supervisar y alertar sobre cambios del acceso condicional. Iniciado por (actor): ¿tiene la aprobación para realizar cambios en el acceso condicional?
Revisar las propiedades modificadas y comparar el valor antiguo con el nuevo
Directiva personalizada B2C creada por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Crear una directiva personalizada
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas?
Directiva personalizada B2C actualizada por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Obtener directivas personalizadas
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas?
Directiva personalizada B2C eliminada por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Eliminar directiva personalizada
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar los cambios de la política personalizada. Iniciado por (actor): ¿está aprobado para realizar cambios en las políticas personalizadas?
Flujo de usuario creado por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Crear un flujo de usuario
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario?
Flujo de usuario actualizado por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Actualizar el flujo de usuario
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario?
Flujo de usuario eliminado por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Eliminar el flujo de usuario
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar sobre los cambios del flujo de usuario. Iniciado por (actor): ¿está aprobado para realizar cambios en los flujos de usuario?
Conectores de API creados por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Crear un conector de API
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API?
Conectores de API actualizados por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Actualizar el conector de API
Categoría: ResourceManagement
Destino: nombre principal de usuario: ResourceManagement
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API?
Conectores de API eliminados por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Actualizar el conector de API
Categoría: ResourceManagment
Destino: nombre principal de usuario: ResourceManagment
Supervisar y alertar sobre los cambios del conector de API. Iniciado por (actor): ¿está aprobado para realizar cambios en los conectores de la API?
Proveedor de identidades (IdP) creado por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Crear proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP?
IdP actualizado por actores no aprobados Alto Registros de auditoría de Microsoft Entra Actividad: Actualizar el proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP?
IdP eliminado por actores no aprobados Media Registros de auditoría de Microsoft Entra Actividad: Eliminar el proveedor de identidades
Categoría: ResourceManagement
Destino: Nombre principal de usuario
Supervisar y alertar cambios de IdP. Iniciado por (actor): ¿está aprobado para realizar cambios en la configuración de IdP?

Pasos siguientes

Para obtener más información, consulta los siguientes artículos sobre operaciones de seguridad: