Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID Protection puede proporcionar una amplia gama de detecciones de riesgo que se pueden usar para identificar actividades sospechosas en su organización. Las tablas incluidas en este artículo resumen la lista de detecciones de riesgo de inicio de sesión y usuario, incluidos los requisitos de licencia o si la detección se produce en tiempo real o sin conexión. Puede encontrar más detalles sobre cada detección de riesgos siguiendo las tablas.
- Los detalles completos sobre la mayoría de las detecciones de riesgo requieren Microsoft Entra ID P2.
- Los clientes sin licencias P2 de Microsoft Entra ID reciben detecciones titulada Riesgo adicional detectado sin detalles de detección de riesgos.
- Para más información, consulte los requisitos de licencia.
- Para obtener información sobre las detecciones de riesgos de identidad de carga de trabajo, consulte Protección de identidades de carga de trabajo.
Note
Para obtener más información sobre las detecciones en tiempo real frente a los niveles de riesgo y las detecciones sin conexión, consulte Tipos y niveles de detección de riesgos.
Detecciones de riesgo de inicio de sesión asignadas a riskEventType
Seleccione una detección de riesgos en la lista para ver la descripción de la detección de riesgos, cómo funciona y los requisitos de licencia. En la tabla, Premium indica que la detección requiere al menos una licencia de Id. de Microsoft Entra P2.
Nonpremium indica que la detección está disponible con Microsoft Entra ID Gratis. La riskEventType columna indica el valor que aparece en las consultas de Microsoft Graph API.
| Detección de riesgos de inicio de sesión | Tipo de detección | Type | riskEventType |
|---|---|---|---|
| Actividad desde una dirección IP anónima | Offline | Premium | riskyIPAddress |
| Riesgo adicional detectado (inicio de sesión) | En tiempo real o sin conexión | Nonpremium | genérico^ |
| Vulneración de identidad de usuario confirmada por el administrador | Offline | Nonpremium | adminConfirmedUserCompromised |
| Token anómalo (inicio de sesión) | En tiempo real o sin conexión | Premium | anomalousToken |
| Dirección IP anónima. | Real-time | Nonpremium | anonymizedIPAddress |
| Viajes atípicos | Offline | Premium | unlikelyTravel |
| Desplazamiento imposible | Offline | Premium | mcasImpossibleTravel |
| Dirección IP malintencionada | Offline | Premium | maliciousIPAddress |
| Acceso masivo a archivos confidenciales | Offline | Premium | mcasFinSuspiciousFileAccess |
| Inteligencia sobre amenazas de Microsoft Entra (inicio de sesión) | En tiempo real o sin conexión | Nonpremium | investigationsThreatIntelligence |
| Nuevo país | Offline | Premium | newCountry |
| Ataque de pulverización de contraseñas | En tiempo real o sin conexión | Premium | passwordSpray |
| Navegador sospechoso | Offline | Premium | suspiciousBrowser |
| Reenvío sospechoso desde la bandeja de entrada | Offline | Premium | suspiciousInboxForwarding |
| Reglas de manipulación sospechosa de la bandeja de entrada | Offline | Premium | mcasSuspiciousInboxManipulationRules |
| Anomalía del emisor de tokens | Offline | Premium | tokenIssuerAnomaly |
| Propiedades de inicio de sesión desconocidas | Real-time | Premium | unfamiliarFeatures |
| IP comprobada del actor de amenazas | Real-time | Premium | nationStateIP |
^ RiskEventType para detección de riesgo adicional detectada es genérico para los inquilinos con Microsoft Entra ID Free o Microsoft Entra ID P1. Hemos detectado algo arriesgado, pero los detalles no están disponibles sin una licencia de Microsoft Entra ID P2.
