Los sign-in logs (registros de inicio de sesión) son una de las fuentes de inteligencia más valiosas para detectar actividad sospechosa en tu organización. El Módulo de Identidades de TecnetSOC captura, normaliza y analiza estos registros desde Microsoft Entra ID, presentándolos en una vista que facilita la detección de patrones anómalos y la investigación de incidentes. Este artículo explica qué datos se capturan, cómo interpretarlos, y cómo usar los filtros y alertas disponibles.
---
Los sign-in logs son el registro de cada intento de inicio de sesión en las aplicaciones conectadas a tu tenant de Entra ID. Cada entrada incluye:
Nota: Los sign-in logs requieren licencia Entra ID P1 o P2. Si el tenant tiene licencias gratuitas, esta sección no mostrará datos. Consulta el artículo de solución de problemas para más detalles.
---
En la parte superior de la vista de Sign-ins, TecnetSOC muestra cuatro KPIs que dan un resumen rápido de la actividad:
Número total de intentos de inicio de sesión en el período seleccionado (24h, 48h, o 7d). Útil para detectar picos de actividad. Un aumento repentino del 300% o más puede indicar un ataque de password spray, donde un atacante prueba la misma contraseña contra muchas cuentas.
Número de inicios de sesión que resultaron en acceso concedido. Este número debería representar la gran mayoría del total. Si el porcentaje de éxito cae drásticamente, puede indicar un cambio en las políticas de CA o un ataque activo que está siendo bloqueado.
Número de intentos que resultaron en error. Un número elevado de fallos en un período corto, especialmente contra pocos usuarios o desde pocas IPs, es una señal de alerta. TecnetSOC genera automáticamente una alerta cuando la tasa de fallo supera el umbral configurado.
Número de sign-ins marcados por Identity Protection como de riesgo medio o alto. Cada uno de estos merece revisión individual. Las causas más comunes son IPs de Tor, IPs de VPN comercial, viaje imposible (sign-ins desde dos países en menos tiempo del que tomaría viajar entre ellos), y uso de credenciales filtradas.
---
TecnetSOC ofrece tres ventanas de tiempo para analizar los sign-in logs:
| Filtro | Período | Caso de uso |
|---|---|---|
| 24h | Últimas 24 horas | Monitoreo diario, respuesta a incidentes activos |
| 48h | Últimas 48 horas | Análisis de eventos del fin de semana o días festivos |
| 7d | Últimos 7 días | Análisis semanal, detección de patrones, auditorías |
Para investigaciones que requieran períodos más largos, Entra ID retiene los logs por 30 días (P1) o 90 días (P2) y pueden consultarse directamente en Entra Admin Center → Monitoring → Sign-in logs.
---
La siguiente tabla describe los códigos de error más frecuentes en los sign-in logs y su significado:
| Código | Nombre | Significado | Acción recomendada |
|---|---|---|---|
50126 | InvalidPasswordExpiredPassword | Contraseña incorrecta o expirada | Verificar si es legítimo (usuario olvidó contraseña) o sospechoso (ataque) |
50053 | AccountLocked | Cuenta bloqueada por demasiados intentos fallidos | Revisar quién intentó acceder y desde qué IPs |
50057 | UserAccountDisabled | La cuenta está deshabilitada en el directorio | Verificar si el bloqueo es intencional |
50074 | StrongAuthRequired | MFA requerido pero no completado | Usuario no configuró MFA o rechazó la solicitud |
50076 | StrongAuthExpiredSession | Sesión de MFA expirada | Normal en sesiones largas; reautenticación requerida |
50158 | ExternalSecurityChallenge | Desafío de seguridad externo (Acceso Condicional) | CA bloqueó el acceso; revisar qué política se activó |
53003 | BlockedByConditionalAccess | Bloqueado explícitamente por política de CA | Verificar si es un acceso legítimo que debe desbloquearse |
530032 | BlockedByCompliancePolicy | Dispositivo no cumple con la política de Intune | El dispositivo necesita ser enrolado o reparado en Intune |
65001 | DelegationDoesNotExist | La app no tiene los permisos necesarios | Error de configuración de la aplicación; revisar App Registration |
70011 | InvalidScope | Alcance de la solicitud de token inválido | Error de configuración de la aplicación |
90023 | InvalidUserInput | Formato de usuario o contraseña inválido | Generalmente un error tipográfico; también puede indicar automatización |
AADSTS7000112 | ApplicationDisabled | La aplicación enterprise está deshabilitada | Habilitar la app en Enterprise Applications si es necesario |
Nota: Los errores50126y50053en grandes volúmenes (decenas o cientos en minutos) son señales de ataques de password spray o credential stuffing. Activa una alerta inmediata e investiga las IPs de origen.
---
TecnetSOC puede generar alertas automáticas cuando la tasa de inicios de sesión fallidos supera un umbral definido. Las alertas se muestran en el panel de detecciones del dashboard y pueden enviarse por correo o webhook.
Los escenarios que disparan alertas son:
---
Los datos de sign-in logs pueden exportarse para análisis externo, reportes de auditoría, o integración con otras herramientas.
Para exportaciones de períodos más largos o con mayor detalle:
Nota: Las exportaciones desde Entra Admin Center pueden incluir hasta 250,000 registros por descarga. Para volúmenes mayores, considera usar la Microsoft Graph API con paginación o configurar un diagnóstico de exportación a Azure Storage / Log Analytics.
---
Última actualización: Abril 2026 | TecnetOne Knowledge Base