Investigación de alertas de detección de anomalías

Microsoft Defender for Cloud Apps proporciona detecciones de seguridad y alertas para actividades malintencionadas. El objetivo de esta guía es proporcionarle información general y práctica sobre cada alerta, para ayudarle en sus tareas de investigación y corrección. En esta guía se incluye información general sobre las condiciones de activación de las alertas. Sin embargo, es importante tener en cuenta que, dado que las detecciones de anomalías son no deterministas por naturaleza, solo se desencadenan cuando hay un comportamiento que se desvía de la norma. Por último, es posible que algunas alertas estén en versión preliminar, por lo que revise periódicamente la documentación oficial para ver el estado de alerta actualizado.

MITRE ATT&CK

Para explicar y facilitar la asignación de la relación entre las alertas de Defender for Cloud Apps y la conocida matriz de ATT de MITRE&CK, hemos clasificado las alertas por su táctica de ATT de MITRE&CK correspondiente. Esta referencia adicional facilita la comprensión de la técnica de ataques sospechosos potencialmente en uso cuando se desencadena una alerta de Defender for Cloud Apps.

En esta guía se proporciona información sobre cómo investigar y corregir alertas de Defender for Cloud Apps en las categorías siguientes.

• Acceso inicial
• Ejecución
• Persistencia
• Elevación de privilegios
• Acceso a credenciales
• Colección
• Filtración
• Impacto

Clasificación de las alertas de seguridad

Tras una investigación adecuada, todas las alertas de Defender for Cloud Apps se pueden clasificar como uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
• Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
• Falso positivo (FP): una alerta sobre una actividad no confiable.

Pasos generales de la investigación

Debe usar las siguientes directrices generales al investigar cualquier tipo de alerta para obtener una comprensión más clara de la posible amenaza antes de aplicar la acción recomendada.

• Revise la puntuación de prioridad de investigación del usuario y compárela con el resto de la organización. Esto le ayudará a identificar qué usuarios de su organización suponen el mayor riesgo.
• Si identifica un TP, revise todas las actividades del usuario para comprender el impacto.
• Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el origen y el ámbito de impacto. Por ejemplo, revise la siguiente información de dispositivo de usuario y compárela con la información de dispositivo conocida:
  • Sistema operativo y versión
  • Explorador y versión
  • Dirección IP y ubicación

Alertas de acceso inicial

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando obtener una posición inicial en su organización.

Actividad desde una dirección IP anónima

Descripción

Actividad de una dirección IP que microsoft Threat Intelligence o su organización han identificado como una dirección IP de proxy anónimo. Estos servidores proxy se pueden usar para ocultar la dirección IP de un dispositivo y pueden usarse para actividades malintencionadas.

¿TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que reduce los incidentes de B-TP , como las direcciones IP mal etiquetadas que usan ampliamente los usuarios de la organización.

1. TP: si puede confirmar que la actividad se realizó desde una dirección IP anónima o TOR.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si se sabe que un usuario usa direcciones IP anónimas en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

• Revise toda la actividad del usuario y las alertas para ver otros indicadores de peligro. Por ejemplo, si la alerta estaba seguida de otra alerta sospechosa, como una descarga de archivos inusual (por usuario) o una alerta de reenvío de bandeja de entrada sospechosa , a menudo indica que un atacante está intentando filtrar datos.

Actividad desde países o regiones poco frecuentes

Actividad de un país o región que podría indicar actividad malintencionada. Esta directiva genera perfiles en el entorno y desencadena alertas cuando se detecta actividad desde una ubicación que no fue recientemente o nunca fue visitada por ningún usuario de la organización.

La directiva se puede limitar aún más a un subconjunto de usuarios o puede excluir a los usuarios que se sabe que viajan a ubicaciones remotas.

Período de aprendizaje

La detección de ubicaciones anómalas requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las ubicaciones nuevas.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada:

   1. Suspenda al usuario, restablezca su contraseña e identifique el momento adecuado para volver a habilitar la cuenta de forma segura.
   2. Opcional: cree un cuaderno de estrategias con Power Automate para ponerse en contacto con los usuarios detectados como que se conectan desde ubicaciones poco frecuentes y sus administradores para comprobar su actividad.

2. B-TP: si se sabe que un usuario está en esta ubicación. Por ejemplo, cuando un usuario que viaja con frecuencia y se encuentra actualmente en la ubicación especificada.