Detecciones de riesgo de usuario asignadas a riskEventType
Seleccione una detección de riesgos en la lista para ver la descripción de la detección de riesgos, cómo funciona y los requisitos de licencia.
| Detección de riesgos de usuario | Tipo de detección | Type | riskEventType |
|---|---|---|---|
| Riesgo adicional detectado (usuario) | En tiempo real o sin conexión | Nonpremium | genérico^ |
| Token anómalo (usuario) | En tiempo real o sin conexión | Premium | anomalousToken |
| Actividad anómala del usuario | Offline | Premium | anomalousUserActivity |
| Atacante en el medio | Offline | Premium | attackerinTheMiddle |
| Credenciales filtradas | Offline | Nonpremium | leakedCredentials |
| Información sobre amenazas de Microsoft Entra (usuario) | En tiempo real o sin conexión | Nonpremium | investigationsThreatIntelligence |
| Posible intento de acceso al token de actualización principal (PRT) | Offline | Premium | attemptedPrtAccess |
| Tráfico de API sospechoso | Offline | Premium | suspiciousAPITraffic |
| Patrones de envío sospechosos | Offline | Premium | suspiciousSendingPatterns |
| El usuario notificó una actividad sospechosa | Offline | Premium | userReportedSuspiciousActivity |
^ RiskEventType para detección de riesgo adicional detectada es genérico para los inquilinos con Microsoft Entra ID Free o Microsoft Entra ID P1. Hemos detectado algo arriesgado, pero los detalles no están disponibles sin una licencia de Microsoft Entra ID P2.
Detecciones de riesgo de inicio de sesión
Actividad desde una dirección IP anónima
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección identifica que los usuarios estaban activos desde una dirección IP identificada como una dirección IP de proxy anónima.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Riesgo adicional detectado (inicio de sesión)
Esta detección indica que se desencadenó una de las detecciones premium. Dado que las detecciones premium solo son visibles para los clientes de Microsoft Entra ID P2, se etiquetan como Riesgo adicional detectado para los usuarios sin licencias P2 de Id. de Microsoft Entra.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
Vulneración de identidad de usuario confirmada por el administrador
Esta detección indica que un administrador ha seleccionado Confirmar que el usuario está en peligro en la interfaz de usuario de usuarios de riesgo o mediante riskyUsers API. Para ver qué administrador confirmó este usuario en peligro, compruebe el historial de riesgos del usuario (a través de la interfaz de usuario o la API).
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
Token anómalo (autenticación)
Esta detección indica características anómalas en el token, como una duración inusual o un token reproducido desde una ubicación desconocida. Esta detección abarca "Tokens de sesión" y "Tokens de actualización". Si la ubicación, la aplicación, la dirección IP, el Agente de usuario u otras características son inesperadas para el usuario, el administrador debe considerar este riesgo como un indicador de la posible reproducción de tokens.
El token anómalo históricamente se ha ajustado para generar más ruido que otras detecciones. Las mejoras recientes en la detección han reducido el ruido; sin embargo, todavía hay una probabilidad más alta de lo normal de que algunas de las sesiones marcadas por esta detección sean falsos positivos en niveles de riesgo bajo y medio.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de tokens anómalos.
Dirección IP anónima
Este tipo de detección de riesgos indica inicios de sesión desde una dirección IP anónima (por ejemplo, el explorador Tor o redes VPN anónimas). Estas direcciones IP normalmente las usan actores que quieren ocultar su información de inicio de sesión (dirección IP, ubicación, dispositivo, etc.) con fines potencialmente malintencionados.
- Calculado en tiempo real
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
Atypical travel
Este tipo de detección de riesgo identifica dos inicios de sesión procedentes de ubicaciones geográficamente distantes, donde al menos una de las ubicaciones puede también ser inusual para el usuario, según su comportamiento anterior. El algoritmo tiene en cuenta múltiples factores, como el tiempo transcurrido entre los dos inicios de sesión y el tiempo que habría necesitado el usuario para viajar de la primera ubicación a la segunda. Este riesgo podría indicar que otro usuario está usando las mismas credenciales.
Este algoritmo omite "falsos positivos" obvios que contribuyen a una condición de viaje imposible, como las VPN y las ubicaciones que usan con regularidad otros usuarios de la organización. El sistema tiene un período de aprendizaje inicial de 14 días o 10 inicios de sesión, lo que ocurra primero, durante el cual aprende el comportamiento de inicio de sesión del nuevo usuario.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de viajes atípicos.
