Tutorial: Investigación de usuarios de riesgo.

Los equipos de operaciones de seguridad tienen el desafío de supervisar la actividad del usuario, sospechosa o de otro modo, en todas las dimensiones de la superficie expuesta a ataques de identidad, con varias soluciones de seguridad que a menudo no están conectadas. Aunque muchas empresas ahora tienen equipos de búsqueda para identificar de forma proactiva amenazas en sus entornos, saber qué buscar en toda la gran cantidad de datos puede ser un desafío. Microsoft Defender for Cloud Apps elimina la necesidad de crear reglas de correlación complejas y permite buscar ataques que abarquen la nube y la red local.

Para ayudarle a centrarse en la identidad del usuario, Microsoft Defender for Cloud Apps proporciona análisis de comportamiento de entidades de usuario (UEBA) en la nube. UEBA se puede ampliar al entorno local mediante la integración con Microsoft Defender for Identity, tras lo cual también obtendrá contexto en torno a la identidad del usuario gracias a su integración nativa con Active Directory.

Tanto si el desencadenador es una alerta que ve en el panel de Defender for Cloud Apps como si tiene información de un servicio de seguridad de terceros, inicie la investigación desde el panel de Defender for Cloud Apps para profundizar en los usuarios de riesgo.

En este tutorial, aprenderá a usar Defender for Cloud Apps para investigar usuarios de riesgo:

Descripción de la puntuación de prioridad de investigación

La puntuación de prioridad de investigación es una puntuación que Defender for Cloud Apps asigna a cada usuario para informarle de su nivel de riesgo en relación con otros usuarios de su organización. Utilice la puntuación de prioridad de investigación para determinar qué usuarios hay que investigar primero, detectando tanto a los usuarios internos malintencionados como a los atacantes externos que se mueven lateralmente en las organizaciones, sin tener que depender de las detecciones deterministas estándar.

Cada usuario de Microsoft Entra tiene una puntuación de prioridad de investigación dinámica, que se actualiza constantemente en función del comportamiento y el impacto recientes, creada a partir de los datos evaluados desde Defender for Identity y Defender for Cloud Apps.

Defender for Cloud Apps crea perfiles de usuario para cada usuario, en función de los análisis que consideran alertas de seguridad y actividades anómalas a lo largo del tiempo, grupos del mismo nivel, actividad de usuario esperada y el efecto que cualquier usuario específico pueda tener en los recursos empresariales o de la empresa.

Se evalúa y puntúa la actividad anómala con respecto a la línea de base de un usuario. Una vez completada la puntuación, los cálculos dinámicos del mismo nivel y el aprendizaje automático de Microsoft se ejecutan en las actividades del usuario para calcular la prioridad de investigación de cada usuario.

Conozca de inmediato quiénes son los verdaderos usuarios de mayor riesgo filtrando en función de la puntuación de prioridad de investigación, verificando directamente el impacto empresarial de cada usuario e investigando todas las actividades relacionadas, tanto si están en peligro, filtran datos o actúan como amenazas internas.

Defender for Cloud Apps usa lo siguiente para medir el riesgo:

  • Puntuación de alertas: representa el posible impacto de una alerta específica en cada usuario. La puntuación de alertas se basa en la gravedad, el impacto del usuario, la popularidad de las alertas entre los usuarios y todas las entidades de la organización.

  • Puntuación de la actividad: determina la probabilidad de que un usuario específico realice una actividad concreta, en función del aprendizaje de comportamiento del usuario y sus homólogos. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas.

Seleccione la puntuación de prioridad de investigación de una alerta o actividad para ver la evidencia que explica cómo Defender for Cloud Apps puntúa la actividad.

Nota:

Vamos a retirar gradualmente la alerta de Aumento de la puntuación de prioridad de investigación de Microsoft Defender for Cloud Apps para agosto de 2024. La puntuación de prioridad de investigación y el procedimiento que se describen en este artículo no se ven afectados por este cambio.

Para obtener más información, consulte Escala de tiempo de desuso del aumento de la puntuación de prioridad de investigación.

Fase 1: Conectar a las aplicaciones que desea proteger

Conectar al menos una aplicación a Microsoft Defender for Cloud Apps mediante Conectores de API. Se recomienda empezar por conectar Microsoft 365.

Las aplicaciones de Microsoft Entra ID se incorporan automáticamente para el control de aplicaciones de acceso condicional.

Fase 2: Identificación de los usuarios de alto riesgo

Para identificar quiénes son los usuarios más arriesgados en Defender for Cloud Apps:

  1. En el Portal de Microsoft Defender, en Activos, seleccione Identidades. Ordene la tabla por prioridad de investigación. A continuación, uno por uno vaya a su página de usuario para investigarlos.
    El número de prioridad de investigación, que se encuentra junto al nombre de usuario, es una suma de todas las actividades de riesgo del usuario en la última semana.

    Captura de pantalla del panel de usuarios principales.

  2. Seleccione los tres puntos a la derecha del usuario y elija Ver página Usuario.

    Captura de pantalla de la página de detalles de un usuario.

  3. Revise la información de la página de detalles del usuario para obtener información general del usuario y ver si hay puntos en los que el usuario realizó actividades inusuales para ese usuario o se realizaron en un momento inusual.

