Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Identity proporciona a los usuarios Microsoft Defender XDR pruebas cuando los usuarios, equipos y dispositivos muestran signos de actividades sospechosas o de peligro.
En este artículo se proporcionan recomendaciones sobre cómo determinar los riesgos para su organización, decidir cómo corregirlos y determinar la mejor manera de evitar ataques similares en el futuro.
Pasos de investigación para usuarios sospechosos
Nota:
Para obtener información sobre cómo ver los perfiles de usuario en Microsoft Defender XDR, consulte Microsoft Defender XDR documentación.
Si una alerta o incidente indica que un usuario podría ser sospechoso o en peligro, compruebe e investigue el perfil de usuario para obtener los siguientes detalles y actividades:
Identidad de usuario
- ¿Es el usuario un usuario confidencial (por ejemplo, administrador, o en una lista de reproducción, etc.)?
- ¿Cuál es su rol dentro de la organización?
- ¿Son importantes en el árbol organizativo?
Investigue actividades sospechosas, como:
- ¿Tiene el usuario otras alertas abiertas en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿El usuario ha producido un error en los inicios de sesión?
- ¿A qué recursos accedió el usuario?
- ¿El usuario ha accedido a recursos de alto valor?
- ¿Se suponía que el usuario tenía acceso a los recursos a los que tenía acceso?
- ¿En qué dispositivos ha iniciado sesión el usuario?
- ¿Se suponía que el usuario debía iniciar sesión en esos dispositivos?
- ¿Hay una ruta de desplazamiento lateral (LMP) entre el usuario y un usuario confidencial?
Use las respuestas a estas preguntas para determinar si la cuenta aparece en peligro o si las actividades sospechosas implican acciones malintencionadas.
Busque información de identidad en las siguientes áreas de Microsoft Defender XDR:
- Páginas de detalles de identidad individual
- Página de detalles de alertas o incidentes individuales
- Páginas de detalles del dispositivo
- Consultas de búsqueda avanzadas
- Página del Centro de acciones
Por ejemplo, en la siguiente imagen se muestran los detalles de una página de detalles de identidad:
Detalles de identidad
Al investigar una identidad específica, verá los detalles siguientes en una página de detalles de identidad:
| Área de página detalles de identidad | Descripción |
|---|---|
| Pestaña Información general | Use la pestaña Información general para ver gráficos de incidentes y alertas, un árbol organizativo y etiquetas de entidad. Los datos de identidad generales incluyen: - nivel de riesgo de identidad Microsoft Entra - El número de dispositivos en los que la identidad ha iniciado sesión - Cuando la identidad se vio por primera y última vez - Las cuentas de la identidad y la información más importante. |
| Incidentes y alertas | Enumera los incidentes activos y las alertas que implican al usuario de los últimos 180 días, incluidos detalles como la gravedad de la alerta y el momento en que se generó la alerta. |
| Observado en la organización | Incluye las siguientes subá áreas: - Dispositivos: los dispositivos en los que inició sesión la identidad, incluidos los más y los menos usados en los últimos 180 días. - Ubicaciones: las ubicaciones observadas de la identidad en los últimos 30 días. - Grupos: todos los grupos locales observados para la identidad. - Rutas de desplazamiento lateral : todas las rutas de desplazamiento lateral perfiladas desde el entorno local. - Cuentas Ver todas las cuentas vinculadas a una identidad específica. |
| Escala de tiempo de identidad | La escala de tiempo representa las actividades y alertas observadas a partir de la identidad de un usuario en los últimos 180 días, para ayudar a unificar las entradas de identidad entre Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión. Puede usar la escala de tiempo para centrarse en las actividades que un usuario realizó o que se realizaron en ellas en períodos de tiempo específicos. Seleccione el valor predeterminado de 30 días para cambiar el intervalo de tiempo a otro valor integrado o a un intervalo personalizado. |
| Recomendaciones de seguridad | Esta pestaña muestra todas las evaluaciones de posición de seguridad (ISPM) activas asociadas a una cuenta de identidad. Incluye recomendaciones de Defender for Identity entre los proveedores de identidades disponibles, como Active Directory, Okta y otros. Al seleccionar un ISPM, se le envía a la página de recomendación de Puntuación de seguridad de Microsoft para obtener más detalles. |
| Rutas de acceso de ataque | Esta pestaña proporciona visibilidad sobre posibles rutas de ataque que conducen a una identidad crítica o que la implican dentro de la ruta de acceso, lo que ayuda a evaluar los riesgos de seguridad. Para obtener más información, consulte Información general sobre la ruta de acceso de ataque dentro de La administración de la exposición. |
| Acciones de corrección | Responda a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Después de realizar acciones en los usuarios, puede comprobar los detalles de la actividad en el Microsoft Defender XDR **Centro de acciones. |
Nota:
La puntuación de prioridad de investigación quedó en desuso el 3 de diciembre de 2024. Como resultado, el desglose de la puntuación de prioridad de investigación y las tarjetas de escala de tiempo de actividad puntuada ya no están disponibles.