Impossible travel
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección identifica las actividades del usuario (en una sola o varias sesiones) que se originan en ubicaciones geográficamente distantes dentro de un período de tiempo menor que el tiempo necesario para viajar desde la primera ubicación a la segunda. Este riesgo podría indicar que otro usuario está usando las mismas credenciales.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Dirección IP malintencionada
Esta detección indica el inicio de sesión desde una dirección IP malintencionada. Una dirección IP se considera malintencionada si se recibe una alta tasa de errores debidos a credenciales no válidas desde la dirección IP u otros orígenes de reputación de IP. En algunos casos, esta detección se desencadena en actividades malintencionadas anteriores.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de direcciones IP malintencionadas.
Acceso masivo a archivos confidenciales
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección examina el entorno y desencadena alertas cuando los usuarios acceden a varios archivos desde Microsoft SharePoint Online o Microsoft OneDrive. Una alerta solo se desencadena si el número de archivos a los que se accede es poco frecuente para el usuario y los archivos pueden contener información confidencial.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Inteligencia sobre amenazas de Microsoft Entra (inicio de sesión)
La inteligencia sobre amenazas de Microsoft Entra indica la actividad del usuario inusual para el usuario o coherente con los patrones de ataque conocidos. Esta detección se basa en la investigación de inteligencia sobre amenazas interna y externa de Microsoft, incluidos los datos del Centro de inteligencia sobre amenazas de Microsoft (MSTIC) y otros equipos de seguridad de Microsoft. Estas detecciones se muestran como "Inteligencia sobre amenazas de Microsoft Entra" en los registros e informes de protección de identificadores.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
- Sugerencias para investigar las detecciones de inteligencia sobre amenazas en Microsoft Entra.
New country
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección tiene en cuenta las ubicaciones de actividad anteriores para determinar las ubicaciones nuevas e infrecuentes. El motor de detección de anomalías almacena información sobre las ubicaciones anteriores utilizadas por los usuarios de la organización.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Password spray
Un ataque de difusión de contraseñas es aquel por el que se ataca a varias identidades mediante contraseñas comunes, en un único ataque por la fuerza bruta. Microsoft supervisa los patrones de difusión de contraseñas entre direcciones IP y otros identificadores para detectar estos ataques en todos los inquilinos de Microsoft Entra. La detección de riesgos solo se desencadena cuando un atacante valida correctamente la contraseña de un usuario. Los intentos de difusión incorrectos contra los usuarios no generan una detección. Cuando la detección se desencadena en el inquilino, significa que Microsoft observó un ataque de difusión y confirmó que el atacante obtuvo una validación de credenciales correcta en un usuario del inquilino. Esta detección indica que la contraseña del usuario se identificó correctamente, no que el atacante pudo acceder a ningún recurso.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de difusión de contraseñas.
Explorador sospechoso
La detección de actividad sospechosa del navegador indica un comportamiento anómalo basado en la actividad sospechosa de inicio de sesión en varios inquilinos de diferentes países o regiones en el mismo navegador.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de explorador sospechoso.
Reenvío sospechoso desde la bandeja de entrada
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección busca reglas de reenvío de correo electrónico sospechosas, por ejemplo, si un usuario creó una regla de bandeja de entrada que reenvía una copia de todos los correos electrónicos a una dirección externa.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Reglas de manipulación sospechosa de la bandeja de entrada
Esta detección se descubre utilizando la información que proporciona Microsoft Defender for Cloud Apps. Esta detección analiza su entorno y activa alertas cuando se establecen reglas sospechosas que eliminan o mueven mensajes o carpetas en la bandeja de entrada de un usuario. Esta detección puede indicar que: la cuenta del usuario está en peligro, los mensajes se están ocultando intencionadamente, y el buzón se está usando para distribuir correo no deseado o malware en su organización.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Anomalía del emisor de tokens
Esta detección de riesgo indica que el emisor del token SAML asociado puede estar en peligro. Las notificaciones incluidas en el token son inusuales o coinciden con patrones de atacante conocidos.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de anomalías del emisor de tokens.
