Cómo investigar alertas de detección de anomalías

Nota

• Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

• Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Microsoft Defender for Cloud Apps proporciona detecciones de seguridad y alertas para actividades malintencionadas. El propósito de esta guía es proporcionarle información general y práctica sobre cada alerta, para ayudar con las tareas de investigación y corrección. En esta guía se incluye información general sobre las condiciones para desencadenar alertas. Sin embargo, es importante tener en cuenta que, dado que las detecciones de anomalías no son deterministas por naturaleza, solo se desencadenan cuando hay un comportamiento que se desvía de la norma. Por último, algunas alertas pueden estar en versión preliminar, por lo que revise periódicamente la documentación oficial para obtener el estado de alerta actualizado.

MITRE ATT&CK

Para explicar y facilitar la asignación de la relación entre las alertas de Defender for Cloud Apps y la conocida matriz DE MITRE ATT&CK, hemos categorizado las alertas por su táctica de MITRE ATT&CK correspondiente. Esta referencia adicional facilita la comprensión de la técnica de ataques sospechosos potencialmente en uso cuando se desencadena una alerta de aplicaciones de Defender for Cloud.

En esta guía se proporciona información sobre cómo investigar y corregir las alertas de Defender for Cloud Apps en las siguientes categorías.

• Acceso inicial
• Ejecución
• Persistencia
• Elevación de privilegios
• Acceso de credenciales
• Colección
• Exfiltración
• Impacto

Clasificaciones de las alertas de seguridad

Después de una investigación adecuada, todas las alertas de aplicaciones de Defender for Cloud se pueden clasificar como uno de los siguientes tipos de actividad:

• Verdadero positivo (TP): una alerta sobre una actividad malintencionada confirmada.
• Verdadero positivo benigno (B-TP): una alerta sobre actividades sospechosas pero no malintencionadas, como una prueba de penetración u otra acción sospechosa autorizada.
• Falso positivo (FP): una alerta sobre una actividad no malintencionada.

Pasos generales de investigación

Debe usar las siguientes directrices generales al investigar cualquier tipo de alerta para comprender mejor la amenaza potencial antes de aplicar la acción recomendada.

• Revise la puntuación de prioridad de investigación del usuario y compárelo con el resto de la organización. Esto le ayudará a identificar qué usuarios de su organización suponen el mayor riesgo.
• Si identifica un TP, revise todas las actividades del usuario para comprender el impacto.
• Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el origen y el ámbito de impacto. Por ejemplo, revise la siguiente información del dispositivo de usuario y compárelo con la información de dispositivo conocida:
  • Sistema operativo y versión
  • Explorador y versión
  • Dirección IP y ubicación

Alertas de acceso inicial

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar obtener una posición inicial en su organización.

Actividad desde una dirección IP anónima

Descripción

Actividad de una dirección IP que se ha identificado como una dirección IP de proxy anónima por Microsoft Threat Intelligence o por su organización. Estos servidores proxy se pueden usar para ocultar la dirección IP de un dispositivo y se pueden usar para actividades malintencionadas.

TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que reduce los incidentes de B-TP , como las direcciones IP mal etiquetadas que usan ampliamente los usuarios de la organización.

1. TP: si puede confirmar que la actividad se realizó desde una dirección IP ANÓNIMA o TOR.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si se sabe que un usuario usa direcciones IP anónimas en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

• Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo. Por ejemplo, si la alerta fue seguida de otra alerta sospechosa, como una descarga de archivos inusual (por usuario) o una alerta de reenvío de bandeja de entrada sospechosa, que a menudo indica que un atacante está intentando exfiltrar datos.

Actividad desde un país poco frecuente

Actividad de un país o región que podría indicar actividad malintencionada. Esta directiva genera perfiles de su entorno y desencadena alertas cuando se detecta actividad desde una ubicación que no se ha visitado recientemente o que nunca ha visitado ningún usuario de la organización.

