Tutorial: Investigación de usuarios de riesgo.

  • Artículo

Los equipos de operaciones de seguridad tienen el desafío de supervisar la actividad del usuario, sospechosa o de otro modo, en todas las dimensiones de la superficie expuesta a ataques de identidad, con varias soluciones de seguridad que a menudo no están conectadas. Aunque muchas empresas ahora tienen equipos de búsqueda para identificar de forma proactiva amenazas en sus entornos, saber qué buscar en toda la gran cantidad de datos puede ser un desafío. Microsoft Defender for Cloud Apps ahora simplifica esto al quitar la necesidad de crear reglas de correlación complejas y permite buscar ataques que abarquen la nube y la red local.

Para ayudarle a centrarse en la identidad del usuario, Microsoft Defender for Cloud Apps proporciona análisis de comportamiento de entidades de usuario (UEBA) en la nube. Esto se puede extender al entorno local mediante la integración con Microsoft Defender for Identity. Después de integrarse con Defender for Identity, también obtendrá contexto en torno a la identidad del usuario a partir de su integración nativa con Active Directory.

Tanto si el desencadenador es una alerta que ve en el panel de Defender for Cloud Apps como si tiene información de un servicio de seguridad de terceros, inicie la investigación desde el panel de Defender for Cloud Apps para profundizar en los usuarios de riesgo.

En este tutorial, aprenderá a usar Defender for Cloud Apps para investigar usuarios de riesgo:

Aumento de la puntuación de prioridad de investigación: escala de tiempo de desuso

Retiraremos gradualmente el soporte técnico de "Aumento de la puntuación de prioridad de investigación" de Microsoft Defender for Cloud Apps en julio de 2024.

Tras analizarlo y estudiarlo en profundidad, hemos decidido retirar este servicio por el alto porcentaje de falsos positivos asociados a esta alerta. Hemos descubierto que esto no ha contribuido eficazmente a la seguridad general de la organización.

Tras investigar esto, nos dimos cuenta de que esta función no aportaba ningún valor significativo y no se armonizaba con nuestro objetivo estratégico de ofrecer soluciones de seguridad fiables y de alta calidad.

Estamos siempre comprometidos a mejorar nuestros servicios y a garantizar que se cubran sus necesidades y expectativas.

Para aquellos que deseen seguir usando esta alerta, se recomienda usar la consulta dedicada "Búsqueda avanzada":

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • Esta consulta es una sugerencia, úsela como plantilla y modifique en función de sus necesidades.

Descripción de la puntuación de prioridad de investigación

La puntuación de prioridad de investigación es una puntuación que Defender for Cloud Apps proporciona a cada usuario para informarle de qué riesgo es un usuario con respecto a otros usuarios de su organización.

Use la puntuación de prioridad de investigación para determinar qué usuarios investigarán primero. Defender for Cloud Apps crea perfiles de usuario para cada usuario en función de los análisis que tardan tiempo, grupos del mismo nivel y actividad de usuario esperada en consideración. Se evalúa y puntúa la actividad anómala con respecto a la línea de base de un usuario. Una vez completada la puntuación, los cálculos dinámicos del mismo nivel y el aprendizaje automático de Microsoft se ejecutan en las actividades del usuario para calcular la prioridad de investigación de cada usuario.

La puntuación de prioridad de investigación le proporciona la capacidad de detectar usuarios internos malintencionados y atacantes externos que se mueven lateralmente en las organizaciones, sin tener que depender de las detecciones deterministas estándar.

La puntuación de prioridad de investigación se basa en alertas de seguridad, actividades anómalas y posibles impactos empresariales y activos relacionados con cada usuario para ayudarle a evaluar lo urgente que es investigar cada usuario específico.

Si selecciona el valor de puntuación de una alerta o una actividad, puede ver la evidencia que explica cómo Defender for Cloud Apps puntúa la actividad.