Propiedades de inicio de sesión desconocidas
Este tipo de detección de riesgos considera que el historial de inicio de sesión anterior busca inicios de sesión anómalos. El sistema almacena información sobre inicios de sesión anteriores y desencadena una detección de riesgos cuando se produce un inicio de sesión con propiedades desconocidas para el usuario. Estas propiedades pueden incluir IP, ASN, ubicación, dispositivo, explorador y subred IP del inquilino. Los usuarios recién creados se encuentran en un período de "modo de aprendizaje" en el que la detección de riesgos de propiedades de inicio de sesión desconocidas está desactivada mientras nuestros algoritmos aprenden el comportamiento del usuario. La duración del modo de aprendizaje es dinámica y depende de cuánto tiempo tarde el algoritmo en recopilar información suficiente sobre los patrones de inicio de sesión del usuario. La duración mínima es de cinco días. Un usuario puede volver al modo de aprendizaje tras un largo período de inactividad.
También se ejecuta esta detección para una autenticación básica o para protocolos heredados. Dado que estos protocolos no tienen propiedades modernas, como Id. de cliente, hay datos limitados para reducir los falsos positivos. Se recomienda que los clientes realicen la migración a la autenticación moderna.
Se pueden detectar propiedades de inicio de sesión desconocidas en inicios de sesión interactivos y no interactivos. Cuando esta detección se realiza en inicios de sesión no interactivos, merece mayor supervisión debido al riesgo de ataques de reproducción de tokens.
Seleccionar un riesgo de propiedades de inicio de sesión desconocido le permite ver más información que muestra más detalles sobre por qué se desencadenó este riesgo.
- Calculado en tiempo real
- Requisito de licencia: Microsoft Entra ID P2
IP comprobada del actor de amenazas
Calculado en tiempo real. Este tipo de detección de riesgos indica la actividad de inicio de sesión que es coherente con las direcciones IP conocidas asociadas a actores del estado nacional o a grupos de ciberdelincuencia, en función de los datos del Centro de inteligencia sobre amenazas de Microsoft (MSTIC).
- Calculado en tiempo real
- Requisito de licencia: Microsoft Entra ID P2
Detecciones de riesgo de usuario
Riesgo adicional detectado (usuario)
Esta detección indica que se descubrió una de las detecciones premium. Dado que las detecciones premium solo son visibles para los clientes de Microsoft Entra ID P2, se les denomina Riesgo adicional detectado para los clientes sin licencias de Id. de Entra P2 de Microsoft.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
Token anómalo (usuario)
Esta detección indica características anómalas en el token, como una duración inusual o un token reproducido desde una ubicación desconocida. Esta detección abarca "Tokens de sesión" y "Tokens de actualización". Si la ubicación, la aplicación, la dirección IP, el Agente de usuario u otras características son inesperadas para el usuario, el administrador debe considerar este riesgo como un indicador de la posible reproducción de tokens.
El token anómalo históricamente se ha ajustado para generar más ruido que otras detecciones. Las mejoras recientes en la detección han reducido el ruido; sin embargo, todavía hay una probabilidad más alta de lo normal de que algunas de las sesiones marcadas por esta detección sean falsos positivos en niveles de riesgo bajo y medio.
- Calculado en tiempo real o sin conexión
- Requisito de licencia: Microsoft Entra ID P2
- Sugerencias para investigar las detecciones de tokens anómalos.
Actividad anómala del usuario
Esta detección de riesgos tiene como base el comportamiento normal del usuario administrativo en Microsoft Entra ID y detecta patrones anómalos de comportamiento, como los cambios sospechosos en el directorio. La detección se desencadena en el administrador que realiza el cambio o en el objeto que se cambió.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
Atacante en el medio
También conocido como Adversario en el Medio, esta detección de alta precisión se desencadena cuando una sesión de autenticación está vinculada a un proxy inverso malintencionado. En este tipo de ataque, el adversario puede interceptar las credenciales del usuario, incluidos los tokens emitidos al usuario. El equipo de Investigación de seguridad de Microsoft usa Microsoft Defender for Cloud Apps para capturar el riesgo identificado y eleva al usuario a Alto riesgo. Se recomienda que los administradores investiguen manualmente al usuario cuando se desencadene esta detección para asegurarse de que se borra el riesgo. La eliminación de este riesgo podría requerir el restablecimiento de contraseña seguro o la revocación de sesiones existentes.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Leaked credentials
Esta detección de riesgos indica que las credenciales válidas de un usuario aparecieron en una infracción de credenciales conocida. Microsoft opera una canalización de examen de credenciales a gran escala que supervisa continuamente foros web oscuros, repositorios de volcado de vulneración de seguridad, sitios de pegado, datos de captura de la ley y otros orígenes a través de asociaciones con el Centro de inteligencia sobre amenazas de Microsoft (MSTIC), Microsoft Digital Crimes Unit (DCU) y asociados del sector. Cuando se encuentran las credenciales detectadas, el servicio valida el material de credenciales real con los hash de contraseña válidos actuales del inquilino. Solo se emite una detección cuando se encuentra una coincidencia confirmada. Esta detección siempre es de alto riesgo porque representa la exposición comprobada de credenciales, no una señal heurística. Un restablecimiento de contraseña basado en la nube a través de Microsoft Entra corrige el riesgo de usuario para esta detección de contraseñas locales y en la nube, siempre y cuando la sincronización de hash de contraseñas (PHS) esté habilitada para las contraseñas locales. Para obtener más información sobre la protección de contraseñas local, consulte Evaluaciones de la posición de seguridad de las cuentas de Microsoft Defender for Identity.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
- Requiere la sincronización de hash de contraseñas (PHS) para las contraseñas locales
- Sugerencias para investigar las detecciones de credenciales filtradas.
