Investigación de recursos
Microsoft Defender for Identity proporciona a los usuarios Microsoft Defender XDR pruebas de cuándo los usuarios, equipos y dispositivos han realizado actividades sospechosas o muestran signos de estar en peligro.
En este artículo se proporcionan recomendaciones sobre cómo determinar los riesgos para su organización, decidir cómo corregirlos y determinar la mejor manera de evitar ataques similares en el futuro.
Pasos de investigación para usuarios sospechosos
Nota:
Para obtener información sobre cómo ver los perfiles de usuario en Microsoft Defender XDR, consulte Microsoft Defender XDR documentación.
Si una alerta o incidente indica que un usuario puede ser sospechoso o en peligro, compruebe e investigue el perfil de usuario para obtener los siguientes detalles y actividades:
Identidad de usuario
- ¿Es el usuario un usuario confidencial (por ejemplo, administrador, o en una lista de reproducción, etc.)?
- ¿Cuál es su rol dentro de la organización?
- ¿Son importantes en el árbol organizativo?
Investigue actividades sospechosas, como:
- ¿Tiene el usuario otras alertas abiertas en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿El usuario ha producido un error en los inicios de sesión?
- ¿A qué recursos accedió el usuario?
- ¿El usuario ha accedido a recursos de alto valor?
- ¿Se suponía que el usuario tenía acceso a los recursos a los que tenía acceso?
- ¿En qué dispositivos ha iniciado sesión el usuario?
- ¿Se suponía que el usuario debía iniciar sesión en esos dispositivos?
- ¿Hay una ruta de desplazamiento lateral (LMP) entre el usuario y un usuario confidencial?
Use las respuestas a estas preguntas para determinar si la cuenta aparece en peligro o si las actividades sospechosas implican acciones malintencionadas.
Busque información de identidad en las siguientes áreas de Microsoft Defender XDR:
- Páginas de detalles de identidad individual
- Página de detalles de alertas o incidentes individuales
- Páginas de detalles del dispositivo
- Consultas de búsqueda avanzadas
- Página del Centro de acciones
Por ejemplo, en la siguiente imagen se muestran los detalles de una página de detalles de identidad:
Detalles de identidad
Al investigar una identidad específica, verá los detalles siguientes en una página de detalles de identidad:
| Área de página detalles de identidad | Descripción |
|---|---|
| Pestaña Información general | Datos de identidad generales, como el nivel de riesgo de identidad Microsoft Entra, el número de dispositivos en los que el usuario ha iniciado sesión, la primera y la última vez que se ha visto al usuario, las cuentas del usuario y la información más importante. Use la pestaña Información general para ver también gráficos de incidentes y alertas, la puntuación de prioridad de investigación, un árbol organizativo, etiquetas de entidad y una escala de tiempo de actividad puntuada. |
| Incidentes y alertas | Listas incidentes activos y alertas que implican al usuario de los últimos 180 días, incluidos detalles como la gravedad de la alerta y el momento en que se generó la alerta. |
| Observado en la organización | Incluye las siguientes subá áreas: - Dispositivos: los dispositivos en los que inició sesión la identidad, incluidos los más y los menos usados en los últimos 180 días. - Ubicaciones: las ubicaciones observadas de la identidad en los últimos 30 días. - Grupos: todos los grupos locales observados para la identidad. - Rutas de desplazamiento lateral : todas las rutas de desplazamiento lateral perfiladas desde el entorno local. |
| Escala de tiempo de identidad | La escala de tiempo representa las actividades y alertas observadas a partir de la identidad de un usuario de los últimos 180 días, unificando las entradas de identidad entre Microsoft Defender for Identity, Microsoft Defender for Cloud Apps y Microsoft Defender para punto de conexión. Use la escala de tiempo para centrarse en las actividades que un usuario realizó o que se realizaron en ellas en períodos de tiempo específicos. Seleccione el valor predeterminado de 30 días para cambiar el intervalo de tiempo a otro valor integrado o a un intervalo personalizado. |
| Acciones de corrección | Responda a los usuarios en peligro deshabilitando sus cuentas o restableciendo su contraseña. Después de realizar acciones en los usuarios, puede comprobar los detalles de la actividad en el Microsoft Defender XDR **Centro de acciones. |
Nota:
La puntuación de prioridad de investigación ha quedado en desuso el 3 de diciembre de 2025. Como resultado, tanto el desglose de la puntuación de prioridad de investigación como las tarjetas de escala de tiempo de actividad puntuadas se han quitado de la interfaz de usuario.
Para obtener más información, consulte Investigar usuarios en la documentación de Microsoft Defender XDR.
Pasos de investigación para grupos sospechosos
Si una alerta o una investigación de incidentes está relacionada con un grupo de Active Directory, compruebe la entidad del grupo para obtener los siguientes detalles y actividades:
Entidad group
- ¿Es el grupo un grupo confidencial, como administradores de dominio?
- ¿Incluye el grupo usuarios confidenciales?
Investigue actividades sospechosas, como:
- ¿El grupo tiene otras alertas abiertas relacionadas en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿Qué usuarios se agregaron o quitaron recientemente del grupo?
- ¿Se ha consultado recientemente al grupo y por quién?
Use las respuestas a estas preguntas para ayudar en la investigación.
En un panel de detalles de entidad de grupo, seleccione Buscar o Abrir escala de tiempo para investigar. También puede encontrar información de grupo en las siguientes áreas de Microsoft Defender XDR:
- Página de detalles de alertas o incidentes individuales
- Páginas de detalles del dispositivo o del usuario
- Consultas de búsqueda avanzadas
Por ejemplo, en la imagen siguiente se muestra la escala de tiempo de actividad Operadores de servidor , incluidas las alertas y actividades relacionadas de los últimos 180 días:
Pasos de investigación para dispositivos sospechosos
Microsoft Defender XDR alerta muestra todos los dispositivos y usuarios conectados a cada actividad sospechosa. Seleccione un dispositivo para ver la página de detalles del dispositivo y, a continuación, investigue los siguientes detalles y actividades:
¿Qué pasó en el momento de la actividad sospechosa?
- ¿Qué usuario ha iniciado sesión en el dispositivo?
- ¿Ese usuario inicia sesión normalmente en el dispositivo de origen o de destino o accede a él?
- ¿A qué recursos se ha accedido? ¿Por qué usuarios? Si se accedió a los recursos, ¿eran recursos de alto valor?
- ¿Se suponía que el usuario tenía acceso a esos recursos?
- ¿El usuario que accedió al dispositivo realizó otras actividades sospechosas?
Actividades más sospechosas para investigar:
- ¿Se han abierto otras alertas aproximadamente al mismo tiempo que esta alerta en Defender for Identity o en otras herramientas de seguridad, como Microsoft Defender para punto de conexión, Microsoft Defender para la nube o Microsoft Defender for Cloud Apps?
- ¿Hubo inicios de sesión erróneos?
- ¿Se implementaron o instalaron nuevos programas?
Use las respuestas a estas preguntas para determinar si el dispositivo aparece en peligro o si las actividades sospechosas implican acciones malintencionadas.
Por ejemplo, la siguiente imagen muestra una página de detalles del dispositivo:
Para obtener más información, consulte Investigar dispositivos en la documentación de Microsoft Defender XDR.
Pasos siguientes
- Investigar rutas de desplazamiento lateral (LMP)
- Investigación de usuarios en Microsoft Defender XDR
- Investigar incidentes en Microsoft Defender XDR
Sugerencia
Pruebe nuestra guía interactiva: Investigar y responder a ataques con Microsoft Defender for Identity