   Acción recomendada:

   1. Descarte la alerta y modifique la directiva para excluir al usuario.
   2. Cree un grupo de usuarios para viajeros frecuentes, importe el grupo en Defender for Cloud Apps y excluya a los usuarios de esta alerta.
   3. Opcional: cree un cuaderno de estrategias con Power Automate para ponerse en contacto con los usuarios detectados como que se conectan desde ubicaciones poco frecuentes y sus administradores para comprobar su actividad.

Comprender el alcance de la infracción

• Revise qué recurso podría haberse puesto en peligro, como las posibles descargas de datos.

Actividad desde direcciones IP sospechosas

Actividad de una dirección IP que microsoft Threat Intelligence o su organización han identificado como de riesgo. Estas direcciones IP se identificaron como implicadas en actividades malintencionadas, como la difusión de contraseñas, el comando y el control de botnet (C&C) y podrían indicar una cuenta en peligro.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si se sabe que un usuario usa la dirección IP en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad y busque actividades desde la misma dirección IP.
2. Revise qué recurso podría haberse puesto en peligro, como posibles descargas de datos o modificaciones administrativas.
3. Cree un grupo para analistas de seguridad que desencadene voluntariamente estas alertas y excluyalas de la directiva.

Viaje imposible

Actividad del mismo usuario en ubicaciones diferentes dentro de un período de tiempo más corto que el tiempo de viaje esperado entre las dos ubicaciones. Esto puede indicar una vulneración de credenciales, pero también es posible que la ubicación real del usuario esté enmascarada, por ejemplo, mediante una VPN.

Para mejorar la precisión y la alerta solo cuando hay una indicación fuerte de una infracción, Defender for Cloud Apps establece una línea base en cada usuario de la organización y solo alertará cuando se detecte el comportamiento inusual. La política de viaje imposible puede ajustarse a sus necesidades.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que omite las condiciones obvias de B-TP , como cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye de desencadenar la detección de viajes imposibles. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de un solo lado del viaje se considera segura, la detección se desencadena con normalidad.

1. TP: si puede confirmar que la ubicación de la alerta de viaje imposible es poco probable para el usuario.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (viaje de usuario no detectado): si puede confirmar que el usuario viajó recientemente al destino mencionado detalladamente en la alerta. Por ejemplo, si el teléfono de un usuario que está en modo avión permanece conectado a servicios como Exchange Online en la red corporativa mientras viaja a otra ubicación. Cuando el usuario llega a la nueva ubicación, el teléfono se conecta a Exchange Online desencadenar la alerta de viaje imposible.

   Acción recomendada: descartar la alerta.

3. FP (VPN no etiquetada): si puede confirmar que el intervalo de direcciones IP es de una VPN autorizada.

   Acción recomendada: descarte la alerta y agregue el intervalo de direcciones IP de la VPN a Defender for Cloud Apps y, a continuación, úsela para etiquetar el intervalo de direcciones IP de la VPN.

Comprender el alcance de la infracción

1. Revise el registro de actividad para comprender las actividades similares en la misma ubicación y dirección IP.
2. Si ve que el usuario realizó otras actividades de riesgo, como descargar un gran volumen de archivos de una nueva ubicación, esto sería una indicación clara de un posible riesgo.
3. Agregue intervalos de direcciones IP y VPN corporativas.
4. Cree un cuaderno de estrategias con Power Automate y póngase en contacto con el administrador del usuario para ver si el usuario viaja legítimamente.
5. Considere la posibilidad de crear una base de datos de viajeros conocida para informes de viajes de la organización de hasta un minuto y úsela para la actividad de viaje entre referencias.

Nombre de aplicación de OAuth engañoso

Esta detección identifica las aplicaciones con caracteres, como letras externas, que son similares a las letras latinas. Esto puede indicar un intento de disfrazar una aplicación malintencionada como una aplicación conocida y de confianza para que los atacantes puedan engañar a los usuarios para que descarguen su aplicación malintencionada.

¿TP, B-TP o FP?

1. TP: si puede confirmar que la aplicación tiene un nombre engañoso.

   Acción recomendada: revise el nivel de permiso solicitado por esta aplicación y los usuarios a los que se les ha concedido acceso. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación.

Para prohibir el acceso a la aplicación, en las pestañas Google o Salesforce de la página Gobernanza de la aplicación, en la fila en la que aparece la aplicación que desea prohibir, seleccione el icono de prohibición. - Puedes elegir si quieres indicar a los usuarios que se ha prohibido la aplicación que instalaron y autorizaron. La notificación permite a los usuarios saber que la aplicación está deshabilitada y que no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Notificar a los usuarios que han concedido acceso a esta aplicación prohibida en el cuadro de diálogo. - Se recomienda que permita que los usuarios de la aplicación sepan que su aplicación está a punto de ser prohibida de uso.