Cada usuario de Microsoft Entra tiene una puntuación de prioridad de investigación dinámica, que se actualiza constantemente en función del comportamiento y el impacto recientes, creado a partir de los datos evaluados desde Defender for Identity y Defender for Cloud Apps. Ahora puede comprender inmediatamente quiénes son los usuarios de riesgo principales reales mediante el filtrado según la puntuación de prioridad de investigación, comprobar directamente cuál es su impacto empresarial e investigar todas las actividades relacionadas, tanto si están en peligro, filtran datos o actúan como amenazas internas.

Defender for Cloud Apps usa lo siguiente para medir el riesgo:

  • Puntuación de alertas
    La puntuación de alertas representa el posible impacto de una alerta específica en cada usuario. La puntuación de alertas se basa en la gravedad, el impacto del usuario, la popularidad de las alertas entre los usuarios y todas las entidades de la organización.

  • Puntuación de actividad
    La puntuación de la actividad determina la probabilidad de que un usuario específico realice una actividad concreta, en función del aprendizaje de comportamiento del usuario y sus homólogos. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas.

Fase 1: Conectar a las aplicaciones que desea proteger

  1. Conectar al menos una aplicación a Microsoft Defender for Cloud Apps mediante Conectores de API. Se recomienda empezar por conectar Microsoft 365.
  2. Conectar aplicaciones adicionales que usan el proxy para lograr el control de aplicaciones de acceso condicional.

Fase 2: Identificación de los usuarios de alto riesgo

Para identificar quiénes son los usuarios más arriesgados en Defender for Cloud Apps:

  1. En el Portal de Microsoft Defender, en Activos, seleccione Identidades. Ordene la tabla por prioridad de investigación. A continuación, uno por uno vaya a su página de usuario para investigarlos.
    El número de prioridad de investigación, que se encuentra junto al nombre de usuario, es una suma de todas las actividades de riesgo del usuario en la última semana.

    Panel de usuarios principales.

  2. Seleccione los tres puntos a la derecha del usuario y elija Ver página Usuario. Página de usuario.

  3. Revise la información de la página Usuario para obtener información general del usuario y ver si hay puntos en los que el usuario realizó actividades inusuales para ese usuario o se realizaron en un momento inusual. La puntuación del usuario en comparación con la organización representa el percentil en el que el usuario se basa en su clasificación en su organización, lo alto que están en la lista de usuarios que debe investigar, en relación con otros usuarios de su organización. El número será rojo si un usuario está en o por encima del percentil 90 de los usuarios de riesgo de toda la organización.
    La página Usuario le ayuda a responder a las preguntas:

    • ¿Quién es el usuario?
      Examine el panel izquierdo para obtener información sobre quién es el usuario y qué se conoce sobre él. Este panel proporciona información sobre el rol del usuario en su empresa y su departamento. ¿Es el usuario un ingeniero de DevOps que a menudo realiza actividades inusuales como parte de su trabajo? ¿Es el usuario un empleado descontento al que acaban de pasar por alto para un ascenso?

    • ¿El usuario es arriesgado?
      Echa un vistazo a la parte superior del panel derecho para saber si merece la pena investigar al usuario. ¿Cuál es la puntuación de riesgo del empleado?

    • ¿Cuál es el riesgo que presenta el usuario a su organización?
      Examine la lista del panel inferior, que proporciona cada actividad y cada alerta relacionada con el usuario para ayudarle a comprender qué tipo de riesgo representa el usuario. En la escala de tiempo, seleccione cada línea para que pueda profundizar más en la actividad o alerta en sí misma. También puede seleccionar el número junto a la actividad para que pueda comprender la evidencia que influye en la propia puntuación.

    • ¿Cuál es el riesgo para otros recursos de su organización?
      Seleccione la pestaña Rutas de desplazamiento lateral para comprender qué rutas de acceso puede usar un atacante para obtener el control de otros recursos de la organización. Por ejemplo, incluso si el usuario que está investigando tiene una cuenta no confidencial, un atacante puede usar conexiones a la cuenta para detectar e intentar poner en peligro las cuentas confidenciales de la red. Para obtener más información, consulte Usar rutas de desplazamiento lateral.

