Preguntas frecuentes sobre ITDR

Se admite Microsoft Entra ID.

Sí, puede añadir varios inquilinos de Entra ID desde la página Configuración de identidad. Para obtener más información, consulte Configuración de identidad.

ITDR requiere Entra ID P1 o P2, que están disponibles en productos independientes, complementos o incluidos con otras licencias de Microsoft, como Microsoft 365 E3 y E5, Microsoft Business Premium y Microsoft 365 Frontline Worker F1, F3 y F5. Microsoft Entra ID Gratis proporciona acceso a las API de Microsoft, pero limita algunos de los datos que se pueden procesar y las comprobaciones de postura que se pueden ejecutar.

ITDR utiliza las API de Microsoft para recopilar información de las cuentas. Microsoft también restringe el acceso a determinadas API en función de las licencias, por lo que es posible que información como si un usuario es administrador o tiene MFA registrado no se muestre inmediatamente después de actualizar la licencia. Pueden producirse retrasos de hasta una semana antes de que Microsoft proporcione la información actualizada del usuario después de que un cliente actualice su licencia. Puede verificar la información consultando el informe de actividad en el centro de administración de Microsoft Entra. Para obtener más información, consulte Actividad de los métodos de autenticación. Si la información contenida en el informe del usuario no se actualiza, ITDR también estará desactualizado hasta que Microsoft actualice la información.

Estas son algunas de las posibles causas:

• No tiene la licencia de Microsoft Entra ID necesaria, como P1 o P2.
• Ha actualizado recientemente su licencia y Microsoft aún no ha facilitado los datos. Para más detalles, consulte la sección "¿Cuánto tiempo tarda ITDR en actualizarse después de pasar de una licencia Entra ID Gratis a una licencia P1 o P2?".

• Está utilizando un proveedor de MFA externo, como Okta o Duo, con una configuración heredada. En este caso, el estado de MFA no se reflejará correctamente, ya que Microsoft Entra ID no almacena la información de MFA a nivel de usuario para proveedores de MFA externos. Sin embargo, podemos deducir que se está utilizando un proveedor externo si utiliza los nuevos métodos de autenticación externa de Microsoft dentro de la configuración de su inquilino de Entra ID.

  Para obtener más información, consulte el blog de Microsoft Entra. Disponemos de detalles de configuración adicionales para Duo y Okta. Para obtener más información, consulte la documentación de Duo y la documentación de Okta.

ITDR incluye un conjunto de evaluaciones, cada una de las cuales se encarga de realizar diferentes comprobaciones, que se llevan a cabo con la siguiente periodicidad:

• Comprobaciones de postura de Entra ID: Cada 2 horas.
• Comprobaciones de recursos inactivos: Cada 2 horas.

Tras la configuración inicial, recopilamos el catálogo completo de datos de Microsoft Entra ID. A continuación, comprobamos si hay actualizaciones en función del tipo de datos, tal y como se describe a continuación:

• Datos de usuarios: Cada 10 minutos.
• Datos de entidades de servicio y aplicaciones: Cada 10 minutos.
• Grupos: Cada 10 minutos.
• Dispositivos: Cada 10 minutos.
• Configuración de MFA de usuarios: Cada 15 minutos.
• Actividad de usuarios (Último inicio de sesión): Cada 6 horas.
• Datos de dominios: Cada 24 horas.

La puntuación de la Postura de riesgo de identidad se actualiza diariamente en función de los cambios respecto al día anterior. La puntuación aumenta o disminuye en función de si se han observado nuevos resultados o si los resultados existentes se han resuelto o descartado.

Puede ver la lista de comprobaciones en la pestaña Preferencias de las comprobaciones de postura en la página Configuración de identidad. Para obtener más información, consulte Configuración de identidad.

Sí. Puede activar y desactivar las comprobaciones de postura en la pestaña Preferencias de las comprobaciones de postura en la página Configuración de identidad. Para obtener más información, consulte Configuración de identidad.

No. ITDR es un software que usted supervisa. Sin embargo, si dispone del servicio MDR, el equipo de operaciones de MDR investigará las amenazas basadas en la identidad, además de lo que ya investiga.

El equipo de operaciones de MDR se centra principalmente en las amenazas de identidad activas y analizará un subconjunto de resultados de riesgo crítico o alto que puedan indicar una amenaza activa. Sin embargo, es responsabilidad suya supervisar y gestionar los resultados.

El equipo de operaciones de MDR utiliza el contexto de identidad adicional recopilado de Microsoft Entra ID para comprender mejor a los usuarios y los riesgos asociados, lo que ayuda a acelerar los procesos de investigación y respuesta tanto en detecciones de identidad como de no identidad en las que se ha correlacionado al usuario.

