Cómo detectar inicios de sesión fuera de ubicaciones confiables en Microsoft Entra ID

Netwrix Auditor for Microsoft EntraID

1. Ejecute Netwrix Auditor → Navegue hasta "Buscar" → Especifique los siguientes criterios:

• Filtro – "Data source"
  Operador – "Equals"
  Valor – "Azure AD"
• Filtro – "Tipo de objeto"
  Operador – "Igual a"
  Valor – "Inicio de sesión"
• Filtro – "Workstation"
  Operador – "No contiene"
  Valor – Una dirección IP o ubicación que será excluida

Puede excluir varias direcciones IP o ubicaciones agregando filtros adicionales de “Workstation”.

2. Haga clic en “Buscar”:

Para guardar este informe para uso futuro, haga clic en “Herramientas” -> Haga clic en “Guardar como informe” -> Especifique un nombre para su informe -> Haga clic en “Guardar”.

Aprende más sobre Netwrix Auditor for Microsoft Entra ID

Solución nativa

1. Abra portal.azure.com -> Haga clic en “Azure Active Directory”.
2. En la sección de Monitoreo, haga clic en “Sign-ins”.
3. Haga clic en Descargar -> CSV.
4. Importe el archivo resultante a Microsoft Excel:
   • En Excel, haga clic en Archivo -> Abrir -> Elija el archivo que acaba de descargar.
   • En el Asistente para importación de texto, elija Tipo de datos = “Delimitado” y marque la casilla “Mis datos tienen encabezados” -> Haga clic en Siguiente.
   • En la sección de Delimitadores, marque “Comma” -> Haga clic en Siguiente.
   • Desplácese por la vista previa de los campos y elija “No importar columna (omitir)”, dejando solo las siguientes columnas: Fecha (UTC), Usuario, Nombre de usuario, Dirección IP, Ubicación, Estado. (Para obtener más detalles de inicio de sesión, también puede dejar marcados los campos “Aplicación”, “Recurso”, “Requisito de autenticación”, “Navegador”, “Sistema Operativo”.) -> Haga clic en “Finalizar”.
5. Filtre por ubicaciones confiables (o direcciones IP) utilizando la columna “Ubicación” (o “Dirección IP”).
6. Revise los resultados:

Encuentre inicios de sesión sospechosos en su Microsoft Entra ID más fácilmente

Muchas organizaciones han estado operando con una fuerza laboral remota ampliada durante varios meses. Aunque la mayoría de los desafíos relacionados con la puesta en marcha de los trabajadores remotos se han abordado, todavía existen serios desafíos de seguridad. En particular, ya no podemos confiar en las reglas tradicionales de firewall para controlar el acceso, especialmente a medida que las amenazas se vuelven más sofisticadas.

Las políticas de acceso condicional de Microsoft Entra ID le permiten controlar el acceso de los usuarios a los recursos e incluso implementar MFA basado en la ubicación de inicio de sesión. Sin embargo, con tantos trabajadores remotos y aplicaciones en la nube, su superficie de ataque es significativamente mayor, y por lo tanto, es crítico mantener un seguimiento de los eventos de inicio de sesión de Azure.

Los registros de auditoría de ID de Microsoft Entra registran todos los eventos de inicio de sesión, pero no puede filtrar eficazmente las entradas para excluir ubicaciones conocidas (seguras), dejándole con un volumen imposible de información para procesar manualmente.

Netwrix Auditor for Microsoft Entra ID facilita el control de acceso para la seguridad y el cumplimiento proporcionando informes de seguridad sobre los intentos exitosos y fallidos de acceder a su Microsoft Entra ID y aplicaciones en la nube. La función de búsqueda conveniente le permite filtrar registros innecesarios y encontrar rápidamente la información que busca. Incluso puede guardar su búsqueda como un informe personalizado al que puede suscribir a los interesados, y configurar una alerta para asegurarse de estar inmediatamente al tanto de cualquier intento de inicio de sesión sospechoso.