Respuesta a amenazas de identidad mediante el resumen de usuarios de riesgo

Microsoft Entra ID Protection aplica las funcionalidades de Copilot en Microsoft Entra para resumir el nivel de riesgo de un usuario, proporcionar información relevante y accesible para el incidente y proporcionar recomendaciones para una mitigación rápida. La investigación de riesgos de identidad es un paso fundamental para defender una organización. Copilot en Microsoft Entra ayuda a reducir el tiempo de resolución, proporcionando a los administradores de TI y a los analistas del centro de operaciones de seguridad (SOC) el contexto adecuado para investigar y corregir el riesgo de identidad y los incidentes basados en identidades. El resumen de usuarios de riesgo proporciona a los administradores y respondedores acceso rápido a la información más crítica en contexto como ayuda en su investigación.

Respuesta rápida a las amenazas de identidad:

• Resumen de riesgos: resumir en lenguaje natural por qué se ha elevado el nivel de riesgo del usuario.
• Recomendaciones: obtener instrucciones sobre cómo mitigar y responder a estos tipos de ataques, con vínculos rápidos a la ayuda y la documentación.

En este artículo se describe cómo acceder a la funcionalidad de resumen de usuarios de riesgo de Protección de Microsoft Entra ID y Copilot en Microsoft Entra. El uso de esta característica requiere una licencia de Microsoft Entra ID P2.

Investigación de usuarios de riesgo

Para ver e investigar un usuario de riesgo:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de seguridad.

2. Vaya a Protección>Identity Protection y, posteriormente, al informe de Usuarios de riesgo.

3. Seleccione un usuario en el informe de usuarios de riesgo.

   

4. En la ventana Detalles de usuario de riesgo, la información aparece en Resumir.

   

El resumen de usuario de riesgo contiene tres secciones:

• Resumen de Copilot: resume de modo comprensible por qué ID Protection ha marcado al usuario como de riesgo.
• Qué hacer: enumera los pasos siguientes para investigar el incidente y evitar incidentes futuros.
• Ayuda y documentación: enumera los recursos para obtener ayuda y documentación.

En este ejemplo, las correcciones sugeridas son:

• Crear el riesgo de inicio de sesión y las directivas de acceso condicional basadas en el riesgo del usuario.

La ayuda y la documentación sugeridas son:

• ¿Qué es el riesgo en ID Protection?
• Cuadernos de estrategias de respuesta ante incidentes
• Directivas de acceso basadas en riesgos

Pasos siguientes

• Más información acerca de los usuarios de riesgo.