Página de entidad de usuario en Microsoft Defender

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La página de entidad de usuario del portal de Microsoft Defender le ayuda a investigar las entidades de usuario. La página contiene toda la información importante sobre una entidad de usuario determinada. Si una alerta o un incidente indica que un usuario podría estar en peligro o es sospechoso, compruebe e investigue la entidad de usuario.

Puede encontrar información de entidad de usuario en las vistas siguientes:

  • Página Identidades, en Activos
  • Cola de alertas
  • Cualquier alerta o incidente individual
  • Página Dispositivos
  • Cualquier página de entidad de dispositivo individual
  • Registro de actividad
  • Consultas de búsqueda avanzadas
  • Centro de actividades

Siempre que aparezcan entidades de usuario en estas vistas, seleccione la entidad para ver la página Usuario , que muestra más detalles sobre el usuario. Por ejemplo, puede ver los detalles de las cuentas de usuario identificadas en las alertas de un incidente en el portal de Microsoft Defender en Incidentes & alertas >> Incidentes incidente> Activos > Usuarios.

Captura de pantalla de la página Usuarios de un incidente en el portal de Microsoft Defender.

Al investigar una entidad de usuario específica, verá las siguientes pestañas en su página de entidad:

En la página de usuario se muestra la organización Microsoft Entra, así como los grupos, lo que le ayuda a comprender los grupos y permisos asociados a un usuario.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública para la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Información general

Detalles de la entidad

El panel Detalles de la entidad del lado izquierdo de la página proporciona información sobre el usuario, como el nivel de riesgo de identidad de Microsoft Entra, el número de dispositivos en los que el usuario inició sesión, la primera y la última vez que se vio al usuario, las cuentas del usuario, los grupos a los que pertenece el usuario, la información de contacto, etc. Verá otros detalles en función de las características de integración que haya habilitado.

Vista visual de incidentes y alertas

Esta tarjeta incluye todos los incidentes y alertas asociados a la entidad de usuario, agrupados por gravedad.

Prioridad de la investigación

Esta tarjeta incluye el desglose de la puntuación de prioridad de investigación calculada de la entidad de usuario y una tendencia de dos semanas para esa puntuación, incluido el percentil de la puntuación en relación con el inquilino.

Controles de cuenta de Active Directory

Esta tarjeta se expone Microsoft Defender for Identity configuración de seguridad que puede necesitar tu atención. Puede ver marcas importantes sobre la configuración de la cuenta del usuario, como si el usuario puede presionar Entrar para omitir la contraseña, y si el usuario tiene una contraseña que nunca expira, etc.

Para obtener más información, vea Marcas de control de cuentas de usuario.

Actividades puntuadas

Esta tarjeta incluye todas las actividades y alertas que contribuyen a la puntuación de prioridad de investigación de la entidad en los últimos siete días.

Árbol de organización

En esta sección se muestra el lugar de la entidad de usuario en la jerarquía organizativa, tal y como informa Microsoft Defender for Identity.

Etiquetas de cuenta

Microsoft Defender for Identity extrae etiquetas de Active Directory para proporcionarle una única interfaz para supervisar los usuarios y entidades de Active Directory. Las etiquetas proporcionan detalles de Active Directory sobre la entidad e incluyen:

Nombre Descripción
New Indica que la entidad se creó hace menos de 30 días.
Eliminado Indica que la entidad se eliminó permanentemente de Active Directory.
Disabled Indica que la entidad está deshabilitada actualmente en Active Directory. El atributo deshabilitado es una marca de Active Directory que está disponible para cuentas de usuario, cuentas de equipo y otros objetos para indicar que el objeto no está en uso actualmente.

Cuando un objeto está deshabilitado, no se puede usar para iniciar sesión ni realizar acciones en el dominio.
Enabled Indica que la entidad está habilitada actualmente en Active Directory, lo que indica que la entidad está actualmente en uso y se puede usar para iniciar sesión o realizar acciones en el dominio.
Expired Indica que la entidad ha expirado en Active Directory. Cuando una cuenta de usuario ha expirado, el usuario ya no puede iniciar sesión en el dominio ni acceder a ningún recurso de red. La cuenta expirada se trata esencialmente como si estuviera deshabilitada, pero con una fecha de expiración explícita establecida.

Los servicios o aplicaciones a los que se autorizó el acceso del usuario también pueden verse afectados, en función de cómo se configuren.
Honeytoken Indica que la entidad se etiqueta manualmente como honeytoken.
Locked Indica que la entidad proporcionó demasiadas veces la contraseña incorrecta y ahora está bloqueada.
Parcial Indica que el usuario, dispositivo o grupo no está sincronizado con el dominio y se resuelve parcialmente a través de un catálogo global. En este caso, algunos atributos no están disponibles.
Pendiente Indica que el dispositivo no se resuelve en una identidad válida en el bosque de Active Directory. No hay información de directorio disponible.
Confidencial Indica que la entidad se considera confidencial.

Para obtener más información, consulte Etiquetas de entidad de Defender for Identity en Microsoft Defender XDR.

