Investigación de usuarios en Microsoft 365 Defender

Nota:

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a:

  • Microsoft 365 Defender

Parte de la investigación de incidentes puede incluir cuentas de usuario. Puede ver los detalles de las cuentas de usuario identificadas en las alertas de un incidente en el portal de Microsoft 365 Defender dealertas>& de incidentesUsuarios deincidentes>. Por ejemplo:

La página Usuarios de un incidente en el portal de Microsoft 365 Defender.

Para obtener un resumen rápido de una cuenta de usuario para el incidente, seleccione la marca de verificación situada junto al nombre de la cuenta de usuario. Por ejemplo:

Pestaña Usuarios de un incidente en el portal de Microsoft 365 Defender

Nota:

La página de usuario muestra la organización de Azure Active Directory (Azure AD) y los grupos, lo que le ayuda a comprender los grupos y permisos asociados a un usuario.

En este panel, puede revisar la información de amenazas del usuario, incluidos los incidentes actuales, las alertas activas y el nivel de riesgo, así como la exposición del usuario, las cuentas, los dispositivos, etc.

Además, puede realizar acciones directamente en el portal de Microsoft 365 Defender para dirigirse a un usuario en peligro, como confirmar que la cuenta de usuario está en peligro o requerir un nuevo inicio de sesión.

Desde aquí, puede seleccionar Ir a la página de usuario para ver los detalles de una cuenta de usuario. Por ejemplo:

Detalles de la cuenta de usuario en el portal de Microsoft 365 Defender

También puede ver esta página seleccionando el nombre de la cuenta de usuario de la lista en la página Usuarios .

Para ver la pertenencia a grupos del usuario, seleccione el número en Grupos. Al seleccionar un grupo, se abrirá el panel Grupos , que incluye información adicional, como la fecha de creación y la pertenencia a grupos.

Nota:

La pertenencia a grupos solo muestra los primeros 1000 miembros del grupo.

Información sobre la pertenencia a grupos de un usuario en el portal de Microsoft 365 Defender

Al seleccionar el icono en Administrador, puede ver dónde está el usuario en el árbol de la organización.

La página de usuario del portal de Microsoft 365 Defender combina información de Microsoft Defender para punto de conexión, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps (dependiendo de las licencias que tenga).

En esta página se muestra información específica del riesgo de seguridad de una cuenta de usuario, que incluye una puntuación que ayuda a evaluar el riesgo y los eventos recientes y las alertas que contribuyeron al riesgo general.

Desde esta página, puede realizar estas acciones adicionales:

  • Marcar la cuenta de usuario como en peligro
  • Requerir que el usuario vuelva a iniciar sesión
  • Suspender la cuenta de usuario
  • Consulte la configuración de la cuenta de usuario de Azure AD.
  • Visualización de los archivos propiedad de la cuenta de usuario
  • Ver los archivos compartidos con este usuario.

Por ejemplo:

La sección que describe las acciones en una cuenta de usuario para un incidente en el portal de Microsoft 365 Defender

Ver rutas de desplazamiento lateral

Al seleccionar la pestaña Rutas de desplazamiento lateral , puede ver un mapa totalmente dinámico y en el que se puede hacer clic que proporciona una representación visual de las rutas de desplazamiento lateral hacia y desde este usuario que se pueden usar para infiltrarse en la red.

El mapa proporciona una lista de cuántos saltos entre equipos o usuarios tendría un atacante hacia y desde este usuario para poner en peligro una cuenta confidencial y, si el usuario tiene una cuenta confidencial, puede ver cuántos recursos y cuentas están conectados directamente.

Si no se detectó una posible ruta de desplazamiento lateral para la entidad durante los últimos dos días, el gráfico no se muestra. Seleccione una fecha diferente mediante Ver una fecha diferente para ver los gráficos de rutas de desplazamiento lateral anteriores detectados para esta entidad. El informe de rutas de desplazamiento lateral siempre está disponible para proporcionarle información sobre las posibles rutas de desplazamiento lateral detectadas y se puede personalizar por tiempo.

Ruta de desplazamiento lateral de un usuario en el portal de Microsoft 365 Defender

Para obtener más información, consulte Rutas de desplazamiento lateral.

Pasos siguientes

Según sea necesario para incidentes en proceso, continúe con la investigación.

Vea también