Investigación de usuarios en Microsoft Defender XDR

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

  • Microsoft Defender XDR

La página de entidad de usuario de Microsoft Defender XDR le ayuda a investigar las identidades de usuario. La página tiene toda la información importante sobre cada identidad. Si una alerta o un incidente indica que un usuario podría estar en peligro o es sospechoso, compruebe e investigue el perfil de usuario.

Puede encontrar información de identidad en las vistas siguientes:

  • Página Identidades
  • Cola de alertas
  • Cualquier alerta o incidente individual
  • Página dispositivo
  • Registro de actividad
  • Consultas de búsqueda avanzadas
  • Centro de actividades

Hay disponible un vínculo de identidad que permite hacer clic en estas vistas que le llevará a la página Usuario donde se muestran más detalles sobre el usuario. Por ejemplo, puede ver los detalles de las cuentas de usuario identificadas en las alertas de un incidente en el portal de Microsoft Defender en Incidentes & alertas>usuarios de incidentes>.

La página Usuarios de un incidente en el portal de Microsoft Defender.

Cuando investigue una identidad específica, verá lo siguiente:

Página de un usuario específico en el portal de Microsoft Defender

Nota:

En la página de usuario se muestra la organización Microsoft Entra, así como los grupos, lo que le ayuda a comprender los grupos y permisos asociados a un usuario.

Información general

Detalles de la entidad

Los detalles de la entidad a la izquierda de la página proporcionan información sobre el usuario, como el nivel de riesgo de identidad de Microsoft Entra, el número de dispositivos en los que el usuario inició sesión, la primera y la última vez que se vio al usuario, las cuentas del usuario, los grupos a los que pertenece el usuario, la información de contacto, etc. Verá otros detalles en función de las características de integración que haya habilitado.

Vista visual de incidentes y alertas

Esta tarjeta incluye todos los incidentes y alertas, agrupados en gravedades, asociados a una identidad.

Prioridad de la investigación

Esta tarjeta incluye el desglose de la puntuación de prioridad de investigación calculada y una tendencia de dos semanas para una identidad, incluido si la puntuación de identidad está en el percentil alto para ese inquilino.

Control de cuentas de Active Directory

En esta tarjeta, Defender for Identity expone la configuración de seguridad que puede necesitar su atención. Puede ver marcas importantes sobre el usuario, como si el usuario puede presionar Entrar para omitir la contraseña, y si el usuario tiene una contraseña que nunca expira, etc.

Para obtener más información, vea Marcas de control de cuentas de usuario.

Actividades puntuadas

Esta tarjeta incluye todas las actividades y alertas que contribuyen a la puntuación general de prioridad de investigación en los últimos siete días.

Árbol de organización

En esta sección se muestra la jerarquía de la identidad tal y como informa Microsoft Defender for Identity.

Etiquetas de cuenta

Defender for Identity extrae las etiquetas de Active Directory para proporcionarle una única interfaz para supervisar los usuarios y las entidades de Active Directory. Las etiquetas proporcionan detalles de Active Directory sobre la entidad e incluyen:

Nombre Descripción
New Indica que la entidad se creó hace menos de 30 días.
Eliminado Indica que la entidad se eliminó permanentemente de Active Directory.
Disabled Indica que la entidad está deshabilitada actualmente en Active Directory. El atributo deshabilitado es una marca de Active Directory que está disponible para cuentas de usuario, cuentas de equipo y otros objetos para indicar que el objeto no está en uso actualmente.

Cuando un objeto está deshabilitado, no se puede usar para iniciar sesión ni realizar acciones en el dominio.
Enabled Indica que la entidad está habilitada actualmente en Active Directory, lo que indica que la entidad está actualmente en uso y se puede usar para iniciar sesión o realizar acciones en el dominio.
Expired Indica que la entidad ha expirado en Active Directory. Cuando una cuenta de usuario ha expirado, el usuario ya no puede iniciar sesión en el dominio ni acceder a ningún recurso de red. La cuenta expirada se trata esencialmente como si estuviera deshabilitada, pero con una fecha de expiración explícita establecida.

Los servicios o aplicaciones a los que se autorizó el acceso del usuario también pueden verse afectados, en función de cómo se configuren.
Honeytoken Indica que la entidad se etiqueta manualmente como honeytoken.
Locked Indica que la entidad proporcionó demasiadas veces la contraseña incorrecta y ahora está bloqueada.
Parcial Indica que el usuario, dispositivo o grupo no está sincronizado con el dominio y se resuelve parcialmente a través de un catálogo global. En este caso, algunos atributos no están disponibles.
Pendiente Indica que el dispositivo no se resuelve en una identidad válida en el bosque de Active Directory. No hay información de directorio disponible.
Confidencial Indica que la entidad se considera confidencial.

Para obtener más información, consulte Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR.

Nota:

La sección del árbol de la organización y las etiquetas de cuenta están disponibles cuando hay disponible una licencia de Microsoft Defender for Identity.

Alertas

Puede ver todas las alertas activas que implican al usuario desde los últimos 180 días en esta pestaña. La información, como la gravedad de la alerta y el momento en que se generó la alerta, está disponible en esta pestaña. Al hacer clic en la fila de alertas, se muestra información adicional sobre la alerta.