1. FP: si quiere confirmar que la aplicación tiene un nombre engañoso pero tiene un uso empresarial legítimo en la organización.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

• Siga el tutorial sobre cómo investigar aplicaciones de OAuth de riesgo.

Nombre del publicador engañoso para una aplicación de OAuth

Esta detección identifica las aplicaciones con caracteres, como letras externas, que son similares a las letras latinas. Esto puede indicar un intento de disfrazar una aplicación malintencionada como una aplicación conocida y de confianza para que los atacantes puedan engañar a los usuarios para que descarguen su aplicación malintencionada.

¿TP, B-TP o FP?

1. TP: si puede confirmar que la aplicación tiene un nombre de publicador engañoso.

   Acción recomendada: revise el nivel de permiso solicitado por esta aplicación y los usuarios a los que se les ha concedido acceso. Basándose en su investigación, puede optar por prohibir el acceso a esta aplicación.

2. FP: si quiere confirmar que la aplicación tiene un nombre de publicador engañoso, pero es un publicador legítimo.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. En las pestañas Google o Salesforce de la página Gobernanza de aplicaciones, seleccione la aplicación para abrir el cajón de aplicaciones y, a continuación, seleccione Actividad relacionada. Se abre la página Registro de actividad filtrada por las actividades realizadas por la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades registradas como realizadas por un usuario. Estas actividades se filtran automáticamente fuera de los resultados en el registro de actividad. Para más información sobre el uso del registro de actividad, consulte Registro de actividad.
2. Si sospechas que una aplicación es sospechosa, te recomendamos que investigues el nombre y el publicador de la aplicación en diferentes tiendas de aplicaciones. Cuando compruebe las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones con un número bajo de descargas.
   • Aplicaciones con una clasificación o puntuación bajas o comentarios incorrectos.
   • Aplicaciones con un publicador o sitio web sospechosos.
   • Aplicaciones que no han sido actualizadas recientemente. Esto podría indicar una aplicación que ya no se admite.
   • Aplicaciones que tienen permisos irrelevantes. Esto podría indicar que una aplicación es de riesgo.
3. Si sigues sospechando que una aplicación es sospechosa, puedes investigar el nombre de la aplicación, el publicador y la dirección URL en línea.

Alertas de ejecución

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando ejecutar código malintencionado en su organización.

Actividades de eliminación de varios almacenamientos

Actividades en una sola sesión que indican que un usuario realizó un número inusual de eliminaciones de bases de datos o almacenamiento en la nube de recursos como blobs de Azure, cubos de AWS S3 o Cosmos DB en comparación con la línea de base aprendida. Esto puede indicar un intento de vulneración de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si va a confirmar que las eliminaciones no están autorizadas.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos en busca de amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

2. FP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Póngase en contacto con el usuario y confirme la actividad.
2. Revise el registro de actividad para ver otros indicadores de riesgo y ver quién realizó el cambio.
3. Revise las actividades de ese usuario para ver si hay cambios en otros servicios.

Actividades de creación de varias máquinas virtuales

Actividades en una sola sesión que indican que un usuario realizó un número inusual de acciones de creación de máquinas virtuales en comparación con la línea base aprendida. Varias creaciones de máquinas virtuales en una infraestructura en la nube infringida podrían indicar un intento de ejecutar operaciones de minería de datos criptográficas desde dentro de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

Para mejorar la precisión y la alerta solo cuando hay una indicación fuerte de una infracción, esta detección establece una línea base en cada entorno de la organización para reducir los incidentes de B-TP , como un administrador ha creado legítimamente más máquinas virtuales que la línea de base establecida y solo alerta cuando se detecta el comportamiento inusual.

• TP: si puede confirmar que las actividades de creación no las realizó un usuario legítimo.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos en busca de amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, póngase en contacto con el usuario, confirme sus acciones legítimas y, a continuación, asegúrese de deshabilitar o eliminar las máquinas virtuales en peligro.

• B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
2. Revise los recursos creados o modificados por el usuario y compruebe que cumplen las directivas de su organización.

