Detección de Inicios de Sesión Comprometidos con Azure AD

Clase 26 de 28Curso de Azure Active Directory

Clase anteriorSiguiente clase

Resumen

¿Cómo detectar inicios de sesión comprometidos?

En el mundo digital actual, proteger las identidades de los usuarios es vital para la seguridad de una organización. Es común enfrentarse a situaciones donde los inicios de sesión puedan estar en riesgo. Este contenido te guiará sobre cómo usar Azure Active Directory para detectar estos inicios de sesión sospechosos y comprometerse a la ciberseguridad.

¿Qué es un viaje imposible?

Un viaje imposible se refiere al acceso de una cuenta desde ubicaciones geográficas distantes en un corto período, sugiriendo que no es factible un desplazamiento humano. Este escenario pone en alerta sistemas como Azure Active Directory, que monitorean inicios de sesión para evaluar riesgos.

¿Cómo replicar un viaje imposible?

  • Inicia sesión desde México: Comienza accediendo a tu cuenta desde México, lo que será tu punto de referencia.
  • Accede desde una máquina virtual en Alemania: Usando un navegador Tor, inicia sesión desde una máquina virtual en Alemania, resultando en un viaje atípico.
  • Realiza un nuevo acceso desde Brasil: Similar al paso anterior, utiliza otra máquina virtual ubicada en Brasil para ingresar nuevamente a tu cuenta.

Al seguir estos pasos, puedes analizar cómo Azure Active Directory detecta patrones de inicio de sesión inusuales, facilitando así la identificación de posibles compromisos de seguridad.

¿Cómo gestionar accesos con Azure Active Directory?

Mediante Azure Active Directory, puedes definir políticas para gestionar accesos basados en ubicaciones de confianza y condiciones personalizadas. A continuación, te mostramos cómo configurar políticas de acceso condicional:

Configuración de acceso condicional

  1. Define ubicaciones de confianza: Puedes establecer países donde esperas actividad común y segura. Esto se realiza seleccionando ubicaciones en la configuración de Azure.
  2. Configura políticas personalizadas: Desde el menú principal, ve a 'Access conditional' para crear una nueva política.
  3. Establece excepciones: Define IPs o rangos que consideras seguros. Esto permite a Azure ignorar alertas de seguridad para ciertas direcciones.
  4. Especifica aplicaciones: Decide a cuáles aplicaciones se aplicará la política y cuáles estarán exentas.

Al implementar correctamente estas configuraciones, mantendrás un nivel de seguridad estrictamente necesario, al mismo tiempo que permites un acceso eficiente a los usuarios legítimos.

¿Qué hacer ante un usuario en riesgo?

Cuando Azure Active Directory detecta un riesgo en un inicio de sesión, ofrece múltiples acciones para mitigar la amenaza:

  • Evaluar el riesgo: Determina si un inicio de sesión sospechoso realmente representa un compromiso. Analiza las ubicaciones reportadas y el historial de acceso del usuario.
  • Resetear contraseñas: Ante un riesgo confirmado, resetea inmediatamente las credenciales del usuario.
  • Informar al usuario: Contacta al usuario afectado y comparte detalles de los intentos de acceso sospechosos.
  • Implementar autenticación multifactor: Refuerza la seguridad con autenticación multifactor para los usuarios más sensibles.

Recomendaciones finales

Con estos conocimientos, estás equipado para identificar, evaluar y gestionar situaciones donde la seguridad pueda verse comprometida. Al integrar políticas de seguridad robustas en tu sistema, proteges tanto a los usuarios como a tu organización de potenciales riesgos de seguridad. Continúa explorando las herramientas de Azure y aprovecha al máximo sus capacidades para mantener un entorno digital seguro y confiable.