Información sobre amenazas de Microsoft Entra (usuario)
Este tipo de detección de riesgo indica una actividad de usuario inusual para el usuario en cuestión o coherente con patrones de ataque conocidos. Esta detección se basa en la investigación de inteligencia sobre amenazas interna y externa de Microsoft, incluidos los datos del Centro de inteligencia sobre amenazas de Microsoft (MSTIC) y otros equipos de seguridad de Microsoft.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID Free o Microsoft Entra ID P1
- Sugerencias para investigar las detecciones de inteligencia sobre amenazas en Microsoft Entra.
Posible intento de acceso al token de actualización principal (PRT)
Este tipo de detección de riesgos se descubre utilizando la información proporcionada por Microsoft Defender para punto de conexión (MDE). Un token de actualización principal (PRT) es un artefacto de claves de autenticación de Microsoft Entra en dispositivos Windows 10, Windows Server 2016 y versiones posteriores, iOS y Android. Un PRT es un token web JSON (JWT) emitido a los agentes de tokens de primera entidad de Microsoft para habilitar el inicio de sesión único (SSO) en todas las aplicaciones que se usan en esos dispositivos. Los atacantes pueden intentar acceder a este recurso para desplazarse lateralmente a una organización o realizar el robo de credenciales. Esta detección mueve a los usuarios a alto riesgo y solo se desencadena en organizaciones que implementan MDE. Esta detección es de alto riesgo y se recomienda la corrección de estos usuarios. Aparece con poca frecuencia en la mayoría de las organizaciones debido a su bajo volumen.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
Tráfico de API sospechoso
Esta detección de riesgos se notifica cuando se observa un tráfico anómalo de GraphAPI o enumeración de directorios. El tráfico de API sospechoso podría sugerir que un usuario está en peligro y que realiza el reconocimiento en el entorno.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2
Patrones de envío sospechosos
Este tipo de detección de riesgos se detecta mediante la información proporcionada por Microsoft Defender para Office 365 (MDO). Esta alerta se genera cuando alguien de su organización envió un correo electrónico sospechoso y corre el riesgo de ser o está restringido al envío de correo electrónico. Esta detección mueve a los usuarios a riesgo medio y solo se desencadena en organizaciones que implementan MDO. Esta detección es de bajo volumen y se ve con poca frecuencia en la mayoría de las organizaciones.
- Calculado sin conexión
- Requisito de licencia:
- Microsoft Entra ID P2 y una licencia independiente para Microsoft Defender for Cloud Apps
- Microsoft 365 E5 con Enterprise Mobility + Security E5
El usuario notificó una actividad sospechosa
Esta detección de riesgo se notifica cuando un usuario rechaza una solicitud de autenticación multifactor (MFA) y la notifica como actividad sospechosa. Una solicitud de MFA no iniciada por un usuario puede significar que sus credenciales están en peligro. Para que esta detección funcione, debe tener activada la característica Notificar actividad sospechosa . Para obtener más información, consulte Configuración de Microsoft Entra MFA.
- Calculado sin conexión
- Requisito de licencia: Microsoft Entra ID P2