Alertas relacionadas con la cuenta de usuario que se ven en la pestaña Alertas del portal de Microsoft Defender

Observado en la organización

  • Dispositivos: en esta sección se incluye información sobre los dispositivos en los que inició sesión la identidad, incluida la más y la menos usada en los últimos 180 días.
  • Ubicaciones: esta sección incluye todas las ubicaciones observadas para la identidad en los últimos 30 días.
  • Grupos: esta sección incluye todos los grupos locales observados para la identidad, como informa Defender for Identity.
  • Rutas de desplazamiento lateral: esta sección incluye todas las rutas de desplazamiento lateral perfiladas desde el entorno local detectado por Defender for Identity.

Nota:

Los grupos y las rutas de desplazamiento lateral están disponibles cuando hay disponible una licencia de Microsoft Defender for Identity.

Al seleccionar la pestaña Movimientos laterales , puede ver un mapa totalmente dinámico y en el que se pueden hacer clic, donde puede ver las rutas de desplazamiento lateral hacia y desde un usuario. Un atacante puede usar la información de ruta de acceso para infiltrarse en la red.

El mapa proporciona una lista de otros dispositivos o usuarios que un atacante puede aprovechar para poner en peligro una cuenta confidencial. Si el usuario tiene una cuenta confidencial, puede ver cuántos recursos y cuentas están conectados directamente.

El informe de ruta de desplazamiento lateral, que se puede ver por fecha, siempre está disponible para proporcionar información sobre las posibles rutas de desplazamiento lateral detectadas y se puede personalizar por tiempo. Seleccione una fecha diferente mediante Ver una fecha diferente para ver las rutas de desplazamiento lateral anteriores encontradas para una entidad. El gráfico solo muestra si se ha encontrado una ruta de desplazamiento lateral potencial para una entidad en los últimos dos días.

La vista Observada en la organización que muestra las rutas de desplazamiento lateral, de grupo, de grupo y de dispositivo para un usuario en el portal de Microsoft Defender

Escala de tiempo

La escala de tiempo representa las actividades y alertas observadas a partir de la identidad de un usuario en los últimos 30 días. Unifica las entradas de identidad del usuario en las cargas de trabajo de Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión. Mediante el uso de la escala de tiempo, puede centrarse en las actividades que un usuario realizó o que se realizaron en ellas en períodos de tiempo específicos.

  • Selector de intervalo de tiempo personalizado: Puede elegir un período de tiempo para centrar la investigación en las últimas 24 horas, los últimos 3 días, etc. También puede elegir un período de tiempo específico haciendo clic en Intervalo personalizado. Por ejemplo:

    Captura de pantalla que muestra cómo elegir el período de tiempo.

  • Filtros de escala de tiempo: Para mejorar la experiencia de investigación, puede usar los filtros de escala de tiempo: Tipo (alertas o actividades relacionadas con el usuario), Gravedad de alerta, Tipo de actividad, Aplicación, Ubicación, Protocolo. Cada filtro depende de los demás y las opciones de cada filtro (lista desplegable) solo contienen los datos pertinentes para el usuario específico.

  • Botón Exportar: Puede exportar la escala de tiempo a un archivo CSV. La exportación está limitada a los primeros 5000 registros y contiene los datos como se muestran en la interfaz de usuario (los mismos filtros y columnas).

  • Columnas personalizadas: Para elegir qué columnas se van a exponer en la escala de tiempo, seleccione el botón Personalizar columnas . Por ejemplo:

    Captura de pantalla que muestra la imagen del usuario.

¿Qué tipos de datos están disponibles?

Los siguientes tipos de datos están disponibles en la escala de tiempo:

  • Alertas afectadas por un usuario
  • Actividades de Active Directory y Microsoft Entra
  • Eventos de aplicaciones en la nube
  • Eventos de inicio de sesión del dispositivo
  • Cambios en los servicios de directorio

¿Qué información se muestra?

La siguiente información se muestra en la escala de tiempo:

  • Descripción de actividad o alerta
  • Fecha y hora de la actividad
  • Aplicación que realizó la actividad
  • Dirección IP o dispositivo de origen
  • Técnicas de MITRE ATT&CK
  • Estado de alerta y gravedad
  • País o región donde la dirección IP del cliente está geolocalizada
  • Protocolo usado durante la comunicación
  • Dispositivo de destino (columna personalizada)
  • Número de veces que se produjo la actividad (columna personalizada)

Por ejemplo:

Captura de pantalla de la pestaña Escala de tiempo.

Nota:

Microsoft Defender XDR puede mostrar información de fecha y hora mediante la zona horaria local o utc. La zona horaria seleccionada se aplicará a toda la información de fecha y hora que se muestra en la escala de tiempo de identidad. Para establecer la zona horaria de estas características, vaya a Configuración> Zonahorariadel Centro> de seguridad.

Acciones de corrección

En la página Información general, puede realizar estas acciones adicionales:

  • Habilitación, deshabilitación o suspensión del usuario en Microsoft Entra id.
  • Indicar al usuario que realice ciertas acciones, como requerir que el usuario vuelva a iniciar sesión o forzar el restablecimiento de contraseña.
  • Restablecer la puntuación de prioridad de investigación para el usuario
  • Ver Microsoft Entra configuración de la cuenta, la gobernanza relacionada, los archivos propiedad del usuario o los archivos compartidos del usuario

Acciones para la corrección de un usuario en el portal de Microsoft Defender

Para obtener más información, vea Acciones de corrección en Microsoft Defender for Identity.

Pasos siguientes

Según sea necesario para incidentes en proceso, continúe con la investigación.

Consulte también

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.