    La puntuación del usuario en comparación con la organización representa el percentil en el que el usuario se basa en su clasificación en su organización, lo alto que están en la lista de usuarios que debe investigar, en relación con otros usuarios de su organización. El número es rojo si un usuario está en o por encima del percentil 90 de los usuarios de riesgo de toda la organización.

La página de detalles del usuario le ayuda a responder a las siguientes preguntas:

Pregunta Detalles
¿Quién es el usuario? Busque detalles básicos sobre el usuario y lo que el sistema sabe de él, incluido el rol del usuario en la empresa y el departamento.

Por ejemplo, ¿el usuario es un ingeniero de DevOps que a menudo realiza actividades inusuales como parte de su trabajo? ¿O el usuario es un empleado descontento al que acaban de pasar por alto para un ascenso?
¿El usuario es arriesgado? ¿Cuál es la puntuación de riesgo del empleado? ¿Merece la pena investigarle?
¿Cuál es el riesgo que presenta el usuario a su organización? Desplácese hacia abajo para investigar cada actividad y alerta relacionada con el usuario para empezar a comprender el tipo de riesgo que representa.

En la escala de tiempo, seleccione cada línea para profundizar más en la actividad o alerta en sí misma. Seleccione el número junto a la actividad para que pueda comprender la evidencia que influye en la propia puntuación.
¿Cuál es el riesgo para otros recursos de su organización? Seleccione la pestaña Rutas de desplazamiento lateral para comprender qué rutas de acceso puede usar un atacante para obtener el control de otros recursos de la organización.

Por ejemplo, incluso si el usuario que está investigando tiene una cuenta no confidencial, un atacante puede usar conexiones a la cuenta para detectar e intentar poner en peligro las cuentas confidenciales de la red.

Para obtener más información, consulte Usar rutas de desplazamiento lateral.

Nota:

Mientras que la página de detalles del usuario proporciona información sobre los dispositivos, recursos y cuentas en todas las actividades, la puntuación de prioridad de investigación incluye la suma de todas las actividades y alertas de riesgo en los últimos 7 días.

Restablecer puntuación de usuario

Si se investiga al usuario y no se encontró ninguna sospecha de compromiso, o si desea restablecer la puntuación de prioridad de investigación del usuario por cualquier otro motivo, puede hacerlo manualmente como sigue:

  1. En el Portal de Microsoft Defender, en Activos, seleccione Identidades.

  2. Seleccione los tres puntos situados a la derecha del usuario investigado y seleccione Restablecer puntuación de prioridad de investigación. También puede seleccionar Ver página de usuario y, a continuación, seleccionar Restablecer puntuación de prioridad de investigación en los tres puntos de la página de detalles del usuario.

    Nota:

    Solo se pueden restablecer los usuarios con una puntuación de prioridad de investigación distinta de cero.

    Captura de pantalla del vínculo Restablecer puntuación de prioridad de investigación.

  3. En la ventana de confirmación, seleccione Restablecer puntuación.

    Captura de pantalla del botón Restablecer puntuación.

Fase 3: Investigación adicional de los usuarios

Es posible que algunas actividades no sean motivo de alarma por sí solas, pero pueden ser un indicio de un suceso sospechoso cuando se agregan a otras actividades.

Al investigar a un usuario, plantéese estas preguntas sobre las actividades y las alertas que ve:

  • ¿Existe una justificación comercial para que este empleado realice estas actividades? Por ejemplo, si alguien de marketing accede a la base de código o alguien de desarrollo accede a la base de datos de finanzas, deberá hacer un seguimiento con el empleado para asegurarse de que se trata de una actividad intencionada y justificada.

  • ¿Por qué esta actividad recibió una puntuación alta mientras que otras no? Acceda a Registro de actividad y establezca la Prioridad de investigación en Está configurada para saber qué actividades son sospechosas.

    Por ejemplo, puede filtrar en función de la prioridad de investigación para todas las actividades que se produjeron en una zona geográfica concreta. A continuación, puede ver si había otras actividades que eran arriesgadas, desde las que el usuario se conectaba y puede dinamizar fácilmente a otras exploraciones, como actividades recientes no anómalas en la nube y en el entorno local, para continuar la investigación.

Fase 4: Proteja su organización

Si la investigación le lleva a la conclusión de que un usuario está en peligro, siga estos pasos para mitigar el riesgo.

  • Póngase en contacto con el usuario: con la información de contacto del usuario integrada con Defender for Cloud Apps desde Active Directory, puede explorar en profundidad cada alerta y actividad para resolver la identidad del usuario. Asegúrese de que el usuario está familiarizado con las actividades.

  • Directamente desde el Portal de Microsoft Defender, en la página Identidades, seleccione los tres puntos del usuario investigado y elija si necesita que el usuario inicie sesión de nuevo, si suspenderá al usuario o confirme que el usuario está en peligro.

  • En el caso de una identidad en peligro, puede pedir al usuario que restablezca su contraseña, asegurándose de que la contraseña cumple las directrices de procedimientos recomendados para la longitud y la complejidad.

  • Si explora en profundidad una alerta y determina que la actividad no debe haber desencadenado una alerta, en la categoría Actividad, seleccione el vínculo Enviar comentarios para que podamos asegurarnos de ajustar nuestro sistema de alertas con su organización en mente.

  • Después de corregir el problema, cierre la alerta.

Consulte también

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.