La marca admin en Entra ID se establece en true para los usuarios asignados a roles reconocidos como administradores o con privilegios dentro de Entra ID. Estos roles suelen tener un control significativo sobre los recursos del directorio, los usuarios o la configuración de seguridad. A continuación se muestra una lista de los roles de Entra ID que establecen la marca admin en true:

• Administrador global: acceso completo a todas las funciones de administración de Entra ID.
• Administrador de roles con privilegios: gestiona las asignaciones de roles en Entra ID, incluida la asignación de otros administradores.
• Administrador de usuarios: gestiona las cuentas de usuario, los grupos y algunos atributos de usuario.
• Administrador de seguridad: tiene acceso completo a todas las funciones y configuraciones de seguridad.
• Administrador de cumplimiento: gestiona las funciones relacionadas con el cumplimiento, como eDiscovery y auditoría.
• Administrador de aplicaciones: gestiona los registros y la configuración de las aplicaciones en Entra ID.
• Administrador de autenticación: puede ver, establecer y restablecer métodos y controles de autenticación, incluido el restablecimiento de contraseñas.
• Administrador de Exchange: gestiona la configuración de Microsoft Exchange Online.
• Administrador de SharePoint: gestiona la configuración de SharePoint Online.
• Administrador de Teams: gestiona la configuración de Microsoft Teams.
• Administrador de Intune: gestiona la configuración de administración de dispositivos en Microsoft Intune.
• Administrador de facturación: gestiona las suscripciones, la facturación y las incidencias de soporte técnico.
• Administrador del departamento de soporte técnico: limitado al restablecimiento de contraseñas y a la resolución básica de problemas.
• Administrador de soporte técnico de servicios: gestiona la configuración relacionada con el soporte técnico.
• Lectores de directorios (si se combina con otros roles con privilegios): pueden leer la información del directorio; normalmente se combina con otro rol para aumentar los privilegios.
• Lector global (si se combina con otro rol de administrador): acceso de solo lectura en Entra ID y los servicios de Microsoft; puede establecer la marca admin en true cuando se combina con otro rol de administrador.
• Lector de informes (si se combina con otro rol de administrador): acceso a informes y registros, a menudo combinado con otras responsabilidades administrativas.
• Administrador de acceso condicional: gestiona las políticas de acceso condicional.
• Administrador de Identity Governance: gestiona la configuración relacionada con la gobernanza de identidades, las revisiones de acceso y la administración de derechos.
• Roles personalizados con privilegios de administrador: un rol personalizado con permisos administrativos comparables a cualquiera de los roles anteriores también puede establecer la marca admin en true.

Esta lista incluye los roles estándar de Entra ID que afectan a la marca admin. Sin embargo, si Microsoft actualiza estos roles o añade otros nuevos, el comportamiento de la marca admin podría cambiar en consecuencia.

Si la última vez que se ha iniciado sesión es hace más de 90 días, marcamos al usuario como inactivo.

Supervisamos continuamente si hay credenciales filtradas y, tan pronto como se identifica una coincidencia en el conjunto de datos, la procesamos y determinamos si es válida.

Para asegurarnos de generar resultados procesables, seguimos los siguientes pasos de procesamiento para correlacionar y validar los datos que recopilamos y analizamos:

1. Verificamos que exista una identidad activa dentro de los proveedores de identidad configurados.
2. Basándonos en los datos históricos disponibles, determinamos cuándo se produjo la filtración por primera vez de la contraseña en texto plano o con hash. Esto es importante porque las combinaciones de listas (combolist) recién publicadas suelen contener datos antiguos de filtraciones anteriores.
3. Si es un valor de contraseña en texto plano, lo comparamos con los requisitos globales de complejidad de contraseñas de Microsoft Entra ID para descartar los valores no válidos.
4. Por último, comparamos la primera fecha de filtración de la contraseña con la hora del último cambio de contraseña de la identidad. Si la filtración se produjo por primera vez después del último cambio de contraseña, generamos un resultado.

Si hemos determinado que se debe generar un resultado, comprobamos la cuenta asociada para ver si tiene habilitada la autenticación MFA y con qué nivel de seguridad. A continuación se muestran los niveles de riesgo asociados en función del tipo de usuario, el tipo de filtración y la configuración de MFA:

No. No almacenamos ninguna contraseña en texto plano ni valores hash. Tampoco tenemos la capacidad de obtenerlos de los proveedores de identidad. Al escanear y recopilar datos, aplicamos un hash personalizado a los valores observados y luego clasificamos la entrada como una contraseña en texto plano o con hash. Esto nos permite determinar la singularidad de las contraseñas, así como calcular métricas sin tener que conservar los valores de contraseña subyacentes.

Utilizamos datos de diversos mercados de la Web Oscura, como Russian Market y Genesis Market, sitios TOR, canales públicos y ocultos de Telegram, y archivos de registro de ladrones de información.