Alertas de Seguridad Office 365: Análisis Automático de Riesgos
OFFICE 365
El Desafío
Monitorear los registros de seguridad de Office 365 manualmente es una tarea exhaustiva y propensa a errores. Con miles de eventos generados diariamente, identificar amenazas reales — como intentos de inicio de sesión en cuentas deshabilitadas o fallas de cumplimiento — en medio del "ruido" operativo (como interrupciones KMSI) es un desafío constante para los equipos de TI.
El objetivo era:
- Identificar riesgos de seguridad activos en el inquilino
- Filtrar eventos irrelevantes (falsos positivos)
- Obtener recomendaciones de acción inmediatas y claras
- Detectar credenciales comprometidas o intentos de acceso no autorizado
El Prompt Enviado a Myrmex
Usando la integración con el inquilino de Office 365, enviamos:
Recupere las 5 alertas de seguridad más recientes de Office 365 del inquilino.
Para cada alerta, analice el nivel de amenaza y proporcione una lista concisa
de pasos de remediación. Enfóquese en acciones inmediatas para mitigar riesgos,
como restablecimiento de contraseñas o aislamiento de dispositivos.
Nota: Myrmex actúa como un analista de seguridad senior, cruzando datos de registros brutos con inteligencia de amenazas para entregar insights accionables.
Lo Que Myrmex Hizo
Myrmex se conectó a la API de Registros de Inicio de Sesión de Microsoft Entra ID (dado que la API de alertas avanzadas tenía restricciones de licencia) y realizó un escaneo en los últimos eventos de autenticación.
Resumen de Eventos Analizados
| Marca de Tiempo (UTC) | Usuario | Evento Detectado | Nivel de Amenaza | Acción Recomendada |
|---|---|---|---|---|
| 19:20 | Robson Severo | Inicio de Sesión en Cuenta Deshabilitada | 🟡 Medio | Revocar Sesiones |
| 19:19 | Robson Severo | Inicio de Sesión en Cuenta Deshabilitada | 🟡 Medio | Auditar Origen IP |
| 18:58 | Larissa Faustino | Interrupción KMSI | 🔵 Info | Ninguna Acción |
| 18:36 | Larissa Faustino | Contraseña Expirada | 🟡 Baja | Restablecer Contraseña |
| 18:02 | Vinicius Silva | Interrupción KMSI | 🔵 Info | Ninguna Acción |
Análisis y Acciones Realizadas
1. Detección de Acceso en Cuenta Deshabilitada
Myrmex identificó múltiples intentos fallidos de inicio de sesión para el usuario robson.severo@ainext.com.br, originados desde un dispositivo Windows 10 (GRS).
Identificación del Riesgo: Incluso con la cuenta deshabilitada, un dispositivo o cliente local (Outlook/Teams) seguía intentando autenticarse. Esto indica que el dispositivo no fue debidamente limpiado o desconectado al dar de baja al empleado.
Acciones Recomendadas por Myrmex:
- Inmediato: Ejecutar "Revocar sesiones" en Entra ID para invalidar Refresh Tokens.
- Dispositivo: Realizar borrado remoto en el dispositivo
GRSsi es administrado por Intune. - Red: Monitoreo de la IP
2804:1e68:8401:d71a:519d:7d32:3b03:70e5.
2. Filtrado de Ruido (KMSI)
Los eventos de "KMSI Interrupt" (Keep Me Signed In) fueron clasificados automáticamente como Info, evitando que el equipo de seguridad perdiera tiempo investigando comportamientos estándar del sistema.
3. Gestión de Credenciales
Para el error de "Contraseña Expirada", Myrmex sugirió un flujo de autoservicio para el usuario, reduciendo la carga de tickets de soporte nivel 1.
Beneficios del Enfoque
🚀 Detección Proactiva
En lugar de esperar un ticket de soporte o un incidente grave, la auditoría automática detectó un dispositivo "huérfano" intentando autenticación, permitiendo acción preventiva.
📉 Reducción de Fatiga de Alertas
La clasificación automática de riesgos (Medio vs. Info) permite que el equipo se enfoque solo en lo que importa (el acceso no autorizado) e ignore el ruido (KMSI).
Resultado
Con el análisis de Myrmex:
- ✅ Riesgo Mitigado: Identificación de dispositivo intentando acceso indebido.
- ✅ Visibilidad: Claridad sobre qué cuentas están generando registros de error.
- ✅ Eficiencia: Separación clara entre problemas técnicos (contraseña) y seguridad (cuenta deshabilitada).
Variaciones del Prompt
El mismo patrón puede usarse para otras búsquedas de seguridad:
Para monitorear administradores:
Analice los últimos 20 inicios de sesión de usuarios con rol 'Global Administrator'
y alerte sobre accesos fuera del horario comercial o de países inusuales.
Para cumplimiento de dispositivos:
Liste todos los dispositivos que intentaron iniciar sesión en las últimas 24h
que no están marcados como 'Compliant' en Intune.