Tutorial: Investigación de usuarios de riesgo
Los equipos de operaciones de seguridad tienen el desafío de supervisar la actividad del usuario, sospechosa o de otro modo, en todas las dimensiones de la superficie de ataque de identidad, mediante varias soluciones de seguridad que a menudo no están conectadas. Aunque muchas empresas ahora tienen equipos de búsqueda para identificar de forma proactiva las amenazas en sus entornos, saber qué buscar en la gran cantidad de datos puede ser un desafío. Microsoft Defender for Cloud Apps elimina la necesidad de crear reglas de correlación complejas y le permite buscar ataques que abarquen la nube y la red local.
Para ayudarle a centrarse en la identidad del usuario, Microsoft Defender for Cloud Apps proporciona análisis de comportamiento de entidades de usuario (UEBA) en la nube. UEBA se puede ampliar al entorno local mediante la integración con Microsoft Defender for Identity, después de lo cual también obtendrá contexto en torno a la identidad del usuario a partir de su integración nativa con Active Directory.
Tanto si el desencadenador es una alerta que ve en el panel de Defender for Cloud Apps como si tiene información de un servicio de seguridad de terceros, inicie la investigación desde el panel de Defender for Cloud Apps para profundizar en los usuarios de riesgo.
En este tutorial, aprenderá a usar Defender for Cloud Apps para investigar usuarios de riesgo:
Descripción de la puntuación de prioridad de la investigación
La puntuación de prioridad de investigación es una puntuación que Defender for Cloud Apps proporciona a cada usuario para que sepa lo arriesgado que es el usuario, en relación con otros usuarios de su organización. Use la puntuación de prioridad de investigación para determinar qué usuarios investigar primero, detectando tanto usuarios internos malintencionados como atacantes externos que se mueven lateralmente en las organizaciones, sin tener que depender de detecciones deterministas estándar.
Cada usuario Microsoft Entra tiene una puntuación de prioridad de investigación dinámica, que se actualiza constantemente en función del comportamiento reciente y el impacto generado a partir de los datos evaluados desde Defender for Identity y Defender for Cloud Apps.
Defender for Cloud Apps crea perfiles de usuario para cada usuario, en función de los análisis que consideren las alertas de seguridad y las actividades anómalas a lo largo del tiempo, los grupos del mismo nivel, la actividad de usuario esperada y el efecto que cualquier usuario específico podría tener en los recursos empresariales o de la empresa.
La actividad anómala en la línea base de un usuario se evalúa y puntua. Una vez completada la puntuación, los cálculos dinámicos del mismo nivel propietarios de Microsoft y el aprendizaje automático se ejecutan en las actividades del usuario para calcular la prioridad de investigación para cada usuario.
Comprenda quiénes son los usuarios de riesgo principales reales de inmediato filtrando según la puntuación de prioridad de investigación, comprobando directamente el impacto empresarial de cada usuario e investigando todas las actividades relacionadas, ya sea que estén en peligro, filtrando datos o actuando como amenazas internas.
Defender for Cloud Apps usa lo siguiente para medir el riesgo:
Puntuación de alertas: la puntuación de alerta representa el posible impacto de una alerta específica en cada usuario. La puntuación de alertas se basa en la gravedad, el impacto del usuario, la popularidad de las alertas entre los usuarios y todas las entidades de la organización.
Puntuación de actividad: la puntuación de actividad determina la probabilidad de que un usuario específico realice una actividad específica, en función del aprendizaje del comportamiento del usuario y sus compañeros. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas.
Seleccione la puntuación de prioridad de investigación de una alerta o una actividad para ver las pruebas que explican cómo Defender for Cloud Apps puntuaron la actividad.
Nota:
Vamos a retirar gradualmente la alerta de aumento de la puntuación de prioridad de investigación de Microsoft Defender for Cloud Apps en agosto de 2024. La puntuación de prioridad de la investigación y el procedimiento descrito en este artículo no se ven afectados por este cambio.
Para obtener más información, consulte Escala de tiempo de aumento de la puntuación de prioridad de investigación.
Fase 1: Conexión a las aplicaciones que desea proteger
Conecte al menos una aplicación a Microsoft Defender for Cloud Apps mediante los conectores de API. Se recomienda empezar por conectar Microsoft 365.
Microsoft Entra ID aplicaciones se incorporan automáticamente para el control de aplicaciones de acceso condicional.
Fase 2: Identificación de usuarios de alto riesgo
Para identificar quiénes son los usuarios más arriesgados en Defender for Cloud Apps:
En el portal de Microsoft Defender, en Activos, seleccione Identidades. Ordene la tabla por Prioridad de investigación. Después, uno a uno, vaya a su página de usuario para investigarlo.
El número de prioridad de investigación, que se encuentra junto al nombre de usuario, es una suma de todas las actividades de riesgo del usuario durante la última semana.
Seleccione los tres puntos situados a la derecha del usuario y elija Ver página de usuario.
Revise la información de la página de detalles del usuario para obtener información general del usuario y ver si hay puntos en los que el usuario realizó actividades inusuales para ese usuario o que se realizaron en un momento inusual.
