Compartir vía


Simulación de detecciones de riesgos en Protección de id. de Microsoft Entra

Puede que los administradores quieran simular riesgo en su entorno para realizar las siguientes acciones:

  • Rellene los datos en el entorno de Protección de id. de Microsoft Entra mediante la simulación de puntos vulnerables y detecciones de riesgos.
  • Configure directivas de acceso condicional en función del riesgo y pruebe el efecto de estas directivas.

En este artículo se indican los pasos para simular los siguientes tipos de detecciones de riesgos:

  • Dirección IP anónima (fácil)
  • Propiedades de inicio de sesión desconocidas (moderado)
  • Viaje atípico (difícil)
  • Credenciales filtradas en GitHub para identidades de carga de trabajo (moderada)

Otras detecciones de riesgos no se pueden simular de forma segura.

Puede encontrar más información sobre cada detección de riesgos en el artículo ¿cuál es el riesgo para el usuario y la identidad de carga de trabajo?

Dirección IP anónima

Para completar el procedimiento siguiente, necesitará:

  • Tor Browser para simular direcciones IP anónimas. Es posible que necesite usar una máquina virtual si su organización restringe el uso de Tor Browser.
  • Una cuenta de prueba que aún no esté registrada para la autenticación multifactor de Microsoft Entra ID.

Para simular un inicio de sesión desde una IP anónima, realice los siguientes pasos:

  1. Utilice el explorador Tor para ir a https://myapps.microsoft.com.
  2. Escriba las credenciales de la cuenta que desee que aparezcan en el informe Inicios de sesión desde direcciones IP anónimas.

El inicio de sesión se muestra en el informe en un plazo de 10 a 15 minutos.

Propiedades de inicio de sesión desconocidas

Para simular ubicaciones desconocidas, debe usar una ubicación y un dispositivo que su cuenta de prueba no haya usado antes.

El siguiente procedimiento usa:

  • Una conexión VPN recién creada, para simular la nueva ubicación.
  • Una máquina virtual recién creada, para simular un dispositivo nuevo.

Para completar el procedimiento siguiente, necesitará una cuenta de usuario con:

  • Al menos un historial de inicio de sesión de 30 días.
  • Autenticación multifactor de Microsoft Entra

Para simular un inicio de sesión desde una ubicación desconocida, realice los siguientes pasos:

  1. Mediante la VPN nueva, vaya a https://myapps.microsoft.com y escriba las credenciales de la cuenta de prueba.
  2. Al iniciar sesión con su cuenta de prueba, no supere el desafío de la autenticación multifactor.

El inicio de sesión se muestra en el informe en un plazo de 10 a 15 minutos.

Viaje atípico

Simular la condición de viaje atípico es complicado. El algoritmo usa el aprendizaje automático para descartar falsos positivos, como un viaje atípico desde dispositivos conocidos o inicios de sesión de VPN usados por otros usuarios del directorio. Además, el algoritmo requiere un historial de inicios de sesión de 14 días o 10 inicios de sesión del usuario antes de empezar a generar detecciones de riesgos. Debido a los complejos modelos de aprendizaje automático y a las reglas anteriores, es probable que los pasos siguientes no den lugar a una detección de riesgos. Puede replicar estos pasos para varias cuentas de Microsoft Entra para simular esta detección.

Para simular una detección de riesgo de viaje atípico, realice los pasos siguientes:

  1. Use su explorador habitual para ir a https://myapps.microsoft.com.
  2. Escriba las credenciales de la cuenta para la que desea generar una detección de riesgos de viaje atípico.
  3. Cambie el agente de usuario. Puede cambiar el agente de usuario en Microsoft Edge desde las Herramientas de desarrollo (F12).
  4. Cambie la dirección IP. Puede cambiar la dirección IP mediante una VPN, un complemento de Tor, o iniciando una nueva máquina virtual en Azure en otro centro de datos.
  5. Inicie sesión en https://myapps.microsoft.com con las mismas credenciales que antes y pocos minutos después del inicio de sesión anterior.

El inicio de sesión se muestra en el informe en un plazo de 2 a 4 horas.

Credenciales filtradas para identidades de carga de trabajo

Esta detección de riesgo indica que se han filtrado las credenciales válidas de la aplicación. Esta filtración puede producirse cuando alguien inserta las credenciales en el artefacto de código público en GitHub. Por lo tanto, para simular esta detección, necesita una cuenta de GitHub y puede registrarse en una cuenta de GitHub si aún no tiene una.

Simular credenciales filtradas en GitHub para identidades de carga de trabajo

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. Seleccione Nuevo registro para registrar una aplicación nueva o reutilizar una aplicación obsoleta existente.

  4. Seleccione Certificados y secretos>Nuevo secreto de cliente, agregue una descripción del secreto de cliente y establezca una expiración para el secreto o especifique una duración personalizada y seleccione Agregar. Registre el valor del secreto para su uso posterior para la confirmación de GitHub.

    Nota

    No puede recuperar el secreto de nuevo después de salir de esta página.

  5. Obtenga el TenantID y Application(Client)ID en la página Información general.

  6. Asegúrese de deshabilitar la aplicación a través de Identidad>Aplicaciones>Aplicación empresarial>Propiedades>Establezca Habilitado para que los usuarios inicien sesión en No.

  7. Cree un repositorio de GitHub público, agregue la siguiente configuración y confirme el cambio como un archivo con la extensión .txt.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
      "AadSecret": "p3n7Q~XXXX",
      "AadTenantDomain": "XXXX.onmicrosoft.com",
      "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
    
  8. En unas 8 horas, podrá ver una detección de credenciales filtradas en Protección>Protección de identidad>Detección de riesgos>Detecciones de identidad de carga de trabajo donde la información adicional contiene la URL de la confirmación de GitHub.

Prueba de las directivas de riesgo

En esta sección se proporcionan los pasos necesarios para probar las directivas de riesgo de usuario y de inicio de sesión creadas en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Directiva de riesgo de usuario

Para probar una directiva de seguridad de riesgo del usuario, realice los pasos siguientes:

  1. Configure una directiva de riesgo de usuario dirigida a los usuarios con los que planea realizar las pruebas.
  2. Eleve el riesgo del usuario de una cuenta de prueba simulando, por ejemplo, una de las detecciones de riesgos varias veces.
  3. Espere unos minutos y, después, compruebe que el riesgo se ha elevado para el usuario. De lo contrario, simule más detecciones de riesgos para el usuario.
  4. Vuelva a la directiva de riesgo y establezca Aplicar directiva en Activado y guarde el cambio de directiva.
  5. Ahora puede probar el acceso condicional basado en riesgos del usuario mediante un inicio de sesión con un usuario con un nivel de riesgo elevado.

Directiva de seguridad de riesgo de inicio de sesión

Para probar la directiva de riesgo de inicio de sesión, realice los pasos siguientes:

  1. Configure una directiva de riesgo de inicio de sesión dirigida a los usuarios con los que planea realizar las pruebas.
  2. Ahora puede probar el acceso condicional basado en riesgo de inicio de sesión mediante el inicio de sesión con una sesión de riesgo (por ejemplo, mediante Tor Browser).

Pasos siguientes