Nota:

Es importante recordar que, mientras que la página Usuario proporciona información para dispositivos, recursos y cuentas en todas las actividades, la puntuación de prioridad de investigación es la suma de todas las actividades y alertas de riesgo en los últimos 7 días.

Restablecer puntuación de usuario

Si se investiga al usuario y no se encontró ninguna sospecha de compromiso, o por cualquier motivo que prefiera restablecer la puntuación de prioridad de investigación del usuario, puede restablecer manualmente la puntuación.

  1. En el Portal de Microsoft Defender, en Activos, seleccione Identidades.

  2. Seleccione los tres puntos situados a la derecha del usuario investigado y elija Restablecer puntuación de prioridad de investigación. También puede seleccionar Ver página de usuario y, a continuación, seleccionar Restablecer puntuación de prioridad de investigación en los tres puntos de la página Usuario.

    Nota:

    Solo se pueden restablecer los usuarios con una puntuación de prioridad de investigación distinta de cero.

    Seleccione el vínculo Restablecer puntuación de prioridad de investigación.

  3. En la ventana de confirmación, seleccione Restablecer puntuación.

    Seleccione el botón Restablecer puntuación.

Fase 3: Investigación adicional de los usuarios

Al investigar a un usuario en función de una alerta o si ha visto una alerta en un sistema externo, puede haber actividades que por sí solas no puedan provocar alarmas, pero cuando Defender for Cloud Apps las agrega junto con otras actividades, la alerta puede ser una indicación de un evento sospechoso.

Al investigar a un usuario, quiere hacer estas preguntas sobre las actividades y las alertas que ve:

  • ¿Existe una justificación comercial para que este empleado realice estas actividades? Por ejemplo, si alguien de Marketing accede a la base de código o alguien de Desarrollo accede a la base de datos de Finanzas, deberá hacer un seguimiento con el empleado para asegurarse de que se trata de una actividad intencionada y justificada.

  • Vaya al registro de actividad para comprender por qué esta actividad recibió una puntuación alta, mientras que otras no. Puede establecer la prioridad de investigación en Establecida para comprender qué actividades son sospechosas. Por ejemplo, puede filtrar en función de la prioridad de investigación para todas las actividades que se produjeron en Ucrania. A continuación, puede ver si había otras actividades que eran arriesgadas, desde las que el usuario se conectaba y puede dinamizar fácilmente a otras exploraciones, como actividades recientes no anómalas en la nube y en el entorno local, para continuar la investigación.

Fase 4: Proteja su organización

Si la investigación le lleva a la conclusión de que un usuario está en peligro, siga estos pasos para mitigar el riesgo.

  • Póngase en contacto con el usuario: con la información de contacto del usuario integrada con Defender for Cloud Apps desde Active Directory, puede explorar en profundidad cada alerta y actividad para resolver la identidad del usuario. Asegúrese de que el usuario está familiarizado con las actividades.

  • Directamente desde el Portal de Microsoft Defender, en la página Identidades, seleccione los tres puntos del usuario investigado y elija si necesita que el usuario inicie sesión de nuevo, si suspenderá al usuario o confirme que el usuario está en peligro.

  • En el caso de una identidad en peligro, puede pedir al usuario que restablezca su contraseña, asegurándose de que la contraseña cumple las directrices de procedimientos recomendados para la longitud y la complejidad.

  • Si explora en profundidad una alerta y determina que la actividad no debe haber desencadenado una alerta, en la categoría Actividad, seleccione el vínculo Enviar comentarios para que podamos asegurarnos de ajustar nuestro sistema de alertas con su organización en mente.

  • Después de corregir el problema, cierre la alerta.

Consulte también

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.