Actividad de creación sospechosa para la región en la nube (versión preliminar)

Actividades que indican que un usuario realizó una acción de creación de recursos inusual en una región de AWS poco común en comparación con la línea base aprendida. La creación de recursos en regiones en la nube poco comunes podría indicar un intento de realizar una actividad malintencionada, como operaciones de minería de datos criptográficas desde dentro de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

Para mejorar la precisión y la alerta solo cuando hay una indicación clara de una infracción, esta detección establece una línea base en cada entorno de la organización para reducir los incidentes de B-TP .

• TP: si puede confirmar que las actividades de creación no las realizó un usuario legítimo.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos en busca de amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, póngase en contacto con el usuario, confirme sus acciones legítimas y, a continuación, asegúrese de deshabilitar o eliminar los recursos en la nube en peligro.

• B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
2. Revise los recursos creados y compruebe que cumplen las directivas de su organización.

Alertas de persistencia

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando mantener su posición en la organización.

Actividad realizada por un usuario no autorizado

La actividad realizada por un usuario terminado puede indicar que un empleado terminado que todavía tiene acceso a los recursos corporativos está intentando realizar una actividad malintencionada. Defender for Cloud Apps perfiles de los usuarios de la organización y desencadena una alerta cuando un usuario terminado realiza una actividad.

¿TP, B-TP o FP?

1. TP: si puede confirmar que el usuario terminado todavía tiene acceso a determinados recursos corporativos y está realizando actividades.

   Acción recomendada: deshabilite el usuario.

2. B-TP: si puede determinar que el usuario se deshabilitó temporalmente o se eliminó y volvió a registrar.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Registros de RR. HH. entre referencias para confirmar que el usuario ha terminado.
2. Valide la existencia de la cuenta de usuario Microsoft Entra.

   Nota:

   Si usa Microsoft Entra Connect, valide el objeto Active Directory local y confirme un ciclo de sincronización correcto.

3. Identifique todas las aplicaciones a las que el usuario terminado tuvo acceso y retire las cuentas.
4. Actualizar los procedimientos de retirada.

Cambio sospechoso del servicio de registro de CloudTrail

Actividades en una sola sesión que indican que un usuario realizó cambios sospechosos en el servicio de registro de AWS CloudTrail. Esto puede indicar un intento de vulneración de la organización. Al deshabilitar CloudTrail, los cambios operativos ya no se registran. Un atacante puede realizar actividades malintencionadas al tiempo que evita un evento de auditoría de CloudTrail, como modificar un cubo S3 de privado a público.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, restablezca su contraseña e invierta la actividad de CloudTrail.

2. FP: si puede confirmar que el usuario ha deshabilitado legítimamente el servicio CloudTrail.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad para ver otros indicadores de riesgo y vea quién realizó el cambio en el servicio CloudTrail.
2. Opcional: cree un cuaderno de estrategias con Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar su actividad.

Actividad sospechosa de eliminación de correo electrónico (por usuario)

Actividades en una sola sesión que indican que un usuario realizó eliminaciones de correo electrónico sospechosas. El tipo de eliminación era el tipo de "eliminación rígida", lo que hace que el elemento de correo electrónico se elimine y no esté disponible en el buzón del usuario. La eliminación se realizó a partir de una conexión que incluye preferencias poco comunes como ISP, país o región y agente de usuario. Esto puede indicar un intento de vulneración de la organización, como los atacantes que intentan enmascarar las operaciones mediante la eliminación de correos electrónicos relacionados con actividades de correo no deseado.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario creó legítimamente una regla para eliminar mensajes.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

• Revise toda la actividad del usuario para ver otros indicadores de peligro, como la alerta de reenvío de bandeja de entrada sospechosa seguida de una alerta de viaje imposible . Buscar:

  1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
     • Compruebe si hay nombres de regla de reenvío malintencionados. Los nombres de regla pueden variar de nombres simples, como "Reenviar todos los correos electrónicos" y "Reenvío automático", o nombres engañosos, como un "." apenas visible. Los nombres de regla de reenvío pueden incluso estar vacíos y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar de la interfaz de usuario. Una vez detectado, puede usar esta útil entrada de blog sobre cómo eliminar reglas ocultas de buzones.
     • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada está en peligro.
  2. Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura oscuras, por ejemplo "...".
  3. Un aumento en los correos electrónicos enviados.

Regla de manipulación de bandeja de entrada sospechosa

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como eliminar o mover mensajes o carpetas, de la bandeja de entrada de un usuario pueden ser un intento de filtrar información de la organización. Del mismo modo, pueden indicar un intento de manipular la información que un usuario ve o usar su bandeja de entrada para distribuir correo no deseado, correos electrónicos de suplantación de identidad (phishing) o malware. Defender for Cloud Apps genera perfiles en el entorno y desencadena alertas cuando se detectan reglas sospechosas de manipulación de bandeja de entrada en la bandeja de entrada de un usuario. Esto podría indicar que la cuenta del usuario está en peligro.