De forma predeterminada, la directiva está configurada para incluir solo actividades de inicio de sesión correctas, pero se puede configurar para incluir cualquier actividad de inicio de sesión. La directiva se puede limitar aún más a un subconjunto de usuarios o puede excluir a los usuarios conocidos para viajar a ubicaciones remotas.

Período de aprendizaje

La detección de ubicaciones anómalas requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada:

   1. Suspenda al usuario, restablezca su contraseña e identifique el momento adecuado para volver a habilitar la cuenta de forma segura.
   2. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios detectados como conexión desde ubicaciones poco frecuentes y sus administradores, para comprobar su actividad.

2. B-TP: si se sabe que un usuario está en esta ubicación. Por ejemplo, cuando un usuario que viaja con frecuencia y se encuentra actualmente en la ubicación especificada.

   Acción recomendada:

   1. Descarte la alerta y modifique la directiva para excluir al usuario.
   2. Cree un grupo de usuarios para los viajeros frecuentes, importe el grupo en Defender for Cloud Aplicaciones y excluya a los usuarios de esta alerta.
   3. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios detectados como conexión desde ubicaciones poco frecuentes y sus administradores, para comprobar su actividad.

Comprender el ámbito de la vulneración de seguridad

• Revise qué recurso puede haber estado en peligro, como posibles descargas de datos.

Actividad desde direcciones IP sospechosas

Actividad de una dirección IP identificada como arriesgada por La inteligencia sobre amenazas de Microsoft o por su organización. Estas direcciones IP se identificaron como implicadas en actividades malintencionadas, como la difusión de contraseñas, el comando botnet y el control (C C&), y pueden indicar una cuenta en peligro.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si se sabe que un usuario usa la dirección IP en el ámbito de sus tareas. Por ejemplo, cuando un analista de seguridad realiza pruebas de seguridad o penetración en nombre de la organización.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad y busque actividades desde la misma dirección IP.
2. Revise qué recurso puede haber estado en peligro, como posibles descargas de datos o modificaciones administrativas.
3. Cree un grupo para analistas de seguridad que desencadenen voluntariamente estas alertas y excluya de la directiva.

Viaje imposible

Actividad del mismo usuario en diferentes ubicaciones dentro de un período de tiempo menor que el tiempo de desplazamiento esperado entre las dos ubicaciones. Sin embargo, esto puede indicar una infracción de credenciales; sin embargo, también es posible que la ubicación real del usuario esté enmascarada, por ejemplo, mediante una VPN.

Para mejorar la precisión y la alerta solo cuando hay una indicación fuerte de una infracción, Defender for Cloud Aplicaciones establece una línea base en cada usuario de la organización y solo alertará cuando se detecte el comportamiento inusual. La directiva de viaje imposible se puede ajustar a sus requisitos.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

Esta detección usa un algoritmo de aprendizaje automático que omite las condiciones B-TP obvias, como cuando las direcciones IP de ambos lados del viaje se consideran seguras, el viaje es de confianza y se excluye de desencadenar la detección de viajes imposible. Por ejemplo, ambos lados se consideran seguros si se etiquetan como corporativos. Sin embargo, si la dirección IP de solo un lado del viaje se considera segura, la detección se desencadena como normal.

1. TP: si puede confirmar que la ubicación de la alerta de viaje imposible es poco probable para el usuario.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (viaje de usuario no detectado): si puede confirmar que el usuario ha viajado recientemente al destino mencionado en la alerta. Por ejemplo, si el teléfono de un usuario que está en modo avión permanece conectado a servicios como Exchange Online en la red corporativa mientras viaja a otra ubicación. Cuando el usuario llega a la nueva ubicación, el teléfono se conecta a Exchange Online desencadenando la alerta de viaje imposible.

   Acción recomendada: descarte la alerta.