Nota:

La sección del árbol de la organización y las etiquetas de cuenta están disponibles cuando hay disponible una licencia de Microsoft Defender for Identity.

Captura de pantalla de la página de un usuario específico en el portal de Microsoft Defender

Incidentes y alertas

Puede ver todos los incidentes y alertas activos que implican al usuario de los últimos seis meses en esta pestaña. Aquí se muestra toda la información de las principales colas de incidentes y alertas. Esta lista es una versión filtrada de la cola de incidentes y muestra una breve descripción del incidente o alerta, su gravedad (alta, media, baja, informativa), su estado en la cola (nuevo, en curso, resuelto), su clasificación (no establecida, alerta falsa, alerta verdadera), estado de investigación, categoría, quién está asignado para abordarlo y última actividad observada.

Puede personalizar el número de elementos mostrados y las columnas que se muestran para cada elemento. El comportamiento predeterminado es enumerar 30 elementos por página. También puede filtrar las alertas por gravedad, estado o cualquier otra columna de la pantalla.

La columna de entidades afectadas hace referencia a todas las entidades de dispositivo y usuario a las que se hace referencia en el incidente o la alerta.

Cuando se selecciona un incidente o una alerta, aparece un control flotante. En este panel puede administrar el incidente o la alerta y ver más detalles, como el número de incidente o alerta y los dispositivos relacionados. Se pueden seleccionar varias alertas a la vez.

Para ver una vista de página completa de un incidente o alerta, seleccione su título.

Captura de pantalla de las alertas relacionadas con la cuenta de usuario que se muestran en la pestaña Alertas del portal de Microsoft Defender

Observado en la organización

  • Dispositivos: en esta sección se muestran todos los dispositivos en los que la entidad de usuario inició sesión en los 180 días anteriores, lo que indica el uso más y mínimo.

  • Ubicaciones: en esta sección se muestran todas las ubicaciones observadas para la entidad de usuario en los últimos 30 días.

  • Grupos: en esta sección se muestran todos los grupos locales observados para la entidad de usuario, como informa Microsoft Defender for Identity.

  • Rutas de desplazamiento lateral: en esta sección se muestran todas las rutas de desplazamiento lateral perfiladas desde el entorno local, tal y como detecta Defender for Identity.

Nota:

Los grupos y las rutas de desplazamiento lateral están disponibles cuando hay disponible una licencia de Microsoft Defender for Identity.

Al seleccionar la pestaña Movimientos laterales , puede ver un mapa totalmente dinámico y en el que se pueden hacer clic, donde puede ver las rutas de desplazamiento lateral hacia y desde un usuario. Un atacante puede usar la información de ruta de acceso para infiltrarse en la red.

El mapa proporciona una lista de otros dispositivos o usuarios que un atacante puede aprovechar para poner en peligro una cuenta confidencial. Si el usuario tiene una cuenta confidencial, puede ver cuántos recursos y cuentas están conectados directamente.

El informe de ruta de desplazamiento lateral, que se puede ver por fecha, siempre está disponible para proporcionar información sobre las posibles rutas de desplazamiento lateral detectadas y se puede personalizar por tiempo. Seleccione una fecha diferente mediante Ver una fecha diferente para ver las rutas de desplazamiento lateral anteriores encontradas para una entidad. El gráfico solo muestra si se ha encontrado una ruta de desplazamiento lateral potencial para una entidad en los últimos dos días.

Captura de pantalla de la vista Observada en la organización que muestra las rutas de desplazamiento lateral, grupo, grupo y dispositivo para un usuario en el portal de Microsoft Defender

Escala de tiempo

La escala de tiempo muestra las actividades del usuario y las alertas observadas desde la identidad de un usuario en los últimos 30 días. Unifica las entradas de identidad del usuario en las cargas de trabajo de Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión. Mediante el uso de la escala de tiempo, puede centrarse en las actividades que un usuario realizó o que se realizaron en ellas en períodos de tiempo específicos.

Para que los usuarios de la plataforma soc unificada vean alertas de Microsoft Sentinel basadas en orígenes de datos distintos de los del párrafo anterior, pueden encontrar estas alertas y otra información en la pestaña Eventos de Sentinel , que se describe a continuación.

  • Selector de intervalo de tiempo personalizado: Puede elegir un período de tiempo para centrar la investigación en las últimas 24 horas, los últimos 3 días, etc. También puede elegir un período de tiempo específico haciendo clic en Intervalo personalizado. Por ejemplo:

    Captura de pantalla que muestra cómo elegir el período de tiempo.

  • Filtros de escala de tiempo: Para mejorar la experiencia de investigación, puede usar los filtros de escala de tiempo: Tipo (alertas o actividades relacionadas con el usuario), Gravedad de alerta, Tipo de actividad, Aplicación, Ubicación, Protocolo. Cada filtro depende de los demás y las opciones de cada filtro (lista desplegable) solo contienen los datos pertinentes para el usuario específico.

  • Botón Exportar: Puede exportar la escala de tiempo a un archivo CSV. La exportación está limitada a los primeros 5000 registros y contiene los datos como se muestran en la interfaz de usuario (los mismos filtros y columnas).