¿TP, B-TP o FP?

1. TP: si puede confirmar que se ha creado una regla de bandeja de entrada malintencionada y que la cuenta se ha puesto en peligro.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y quite la regla de reenvío.

2. FP: si puede confirmar que un usuario ha creado legítimamente la regla.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para ver otros indicadores de peligro, como la alerta de reenvío de bandeja de entrada sospechosa seguida de una alerta de viaje imposible . Buscar:
   • Nuevas reglas de reenvío SMTP.
   • Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura oscuras, por ejemplo "...".
2. Recopile la información de dirección IP y ubicación de la acción.
3. Revise las actividades realizadas desde la dirección IP que se usa para crear la regla para detectar otros usuarios en peligro.

Alertas de escalado de privilegios

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando obtener permisos de nivel superior en su organización.

Actividad administrativa inusual (por usuario)

Actividades que indican que un atacante ha puesto en peligro una cuenta de usuario y ha realizado acciones administrativas que no son comunes para ese usuario. Por ejemplo, un atacante puede intentar cambiar una configuración de seguridad para un usuario, una operación relativamente poco frecuente para un usuario común. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un administrador legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que un administrador realizó legítimamente el volumen inusual de actividades administrativas.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para ver otros indicadores de peligro, como reenvío de bandeja de entrada sospechosa o Viaje imposible.
2. Revise otros cambios de configuración, como la creación de una cuenta de usuario que se pueda usar para la persistencia.

Alertas de acceso a credenciales

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando robar nombres de cuenta y contraseñas de su organización.

Intentos de varios inicios de sesión fallidos

Los intentos de inicio de sesión erróneos podrían indicar si se intenta infringir una cuenta. Sin embargo, los inicios de sesión con errores también pueden ser un comportamiento normal. Por ejemplo, cuando un usuario escribió una contraseña incorrecta por error. Para lograr precisión y alerta solo cuando hay una indicación fuerte de un intento de infracción, Defender for Cloud Apps establece una línea base de hábitos de inicio de sesión para cada usuario de la organización y solo alertará cuando se detecte el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

Esta directiva se basa en el aprendizaje del comportamiento normal de inicio de sesión de un usuario. Cuando se detecta una desviación de la norma, se desencadena una alerta. Si la detección comienza a ver que el mismo comportamiento continúa, la alerta solo se genera una vez.

1. TP (se produce un error de MFA): si puede confirmar que MFA funciona correctamente, podría ser una señal de un intento de ataque por fuerza bruta.

   Acciones recomendadas:

   1. Suspende al usuario, marque al usuario como en peligro y restablezca su contraseña.
   2. Busque la aplicación que realizó las autenticaciones con errores y vuelva a configurarla.
   3. Busque otros usuarios que hayan iniciado sesión alrededor del momento de la actividad porque también podrían verse comprometidos. Suspende al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP (MFA produce un error): si puede confirmar que la alerta se debe a un problema con MFA.

   Acción recomendada: cree un cuaderno de estrategias con Power Automate para ponerse en contacto con el usuario y comprobar si tiene problemas con MFA.

3. B-TP (aplicación mal configurada): si puede confirmar que una aplicación mal configurada está intentando conectarse a un servicio varias veces con credenciales expiradas.

   Acción recomendada: descartar la alerta.

4. B-TP (contraseña cambiada): si puede confirmar que un usuario cambió recientemente su contraseña, pero no ha afectado a las credenciales entre los recursos compartidos de red.

   Acción recomendada: descartar la alerta.

5. B-TP (Prueba de seguridad): si puede confirmar que analistas de seguridad en nombre de la organización están realizando una prueba de seguridad o penetración.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para ver otros indicadores de peligro, como la alerta, seguida de una de las siguientes alertas: Viaje imposible, Actividad desde una dirección IP anónima o Actividad desde un país poco frecuente.
2. Revise la siguiente información de dispositivo de usuario y compárela con la información de dispositivo conocida:
   • Sistema operativo y versión
   • Explorador y versión
   • Dirección IP y ubicación
3. Identifique la dirección IP de origen o la ubicación donde se produjo el intento de autenticación.
4. Identifique si el usuario cambió recientemente su contraseña y asegúrese de que todas las aplicaciones y dispositivos tengan la contraseña actualizada.