3. FP (VPN sin etiquetar): si puede confirmar que el intervalo de direcciones IP procede de una VPN autorizada.

   Acción recomendada: descarte la alerta y agregue el intervalo de direcciones IP de la VPN a Defender for Cloud Aplicaciones y después úselo para etiquetar el intervalo de direcciones IP de la VPN.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad para comprender actividades similares en la misma ubicación y dirección IP.
2. Si ve que el usuario realizó otras actividades de riesgo, como descargar un gran volumen de archivos desde una nueva ubicación, esto sería una indicación segura de un posible riesgo.
3. Agregue intervalos de direcciones IP y VPN corporativas.
4. Cree un cuaderno de estrategias mediante Power Automate y póngase en contacto con el administrador del usuario para ver si el usuario viaja legítimamente.
5. Considere la posibilidad de crear una base de datos de viajeros conocida para informes de viajes organizativos de hasta un minuto y usarla para la actividad de viajes entre referencias.

Nombre engañoso de aplicación de OAuth

Esta detección identifica aplicaciones con caracteres, como letras externas, que se asemejan a las letras latinas. Esto puede indicar un intento de ocultar una aplicación malintencionada como una aplicación conocida y de confianza para que los atacantes puedan engañar a los usuarios para descargar su aplicación malintencionada.

TP, B-TP o FP?

1. TP: si puedes confirmar que la aplicación tiene un nombre engañoso.

   Acción recomendada: revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso. En función de la investigación, puede optar por prohibir el acceso a esta aplicación.

Para prohibir el acceso a la aplicación, en la página aplicaciones de OAuth , en la fila en la que aparece la aplicación que quiere prohibir, seleccione el icono de prohibición. - Puedes elegir si quieres indicar a los usuarios la aplicación que han instalado y autorizado ha sido prohibida. La notificación informa a los usuarios de que la aplicación estará deshabilitada y no tendrán acceso a la aplicación conectada. Si no quiere que lo sepan, anule la selección de Enviar una notificación a los usuarios que hayan concedido permiso a esta aplicación prohibida en el cuadro de diálogo. - Se recomienda que los usuarios de la aplicación sepan que su aplicación está a punto de prohibirse el uso.

1. FP: si va a confirmar que la aplicación tiene un nombre engañoso, pero tiene un uso empresarial legítimo en la organización.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

• Siga el tutorial sobre cómo investigar aplicaciones de OAuth de riesgo.

Nombre engañoso de publicador para una aplicación de OAuth

Esta detección identifica aplicaciones con caracteres, como letras externas, que se asemejan a las letras latinas. Esto puede indicar un intento de ocultar una aplicación malintencionada como una aplicación conocida y de confianza para que los atacantes puedan engañar a los usuarios para descargar su aplicación malintencionada.

TP, B-TP o FP?

1. TP: si puede confirmar que la aplicación tiene un nombre de publicador engañoso.

   Acción recomendada: revise el nivel de permiso solicitado por esta aplicación y qué usuarios han concedido acceso. En función de la investigación, puede optar por prohibir el acceso a esta aplicación.

2. FP: Si va a confirmar que la aplicación tiene un nombre de publicador engañoso, pero es un publicador legítimo.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. En la página Aplicaciones de OAuth , seleccione la aplicación para abrir el cajón de aplicaciones y, a continuación, seleccione Actividad relacionada. Se abrirá la página Registro de actividad filtrada por las actividades realizadas por la aplicación. Tenga en cuenta que algunas aplicaciones realizan actividades que se registran como realizadas por un usuario. Estas actividades se filtran automáticamente de los resultados en el registro de actividad. Para investigar más sobre el uso del registro de actividad, consulte Registro de actividad.
2. Si sospechas que una aplicación es sospechosa, te recomendamos que investigues el nombre y el publicador de la aplicación en diferentes tiendas de aplicaciones. Al comprobar las tiendas de aplicaciones, céntrese en los siguientes tipos de aplicaciones:
   • Aplicaciones con un número reducido de descargas.
   • Aplicaciones con una clasificación o puntuación baja o con comentarios negativos.
   • Aplicaciones con un editor o sitio web sospechoso.
   • Aplicaciones que no se han actualizado recientemente. Esto podría ser signo de una aplicación que ya no se admite.
   • Aplicaciones que tienen permisos no pertinentes. Esto podría indicar que una aplicación es de riesgo.
3. Si sigue sospechando que una aplicación es sospechosa, puede investigar el nombre de la aplicación, el publicador y la dirección URL en línea.