Para obtener más información, consulte Investigar usuarios en la documentación de Microsoft Defender XDR.
Pasos de investigación para grupos sospechosos
Si una alerta o una investigación de incidentes está relacionada con un grupo de Active Directory, compruebe la entidad del grupo para obtener los siguientes detalles y actividades:
Entidad group
- ¿Es el grupo un grupo confidencial, como administradores de dominio?
- ¿Incluye el grupo usuarios confidenciales?
Investigue actividades sospechosas, como:
- ¿El grupo tiene otras alertas abiertas relacionadas en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿Qué usuarios se agregaron o quitaron recientemente del grupo?
- ¿Se ha consultado recientemente al grupo y por quién?
Use las respuestas a estas preguntas para ayudar en la investigación.
En un panel de detalles de entidad de grupo, seleccione Buscar o Abrir escala de tiempo para investigar. También puede encontrar información de grupo en las siguientes áreas de Microsoft Defender XDR:
- Página de detalles de alertas o incidentes individuales
- Páginas de detalles del dispositivo o del usuario
- Consultas de búsqueda avanzadas
Por ejemplo, en la imagen siguiente se muestra la escala de tiempo de actividad Operadores de servidor , incluidas las alertas y actividades relacionadas de los últimos 180 días:
Pasos de investigación para dispositivos sospechosos
Microsoft Defender XDR alerta muestra todos los dispositivos y usuarios conectados a cada actividad sospechosa. Seleccione un dispositivo para ver la página de detalles del dispositivo y, a continuación, investigue los siguientes detalles y actividades:
¿Qué pasó en el momento de la actividad sospechosa?
- ¿Qué usuario ha iniciado sesión en el dispositivo?
- ¿Ese usuario inicia sesión normalmente en el dispositivo de origen o de destino o accede a él?
- ¿A qué recursos se ha accedido? ¿Por qué usuarios? Si se accedió a los recursos, ¿eran recursos de alto valor?
- ¿Se suponía que el usuario tenía acceso a esos recursos?
- ¿El usuario que accedió al dispositivo realizó otras actividades sospechosas?
Actividades más sospechosas para investigar:
- ¿Se han abierto otras alertas aproximadamente al mismo tiempo que esta alerta en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿Hubo inicios de sesión erróneos?
- ¿Se implementaron o instalaron nuevos programas?
Use las respuestas a estas preguntas para determinar si el dispositivo aparece en peligro o si las actividades sospechosas implican acciones malintencionadas.
Por ejemplo, la siguiente imagen muestra una página de detalles del dispositivo:
Para obtener más información, consulte Investigar dispositivos en la documentación de Microsoft Defender XDR.
Pasos siguientes
- Investigar rutas de desplazamiento lateral (LMP)
- Investigación de usuarios en Microsoft Defender XDR
- Investigar incidentes en Microsoft Defender XDR
Sugerencia
Pruebe nuestra guía interactiva: Investigar y responder a ataques con Microsoft Defender for Identity