Investigación de una cuenta de usuario

  • 4 minutos

Identifique las cuentas de usuario con las alertas más activas (mostradas en el panel como "Usuarios en riesgo") e investigue los casos de credenciales potencialmente en peligro. O bien examine la cuenta de usuario asociada al investigar una alerta o un dispositivo para identificar un posible movimiento lateral entre dispositivos con esa cuenta de usuario.

Puede encontrar información de la cuenta de usuario en las vistas siguientes:

  • Panel

  • Cola de alertas

  • Página Detalles del dispositivo

En estas vistas hay disponible un vínculo de cuenta de usuario en el que se puede hacer clic. Si hace clic en el vínculo se le llevará a la página de detalles de la cuenta de usuario, donde se muestran más detalles acerca de la cuenta de usuario.

Al investigar una entidad de cuenta de usuario, verá lo siguiente:

  • Detalles de la cuenta de usuario y dispositivos con sesión iniciada, rol, tipo de inicio de sesión y otros detalles

  • Información general de los incidentes y los dispositivos del usuario

  • Alertas relacionadas con este usuario

  • Ubicaciones observadas en la organización (dispositivos con la sesión iniciada)

Detalles del usuario

En el panel Detalles del usuario, situado a la izquierda, se proporciona información sobre el usuario, como incidentes abiertos relacionados, alertas activas, nombre de SAM, SID, número de dispositivos en que el usuario ha iniciado sesión, cuándo se vio el usuario por primera y última vez, roles y tipos de inicio de sesión. En función de las características de integración que haya habilitado, verá otros detalles.

Información general

La pestaña Información general muestra los detalles del incidente y una lista de los dispositivos en los que el usuario ha iniciado sesión. Puede expandir la lista de dispositivos para ver los detalles de los eventos de inicio de sesión de cada dispositivo.

Alertas

La pestaña Alertas proporciona una lista de alertas relacionadas con la cuenta del usuario. Esta lista es una vista filtrada de la cola de alertas y muestra las alertas en las que el contexto de usuario es la cuenta de usuario seleccionada, la fecha en la que se detectó la última actividad, una breve descripción de la alerta, el dispositivo asociado con la alerta, la gravedad de la alerta, el estado de la alerta en la cola y quién tiene asignada la alerta.

Observed in organization

En la pestaña Observed in the organization (Observado en la organización), puede especificar un intervalo de fechas para ver una lista de los dispositivos en los que se ha observado que este usuario ha iniciado sesión, la cuenta de usuario con la que se ha iniciado sesión con más y menos frecuencia para cada uno de estos dispositivos y el total de usuarios observados en cada dispositivo. Al seleccionar un elemento en la tabla Observed in the organization (Observado en la organización), este se expandirá y se mostrarán más detalles sobre el dispositivo. Al seleccionar directamente un vínculo dentro de un elemento, se le dirigirá a la página correspondiente.