Adición inusual de credenciales a una aplicación de OAuth

Esta detección identifica la adición sospechosa de credenciales con privilegios a una aplicación de OAuth. Esto puede indicar que un atacante ha puesto en peligro la aplicación y la usa para actividades malintencionadas.

Período de aprendizaje

El aprendizaje del entorno de la organización requiere un período de siete días durante el cual podría esperar un gran volumen de alertas.

ISP inusual para una aplicación de OAuth

La detección identifica una aplicación de OAuth que se conecta a la aplicación en la nube desde un ISP que no es habitual para la aplicación. Esto podría indicar que un atacante intentó usar una aplicación legítima en peligro para realizar actividades malintencionadas en las aplicaciones en la nube.

Período de aprendizaje

El período de aprendizaje para esta detección es de 30 días.

¿TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no era una actividad legítima de la aplicación OAuth o que la aplicación legítima de OAuth no usa este ISP.

   Acción recomendada: revoque todos los tokens de acceso de la aplicación OAuth e investigue si un atacante tiene acceso a la generación de tokens de acceso de OAuth.

2. FP: si puede confirmar que la actividad la realizó legítimamente la aplicación original de OAuth.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las actividades realizadas por la aplicación OAuth.

2. Investigue si un atacante tiene acceso a la generación de tokens de acceso de OAuth.

Alertas de recopilación

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando recopilar datos de interés para su objetivo de la organización.

Varias actividades de uso compartido de informes de Power BI

Actividades en una sola sesión que indican que un usuario realizó un número inusual de actividades de informe de recursos compartidos en Power BI en comparación con la línea base aprendida. Esto puede indicar un intento de vulneración de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: quitar el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario tenía una justificación empresarial para compartir estos informes.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad para obtener una mejor comprensión de otras actividades realizadas por el usuario. Examine la dirección IP desde la que ha iniciado sesión y los detalles del dispositivo.
2. Póngase en contacto con el equipo de Power BI o con Information Protection equipo para comprender las directrices para compartir informes interna y externamente.

Uso compartido de informes sospechosos de Power BI

Actividades que indican que un usuario ha compartido un informe de Power BI que podría contener información confidencial identificada mediante NLP para analizar los metadatos del informe. El informe se compartió con una dirección de correo electrónico externa, se publicó en la web o se entregó una instantánea a una dirección de correo electrónico suscrita externamente. Esto puede indicar un intento de vulneración de la organización.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: quitar el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario tenía una justificación empresarial para compartir estos informes.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad para obtener una mejor comprensión de otras actividades realizadas por el usuario. Examine la dirección IP desde la que ha iniciado sesión y los detalles del dispositivo.
2. Póngase en contacto con el equipo de Power BI o con Information Protection equipo para comprender las directrices para compartir informes interna y externamente.

Actividad suplantada inusual (por usuario)

En algunos software, hay opciones para permitir que otros usuarios suplanten a otros usuarios. Por ejemplo, los servicios de correo electrónico permiten a los usuarios autorizar a otros usuarios a enviar correo electrónico en su nombre. Los atacantes suelen usar esta actividad para crear correos electrónicos de suplantación de identidad (phishing) en un intento de extraer información sobre su organización. Defender for Cloud Apps crea una línea base en función del comportamiento del usuario y crea una actividad cuando se detecta una actividad de suplantación inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario realizó legítimamente las actividades inusuales o más actividades que la línea base establecida.

   Acción recomendada: descartar la alerta.

3. FP: si puede confirmar que las aplicaciones, como Teams, suplantan legítimamente al usuario.

   Acción recomendada: revise las acciones y descarte la alerta si es necesario.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.
2. Revise las actividades de suplantación para identificar posibles actividades malintencionadas.
3. Revise la configuración de acceso delegado.

Alertas de filtración

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando robar datos de su organización.

Reenvío sospechoso de la bandeja de entrada

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como reenviar todos o correos electrónicos específicos a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de la organización. Defender for Cloud Apps genera perfiles en el entorno y desencadena alertas cuando se detectan reglas sospechosas de manipulación de bandeja de entrada en la bandeja de entrada de un usuario. Esto podría indicar que la cuenta del usuario está en peligro.

¿TP, B-TP o FP?

1. TP: si puede confirmar que se ha creado una regla de reenvío de bandeja de entrada malintencionada y que la cuenta se ha puesto en peligro.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y quite la regla de reenvío.

