Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A medida que las organizaciones adoptan, compilan e implementan agentes de inteligencia artificial autónomos, la necesidad de supervisar y proteger esos agentes es fundamental. Protección de Microsoft Entra ID ayuda a proteger su organización detectando y respondiendo automáticamente a riesgos basados en identidades en agentes que tienen identidades de agente proporcionadas por Agente de Microsoft Entra ID.
Prerrequisitos
Funciones
Para usar nuestros informes de Risky Agent, debe tener asignado uno de los siguientes roles de administrador.
Para configurar directivas que usan el riesgo del agente como condición, debe tener asignado el rol Administrador de acceso condicional .
Licenciamiento
A partir de pronto, la protección de identificadores para agentes requerirá una licencia del agente 365 de Microsoft para ampliar la protección a los agentes a través de Agente de Microsoft Entra ID.
Cómo funciona
Dado que los agentes pueden funcionar de forma autónoma y en nombre de un usuario, pueden mostrar un comportamiento de inicio de sesión único. Los agentes pueden tomar iniciativa, interactuar con datos confidenciales y operar a escala. Protección de Microsoft Entra ID para agentes identifica y mitiga los riesgos asociados a estas funcionalidades. El modo de aprendizaje suprime automáticamente las alertas de comportamiento de los agentes que carecen del historial de actividad suficiente, lo que impide falsos positivos durante la incorporación y después de períodos de inactividad. Una detección independiente se ejecuta en paralelo para garantizar que el comportamiento auténticamente malicioso en sus primeras fases siga detectándose. Una vez que un agente muestra un comportamiento sospechoso, la protección de identificador marca la actividad como arriesgada.
Actividades que contribuyen al riesgo
En la tabla siguiente se proporcionan las actividades anómalas que pueden contribuir a que el agente sea señalado como un riesgo. En este momento, todas las detecciones de riesgo para los agentes sospechosos están fuera de línea.
Note
En los flujos en nombre de otro (OBO), en los que un agente actúa con los permisos delegados de un usuario, la actividad de riesgo se atribuye al usuario en lugar de al agente. Este enfoque se centra en la remediación de la sesión de usuario comprometida sin afectar al agente para otros usuarios. A menos que se indique lo contrario, las detecciones de riesgo de esta tabla solo se aplican a la actividad del agente autónomo.
| Detección de riesgos del agente | Description | riskEventType |
|---|---|---|
| Confirmado (en peligro) | Administrador confirmó agente comprometido | adminConfirmedAgentCompromised |
| Actividad maliciosa en las primeras etapas del ciclo de vida | El agente recién creado mostró inmediatamente varios patrones de comportamiento sospechosos, actuando como un atacante. | earlyLifeMaliciousActivity |
| Reconocimiento de Entra Directory | El agente realizó actividades sospechosas de reconocimiento u operaciones de directorio de alto riesgo. | entraDirectoryReconnaissance |
| Error en el intento de acceso | El agente intentó y no pudo acceder a los recursos para los que no está autorizado. Esta detección puede ser indicio de que un atacante está tratando de replicar el token de un agente en un recurso no autorizado. | intentoDeAccesoFallido |
| inteligencia de amenazas de Microsoft Entra | Microsoft identificó actividad que es consistente con los patrones de ataque conocidos, basado en sus fuentes de inteligencia sobre amenazas internas y externas. | threatIntelligenceAccount |
| Pico de inicio de sesión | El agente ha iniciado sesión más veces de lo habitual. Este pico puede ser un indicador de que un atacante usa automatización o un kit de herramientas. | signInSpike |
| Uso sospechoso de credenciales | Esta detección se activa cuando se agregan nuevas credenciales a las plantillas del agente y posteriormente se utilizan efectivamente. | usoSospechosoDeCredenciales |
| Acceso a recursos desconocidos | El agente apuntó a recursos a los que no suele acceder. Esta detección puede significar que un atacante intenta acceder a recursos confidenciales más allá del propósito previsto del agente. | unfamiliarResourceAccess |
Ver el informe del agente riesgoso
El informe Risky Agents proporciona una lista de todos los agentes marcados para el comportamiento de riesgo. Aparece un resumen de los agentes de riesgo en el panel de protección de identificadores. Esta vista instantánea proporciona una visión general sobre el número de agentes señalados como en riesgo según el nivel de riesgo. Seleccione Ver agentes de riesgo para abrir el informe completo.
También puede navegar directamente al informe de Risky Agents desde el menú de navegación de Protección de Identidades. Filtre y ordene para buscar agentes específicos, estados de riesgo o niveles de riesgo.
Puede realizar acciones sobre agentes directamente desde el informe, incluyendo:
- Confirmar compromiso: seleccione después de que la investigación manual o la detección automatizada confirme que la cuenta está comprometida. Este paso es útil como parte de la respuesta a incidentes para evitar daños adicionales. Confirme que el nivel de riesgo se establece automáticamente en Alto y crea un evento en las Detecciones de riesgo del agente. Esta acción desencadena directivas de acceso condicional basadas en riesgos configuradas para bloquear el acceso en alto riesgo del agente.
- Confirmar seguridad: marca al usuario como seguro después de la investigación y borra cualquier estado de riesgo activo para ese usuario estableciendo el nivel de riesgo en Ninguno. Use esta opción cuando desee marcar un falso positivo y para que el sistema evite marcar una actividad similar.
- Descartar riesgo: Indica al sistema que el riesgo detectado para un agente ya no es relevante después de una investigación, o que es un verdadero positivo benigno en el que desea que el sistema siga señalando actividades similares.
- Disable: impide todos los inicios de sesión de ese agente entre Microsoft Entra ID y aplicaciones conectadas.
Visualización de los detalles del agente de riesgo
En el informe de agente de riesgo, seleccione una entrada para ver los detalles completos, incluidas las detecciones de riesgo correspondientes para ese agente. Como ocurre con todos los informes de riesgo de protección de identificadores, puede tomar medidas con respecto al agente directamente desde el informe o desde la vista de detalles.
Los detalles del agente de riesgo incluyen:
- Nombre para mostrar e identificador del agente
- Estado de riesgo y nivel de riesgo
- Tipo de agente y patrocinadores (si se especifica)
También puede ir al informe Detecciones de riesgo y seleccionar la pestaña Detecciones del agente para ver una lista completa de los eventos de riesgo de detección de hasta los últimos 90 días. Las detecciones de riesgo se conservan durante un máximo de 90 días con fines de investigación.
Acceso condicional basado en riesgos para agentes
Use el acceso condicional para agentes para establecer directivas de riesgo que impidan que los agentes de riesgo accedan a recursos u otros agentes. Use esta plantilla de acceso condicional para simplificar la implementación de esta directiva en su organización.
Microsoft Graph
También puede consultar agentes de riesgo usando la API de Microsoft Graph. Hay dos colecciones en las API de protección de identificadores.
riskyAgentsagentRiskDetections
Exportación de datos de riesgo
Puede exportar datos mediante la configuración de diagnóstico en Microsoft Entra ID para enviar datos de riesgo a un área de trabajo de Log Analytics, archivarlo en una cuenta de almacenamiento, transmitirlos a un centro de eventos o enviarlos a una solución SIEM.
Contenido relacionado
- Administración de identidades de agente en su organización : información general sobre la administración de identidades del agente en todo el ciclo de vida.
- Acceso condicional para el identificador del agente: aplique directivas de Confianza cero en los flujos de adquisición de tokens de identidad del agente.
- Control de identidades de agente: enfoques de gobernanza preventiva que incluyen paquetes de acceso y supervisión por parte de los patrocinadores.