Cómo ver quién está tratando de ingresar a su Office 365 y qué están tratando de piratear

Los diagnósticos de seguridad de Office 365 y Azure Active Directory son herramientas sorprendentemente útiles.

Todos hemos recibido spam y phishing de sistemas Office 365 comprometidos. Son un objetivo principal para los malos actores, ya que el correo de Exchange Online es altamente confiable, y con las herramientas de automatización que Microsoft ha desarrollado, los piratas informáticos pueden usar las API de Microsoft Graph para enviar mensajes en segundo plano mediante programación, mientras que el propietario de la cuenta comprometida lleva en trabajar sin saber que su dirección de correo electrónico está trabajando arduamente para otra persona.

VER: Windows 10: listas de comandos vocales para reconocimiento de voz y dictado (PDF gratuito) (TechRepublic)

Microsoft ha estado agregando cada vez más funciones de seguridad a Office 365, como parte de su plataforma Microsoft 365, integrándola con las herramientas de Azure Active Directory. Ahora ha comenzado el proceso de mover la autenticación del modelo de autenticación HTTP básico relativamente inseguro a un enfoque más moderno basado en OAuth. Esto luego permite que Office 365 implemente la autenticación basada en push utilizando la aplicación Microsoft Authenticator, reduciendo los riesgos asociados con el compromiso de contraseñas.

Si bien la mayoría de las funciones de seguridad de Azure Active Directory requieren una cuenta empresarial de Microsoft 365, una E3 o mejor, aún puede obtener algunos beneficios de Azure Active Directory desde una cuenta de Office 365. Vale la pena usar estas herramientas para ver qué exposición tiene a los ataques desde el automóvil, donde se utilizan técnicas como los aerosoles de diccionario de contraseñas para ingresar a cuentas mal aseguradas.

Cómo usar Mis inicios de sesión para detectar ataques

Los usuarios pueden obtener una buena imagen de su exposición desde la página de su cuenta de Microsoft 365 u Office 365. Este es un portal de administración de alto nivel para los elementos de autoservicio de una cuenta empresarial de Office. Las cuentas de consumidor no obtienen este nivel de control, ya que se basan en la cuenta de Microsoft de un usuario, que no tiene el mismo nivel de acceso a Azure Active Directory.

Verá muchas herramientas de seguridad integradas en la página Mi cuenta de Office 365; es aquí donde administra las contraseñas y los dispositivos, así como su configuración de privacidad. Sin embargo, es la sección “Mis inicios de sesión” la que vale la pena investigar, ya que aquí es donde encontrará una lista de inicios de sesión recientes e intentos de conexión. Es una herramienta útil, ya que muestra desde dónde alguien intentó iniciar sesión, a qué intentaba conectarse y qué cuenta intentaba comprometer.

VER: 83 consejos de Excel que todo usuario debería dominar (TechRepublic)

Al usar esta herramienta con mi propia cuenta, pude ver algunos inicios de sesión legítimos desde mi navegador, desde mis aplicaciones de Office y desde varias extensiones de navegador de Microsoft que había instalado. Sin embargo, también hubo una serie de intentos de inicio de sesión desde Corea, Sudáfrica, Suecia, Brasil, Ucrania, China, Libia, República Checa, Estados Unidos, Argentina, Tailandia, Rusia, Vietnam, Japón y Colombia. Y eso fue solo en las últimas 24 horas.

Microsoft te da la dirección IP del atacante, geolocaliza la dirección IP y muestra los detalles junto a un mapa. Si el servicio no está seguro de si un intento de inicio de sesión podría no haber sido usted, lo bloqueará de forma predeterminada, pero verificará si fue usted. Aquí está ayudando a entrenar el sistema de aprendizaje automático que ejecuta los aspectos de seguridad de Azure Active Directory, así que siga adelante y marque aquellos que definitivamente no eran usted.

La página Mis inicios de sesión le brinda consejos sobre qué hacer si hay indicios de que su cuenta se ha visto comprometida. Se le recomendará que cambie su contraseña si es necesario.

Si bien la página le brinda muchos detalles sobre su propia cuenta en particular, los administradores necesitan más información para rastrear los puntos finales posiblemente vulnerables y para ver qué usuarios están siendo atacados con más frecuencia.

Cómo obtener más detalles de Azure Active Directory

Aquí puede comenzar a aprovechar las herramientas integradas en Azure Active Directory. Inicie sesión con una cuenta de administrador para ver todas las opciones disponibles para su inquilino. La sección que querrá explorar es la sección Supervisión, a la que se accede desde el panel izquierdo del portal de Azure Active Directory. Haga clic en Registros de inicio de sesión para ver una lista de todos los inicios de sesión de todos sus usuarios.

La vista inicial está parcialmente filtrada y muestra solo las últimas 24 horas de actividad. Puede cambiar esto para mostrar los últimos 7 días o un intervalo de tiempo personalizado. La tabla le brinda mucha información sobre cada interacción, mostrando si se han aplicado políticas y con vistas separadas para inicios de sesión interactivos y no interactivos. Desde aquí puede ver la aplicación a la que se accede y el tipo de autenticación utilizada. Si utiliza la autenticación multifactor, es probable que las autenticaciones de un solo factor sean sospechosas.

Cómo usar Excel para un análisis más profundo

Si bien el portal le brinda algunas opciones de filtrado adicionales, incluso en los campos que no se muestran en la interfaz de usuario del navegador, las investigaciones más detalladas pueden necesitar herramientas como Excel o Power BI. Los datos se pueden descargar como CSV o JSON y se entregan en función de los filtros que haya establecido. Una buena opción para descargar un gran conjunto de datos para su análisis es elegir la vista de siete días. Contiene detalles de todos sus inicios de sesión, interactivos y automáticos, y se puede filtrar en Excel usando sus herramientas de tabla.

La primera vez que profundicé en los datos de Azure Active Directory, estaba claro que los atacantes iban por la fruta más baja, en mi caso, los puntos finales POP3 e IMAP todavía accesibles para Exchange Online. Estos se pueden desactivar dentro de su inquilino para todos los usuarios, ya que con las versiones de Outlook para la mayoría de las plataformas tienden a ser innecesarios. Si utiliza usuarios de autenticación modernos con acceso a estos puntos finales, deberá generar contraseñas de aplicaciones, ya que no admiten la autenticación de dos factores. Esto reduce significativamente el riesgo, ya que son contraseñas de alta entropía generadas aleatoriamente que no necesitan almacenarse fuera de sus aplicaciones.

Otros ataques incluyen intentar usar las conexiones SMTP autenticadas de Exchange Online. Es probable que se trate de spammers que buscan retransmisiones abiertas para reenviar mensajes maliciosos, así que asegúrese de haber bloqueado el acceso SMTP. Algunas fallas de inicio de sesión no son maliciosas; vemos muchos inicios de sesión fallidos debido a errores de representación de JavaScript en el propio complemento del navegador Editor de Microsoft.

Las herramientas de seguridad integradas en Office 365 y Azure Active Directory contribuyen en gran medida a automatizar el bloqueo de sus servidores de correo electrónico. Aun así, vale la pena mirar los datos que producen. Puede ver qué cuentas están en mayor riesgo, así como detectar los servicios que los malos actores intentan aprovechar. Cuanto más pueda bloquear, menos tendrá de qué preocuparse, aunque una de las formas más fáciles de evitar que ingresen a sus sistemas y cuentas es habilitar la autenticación multifactor y hacerla obligatoria para todos sus usuarios.