2. FP: si puede confirmar que el usuario creó una regla de reenvío a una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario para obtener indicadores adicionales de peligro, como la alerta, seguida de una alerta de viaje imposible . Buscar:

   1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
      • Compruebe si hay nombres de regla de reenvío malintencionados. Los nombres de regla pueden variar de nombres simples, como "Reenviar todos los correos electrónicos" y "Reenvío automático", o nombres engañosos, como un "." apenas visible. Los nombres de regla de reenvío pueden incluso estar vacíos y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar de la interfaz de usuario. Una vez detectado, puede usar esta útil entrada de blog sobre cómo eliminar reglas ocultas de buzones.
      • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada está en peligro.
   2. Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura oscuras, por ejemplo "...".

2. Revise las actividades realizadas desde la dirección IP que se usa para crear la regla para detectar otros usuarios en peligro.

3. Revise la lista de mensajes reenviados mediante Exchange Online seguimiento de mensajes.

Descarga de archivos inusuales (por usuario)

Actividades que indican que un usuario realizó un número inusual de descargas de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea de base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario realizó legítimamente más actividades de descarga de archivos que la línea base establecida.

   Acción recomendada: descartar la alerta.

3. FP (sincronización de software): si puede confirmar que el software, como OneDrive, se sincroniza con una copia de seguridad externa que provocó la alerta.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las actividades de descarga y cree una lista de archivos descargados.
2. Revise la confidencialidad de los archivos descargados con el propietario del recurso y valide el nivel de acceso.

Acceso a archivos inusual (por usuario)

Actividades que indican que un usuario ha realizado un número inusual de accesos a archivos en SharePoint o OneDrive a archivos que contienen datos financieros o datos de red en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización, ya sea con fines financieros o para el acceso a credenciales y el movimiento lateral. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El período de aprendizaje depende de la actividad del usuario. Por lo general, el período de aprendizaje es entre 21 y 45 días para la mayoría de los usuarios.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario realizó legítimamente más actividades de acceso a archivos que la línea base establecida.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las actividades de acceso y cree una lista de archivos a los que se accede.
2. Revise la confidencialidad de los archivos a los que se ha accedido con el propietario del recurso y valide el nivel de acceso.

Actividad de recurso compartido de archivos inusual (por usuario)

Actividades que indican que un usuario realizó un número inusual de acciones de uso compartido de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Apps crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario realizó legítimamente más actividades de uso compartido de archivos que la línea base establecida.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las actividades de uso compartido y cree una lista de archivos compartidos.
2. Revise la confidencialidad de los archivos compartidos con el propietario del recurso y valide el nivel de acceso.
3. Cree una directiva de archivos para documentos similares para detectar el uso compartido futuro de archivos confidenciales.

Alertas de impacto

En esta sección se describen las alertas que indican que un actor malintencionado podría estar intentando manipular, interrumpir o destruir los sistemas y datos de la organización.

Actividades de eliminación de varias máquinas virtuales

Actividades en una sola sesión que indican que un usuario realizó un número inusual de eliminaciones de máquinas virtuales en comparación con la línea base aprendida. Varias eliminaciones de máquinas virtuales podrían indicar un intento de interrumpir o destruir un entorno. Sin embargo, hay muchos escenarios normales en los que se eliminan las máquinas virtuales.

¿TP, B-TP o FP?

Para mejorar la precisión y la alerta solo cuando hay una indicación fuerte de una infracción, esta detección establece una línea base en cada entorno de la organización para reducir los incidentes B-TP y solo alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

• TP: si puede confirmar que las eliminaciones no están autorizadas.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos en busca de amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

• B-TP: si, después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

  Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Póngase en contacto con el usuario y confirme la actividad.
2. Revise toda la actividad del usuario para ver indicadores adicionales de peligro, como la alerta, seguida de una de las siguientes alertas: Viaje imposible, Actividad desde una dirección IP anónima o Actividad desde un país poco frecuente.

Actividad de ransomware

Ransomware es un ciberataque en el que un atacante bloquea a las víctimas fuera de sus dispositivos o les impide acceder a sus archivos hasta que la víctima paga un rescate. El ransomware puede propagarse por un archivo compartido malintencionado o una red en peligro. Defender for Cloud Apps usa experiencia en investigación de seguridad, inteligencia sobre amenazas y patrones de comportamiento aprendidos para identificar la actividad de ransomware. Por ejemplo, una alta tasa de cargas de archivos o eliminaciones de archivos podría representar un proceso de cifrado común entre las operaciones de ransomware.