La puntuación del usuario en comparación con la organización representa el percentil en el que se encuentra el usuario en función de su clasificación en la organización, lo alto que están en la lista de usuarios que debe investigar, en relación con otros usuarios de la organización. El número es rojo si un usuario está en o por encima del percentil 90 de usuarios de riesgo en toda la organización.
La página de detalles del usuario le ayuda a responder a las siguientes preguntas:
| Pregunta | Detalles |
|---|---|
| ¿Quién es el usuario? | Busque detalles básicos sobre el usuario y lo que el sistema sabe sobre él, incluido el rol del usuario en su empresa y su departamento. Por ejemplo, ¿es el usuario un ingeniero de DevOps que a menudo realiza actividades inusuales como parte de su trabajo? ¿O es el usuario un empleado descontento que acaba de pasar por una promoción? |
| ¿El usuario es de riesgo? | ¿Cuál es la puntuación de riesgo del empleado y vale la pena investigarla? |
| ¿Qué riesgo presenta el usuario a su organización? | Desplácese hacia abajo para investigar cada actividad y alerta relacionada con el usuario para empezar a comprender el tipo de riesgo que representa el usuario. En la escala de tiempo, seleccione cada línea para explorar en profundidad la actividad o la propia alerta. Seleccione el número junto a la actividad para que pueda comprender la evidencia que influyó en la propia puntuación. |
| ¿Cuál es el riesgo para otros recursos de la organización? | Seleccione la pestaña Rutas de desplazamiento lateral para comprender qué rutas de acceso puede usar un atacante para obtener el control de otros recursos de la organización. Por ejemplo, incluso si el usuario que está investigando tiene una cuenta sin sentido, un atacante puede usar conexiones a la cuenta para detectar e intentar poner en peligro cuentas confidenciales en la red. Para obtener más información, consulte Uso de rutas de desplazamiento lateral. |
Nota:
Aunque las páginas de detalles del usuario proporcionan información para dispositivos, recursos y cuentas en todas las actividades, la puntuación de prioridad de investigación incluye la suma de todas las actividades y alertas de riesgo en los últimos 7 días.
Restablecer puntuación de usuario
Si se investigó al usuario y no se encontró ninguna sospecha de peligro, o si desea restablecer la puntuación de prioridad de la investigación del usuario por cualquier otro motivo, de forma manual como se indica a continuación:
En el portal de Microsoft Defender, en Activos, seleccione Identidades.
Seleccione los tres puntos situados a la derecha del usuario investigado y, a continuación, seleccione Restablecer puntuación de prioridad de investigación. También puede seleccionar Ver página de usuario y, a continuación, seleccionar Restablecer puntuación de prioridad de investigación en los tres puntos de la página de detalles del usuario.
Nota:
Solo se pueden restablecer los usuarios con una puntuación de prioridad de investigación distinta de cero.
En la ventana de confirmación, seleccione Restablecer puntuación.
Fase 3: Investigación adicional de los usuarios
Es posible que algunas actividades no sean causa de alarma por sí solas, pero podrían ser una indicación de un evento sospechoso cuando se agrega con otras actividades.
Al investigar a un usuario, desea formular las siguientes preguntas sobre las actividades y alertas que ve:
¿Hay alguna justificación empresarial para que este empleado realice estas actividades? Por ejemplo, si alguien de marketing tiene acceso a la base de código o alguien de desarrollo accede a la base de datos financiera, debe realizar un seguimiento con el empleado para asegurarse de que se trata de una actividad intencionada y justificada.
¿Por qué esta actividad recibió una puntuación alta mientras que otros no lo hicieron? Vaya al registro de actividad y establezca la prioridad de investigaciónen Está establecida para comprender qué actividades son sospechosas.
Por ejemplo, puede filtrar en función de la prioridad de investigación para todas las actividades que se produjeron en un área geográfica específica. A continuación, puede ver si había otras actividades de riesgo, desde las que el usuario se conectó, y puede pivotar fácilmente a otras exploraciones en profundidad, como la nube no normal reciente y las actividades locales, para continuar con la investigación.
Fase 4: Protección de la organización
Si la investigación le lleva a la conclusión de que un usuario está en peligro, siga estos pasos para mitigar el riesgo.
Póngase en contacto con el usuario: con la información de contacto del usuario integrada con Defender for Cloud Apps de Active Directory, puede explorar en profundidad cada alerta y actividad para resolver la identidad del usuario. Asegúrese de que el usuario está familiarizado con las actividades.
Directamente desde el portal de Microsoft Defender, en la página Identidades, seleccione los tres puntos por el usuario investigado y elija si desea que el usuario vuelva a iniciar sesión, suspenda al usuario o confirme que el usuario está en peligro.
En el caso de una identidad en peligro, puede pedir al usuario que restablezca su contraseña, asegurándose de que cumple las directrices de procedimientos recomendados para la longitud y la complejidad.
Si explora en profundidad una alerta y determina que la actividad no debería haber desencadenado una alerta, en el cajón actividad, seleccione el vínculo Enviar comentarios para que podamos estar seguros de ajustar nuestro sistema de alertas teniendo en cuenta su organización.
Después de corregir el problema, cierre la alerta.
Recursos adicionales
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.