  • Columnas personalizadas: Para elegir qué columnas se van a exponer en la escala de tiempo, seleccione el botón Personalizar columnas . Por ejemplo:

    Captura de pantalla que muestra la imagen del usuario.

¿Qué tipos de datos están disponibles?

Los siguientes tipos de datos están disponibles en la escala de tiempo:

  • Alertas afectadas por un usuario
  • Actividades de Active Directory y Microsoft Entra
  • Eventos de aplicaciones en la nube
  • Eventos de inicio de sesión del dispositivo
  • Cambios en los servicios de directorio

¿Qué información se muestra?

La siguiente información se muestra en la escala de tiempo:

  • Fecha y hora de la actividad
  • Descripción de actividad o alerta
  • Aplicación que realizó la actividad
  • Dirección IP o dispositivo de origen
  • Técnicas de MITRE ATT&CK
  • Gravedad y estado de la alerta
  • País o región donde la dirección IP del cliente está geolocalizada
  • Protocolo usado durante la comunicación
  • Dispositivo de destino (opcional, visible mediante la personalización de columnas)
  • Número de veces que se produjo la actividad (opcional, visible mediante la personalización de columnas)

Por ejemplo:

Captura de pantalla de la pestaña Escala de tiempo.

Nota:

Microsoft Defender XDR puede mostrar información de fecha y hora mediante la zona horaria local o utc. La zona horaria seleccionada se aplicará a toda la información de fecha y hora que se muestra en la escala de tiempo de identidad.

Para establecer la zona horaria de estas características, vaya a Configuración> Zonahorariadel Centro> de seguridad.

Eventos de Sentinel

Si su organización incorporó Microsoft Sentinel al portal de Defender, esta pestaña adicional se encuentra en la página de entidad de usuario. Esta pestaña importa la página Entidad de cuenta de Microsoft Sentinel.

Escala de tiempo de Sentinel

Esta escala de tiempo muestra las alertas asociadas a la entidad de usuario. Estas alertas incluyen las que se ven en la pestaña Incidentes y alertas y las creadas por Microsoft Sentinel desde orígenes de datos de terceros que no son de Microsoft.

Esta escala de tiempo también muestra búsquedas marcadas de otras investigaciones que hacen referencia a esta entidad de usuario, eventos de actividad de usuario de orígenes de datos externos y comportamientos inusuales detectados por las reglas de anomalías de Microsoft Sentinel.

Insights

Entity Insights son consultas definidas por investigadores de seguridad de Microsoft para ayudarle a investigar de forma más eficaz y eficaz. Estas conclusiones formulan automáticamente las grandes preguntas sobre la entidad de usuario, lo que proporciona información de seguridad valiosa en forma de gráficos y datos tabulares. Las conclusiones incluyen datos sobre inicios de sesión, adiciones de grupos, eventos anómalos, etc., e incluyen algoritmos avanzados de aprendizaje automático para detectar comportamientos anómalos.

A continuación se muestran algunas de las conclusiones:

  • Usuarios del mismo nivel basados en la pertenencia a grupos de seguridad.
  • Acciones por cuenta.
  • Acciones en la cuenta.
  • Registros de eventos borrados por el usuario.
  • Adiciones de grupo.
  • Recuento de operaciones de oficina anómalamente alto.
  • Acceso a recursos.
  • Recuento de resultados de inicio de sesión de Azure anómalamente alto.
  • Información de UEBA.
  • Permisos de acceso de usuario a suscripciones de Azure.
  • Indicadores de amenazas relacionados con el usuario.
  • Información de la lista de reproducción (versión preliminar).
  • Actividad de inicio de sesión de Windows.

La información se basa en los siguientes orígenes de datos:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA de Microsoft Sentinel)
  • Latido (agente de Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Captura de pantalla de la pestaña Eventos de Sentinel en la página de entidad de usuario.

Si desea explorar aún más cualquiera de las conclusiones de este panel, seleccione el vínculo que acompaña a la información. El vínculo le lleva a la página Búsqueda avanzada , donde muestra la consulta subyacente a la información, junto con sus resultados sin procesar. Puede modificar la consulta o explorar en profundidad los resultados para expandir la investigación o simplemente satisfacer su curiosidad.

Captura de pantalla de la pantalla de búsqueda avanzada con una consulta de información.

Acciones de corrección

En la página Información general, puede realizar estas acciones adicionales:

  • Habilitar, deshabilitar o suspender el usuario en Microsoft Entra ID
  • Indicar al usuario que realice ciertas acciones, como requerir que el usuario vuelva a iniciar sesión o forzar el restablecimiento de contraseña.
  • Restablecer la puntuación de prioridad de investigación para el usuario
  • Ver Microsoft Entra configuración de la cuenta, la gobernanza relacionada, los archivos propiedad del usuario o los archivos compartidos del usuario

Captura de pantalla de las acciones para la corrección de un usuario en el portal de Microsoft Defender

Para obtener más información, vea Acciones de corrección en Microsoft Defender for Identity.

Pasos siguientes

Según sea necesario para incidentes en proceso, continúe con la investigación.

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.