Esta detección establece una línea base de los patrones de trabajo normales de cada usuario de la organización, como cuando el usuario accede a la nube y lo que suele hacer en la nube.

Las Defender for Cloud Apps directivas automatizadas de detección de amenazas comienzan a ejecutarse en segundo plano desde el momento en que se conecta. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware en nuestra organización, Defender for Cloud Apps proporciona una cobertura completa contra ataques sofisticados de ransomware.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que el usuario no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): el usuario realizó legítimamente varias actividades de eliminación y carga de archivos similares en un breve período de tiempo.

   Acción recomendada: después de revisar el registro de actividad y confirmar que las extensiones de archivo no son sospechosas, descarte la alerta.

3. FP (extensión de archivo ransomware común): Si usted es capaz de confirmar que las extensiones de los archivos afectados son una coincidencia para una extensión ransomware conocida.

   Acción recomendada: póngase en contacto con el usuario y confirme que los archivos son seguros y, a continuación, descarte la alerta.

Comprender el alcance de la infracción

1. Revise el registro de actividad para ver otros indicadores de peligro, como la descarga masiva o la eliminación masiva de archivos.
2. Si usa Microsoft Defender para punto de conexión, revise las alertas del equipo del usuario para ver si se detectaron archivos malintencionados.
3. Busque en el registro de actividad actividades malintencionadas de carga y uso compartido de archivos.

Actividad de eliminación de archivos inusual (por usuario)

Actividades que indican que un usuario realizó una actividad de eliminación de archivos inusual en comparación con la línea base aprendida. Esto puede indicar un ataque de ransomware. Por ejemplo, un atacante puede cifrar los archivos de un usuario y eliminar todos los originales, dejando solo las versiones cifradas que se pueden usar para obligar a la víctima a pagar un rescate. Defender for Cloud Apps crea una línea base basada en el comportamiento normal del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante los cuales no se desencadenan alertas para las nuevas ubicaciones.

¿TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no realizó la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario realizó legítimamente más actividades de eliminación de archivos que la línea base establecida.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise las actividades de eliminación y cree una lista de archivos eliminados. Si es necesario, recupere los archivos eliminados.
2. Opcionalmente, cree un cuaderno de estrategias con Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar la actividad.

Aumento de la puntuación de prioridad de investigación (versión preliminar)

Las actividades anómalas y las actividades que desencadenan alertas reciben puntuaciones en función de la gravedad, el impacto del usuario y el análisis de comportamiento del usuario. El análisis se realiza en función de otros usuarios de los inquilinos.

Cuando se produce un aumento significativo y anómalo en la puntuación de prioridad de investigación de un usuario determinado, se desencadenará la alerta.

Esta alerta permite detectar posibles infracciones que se caracterizan por actividades que no desencadenan necesariamente alertas específicas, sino que se acumulan en un comportamiento sospechoso para el usuario.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días, durante el cual no se desencadenan alertas para ningún aumento de puntuación.

¿TP, B-TP o FP?

1. TP: si puede confirmar que las actividades del usuario no son legítimas.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si es capaz de confirmar que el usuario realmente se desvió significativamente del comportamiento habitual, pero no hay ninguna posible vulneración.

3. FP (comportamiento inusual): si puede confirmar que el usuario realizó legítimamente las actividades inusuales o más actividades que la línea base establecida.

   Acción recomendada: descartar la alerta.

Comprender el alcance de la infracción

1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.

Escala de tiempo de desuso

Vamos a retirar gradualmente la alerta de aumento de la puntuación de prioridad de investigación de Microsoft Defender for Cloud Apps en agosto de 2024.

Después de un análisis y una consideración cuidadosos, decidimos desusarla debido a la alta tasa de falsos positivos asociados a esta alerta, que encontramos que no contribuyeba eficazmente a la seguridad general de su organización.

Nuestra investigación indicó que esta característica no agregaba un valor significativo y no estaba alineada con nuestro enfoque estratégico en ofrecer soluciones de seguridad confiables y de alta calidad.

Nos comprometemos a mejorar continuamente nuestros servicios y asegurarnos de que satisfacen sus necesidades y expectativas.

Para aquellos que desean seguir usando esta alerta, se recomienda usar la siguiente consulta de búsqueda avanzada en su lugar como una plantilla sugerida. Modifique la consulta en función de sus necesidades.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

Recursos adicionales

Investigación de usuarios de riesgo