Alertas de ejecución

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar ejecutar código malintencionado en su organización.

Varias actividades de eliminación de almacenamiento

Actividades en una sola sesión que indican que un usuario realizó un número inusual de eliminaciones de bases de datos o almacenamiento en la nube de recursos como blobs de Azure, cubos de AWS S3 o Cosmos DB en comparación con la base de referencia aprendida. Esto puede indicar un intento de vulneración de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si va a confirmar que las eliminaciones no estaban autorizadas.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

2. FP: si después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Póngase en contacto con el usuario y confirme la actividad.
2. Revise el registro de actividad para ver otros indicadores de riesgo y ver quién realizó el cambio.
3. Revise las actividades del usuario para ver los cambios en otros servicios.

Varias actividades de creación de máquinas virtuales

Actividades en una sola sesión que indican que un usuario realizó un número inusual de acciones de creación de máquinas virtuales en comparación con la línea base aprendida. Varias creaciones de máquinas virtuales en una infraestructura en la nube infringida podrían indicar un intento de ejecutar operaciones de minería de datos criptográficas desde dentro de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

Para mejorar la precisión y alerta solo cuando hay una indicación fuerte de una infracción, esta detección establece una línea base en cada entorno de la organización para reducir los incidentes B-TP , como un administrador creó legítimamente más máquinas virtuales que la línea base establecida y solo alerta cuando se detecta el comportamiento inusual.

• TP: si puede confirmar que las actividades de creación no se realizaron por un usuario legítimo.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, póngase en contacto con el usuario, confirme sus acciones legítimas y asegúrese de deshabilitar o eliminar las máquinas virtuales en peligro.

• B-TP: si después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

  Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
2. Revise los recursos creados o modificados por el usuario y compruebe que cumplen las directivas de su organización.

Actividad de creación sospechosa para la región de nube (versión preliminar)

Actividades que indican que un usuario realizó una acción de creación de recursos inusual en una región de AWS poco común en comparación con la línea base aprendida. La creación de recursos en regiones de nube poco frecuentes podría indicar un intento de realizar una actividad malintencionada, como las operaciones de minería de datos criptográficas desde dentro de su organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

Para mejorar la precisión y alerta solo cuando hay una indicación fuerte de una infracción, esta detección establece una línea base en cada entorno de la organización para reducir los incidentes B-TP .

• TP: si puede confirmar que las actividades de creación no se realizaron por un usuario legítimo.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto. Además, póngase en contacto con el usuario, confirme sus acciones legítimas y asegúrese de deshabilitar o eliminar los recursos en la nube en peligro.

• B-TP: si después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de creación.

  Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para ver otros indicadores de riesgo.
2. Revise los recursos creados y compruebe que cumplen las directivas de su organización.

Alertas de persistencia

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar mantener su posición en la organización.

Actividad realizada por el usuario cancelado

La actividad realizada por un usuario terminado puede indicar que un empleado terminado que todavía tiene acceso a los recursos corporativos está intentando realizar una actividad malintencionada. Defender for Cloud Aplicaciones perfila a los usuarios de la organización y desencadena una alerta cuando un usuario terminado realiza una actividad.

TP, B-TP o FP?

1. TP: si puede confirmar que el usuario terminado sigue teniendo acceso a determinados recursos corporativos y está realizando actividades.

   Acción recomendada: deshabilite el usuario.

2. B-TP: si puede determinar que el usuario se deshabilitó temporalmente o se eliminó y se volvió a registrar.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Registros de RR. HH. entre referencias para confirmar que el usuario ha finalizado.
2. Valide la existencia de la cuenta de usuario de Azure Active Directory (Azure AD).

   Nota

   Si usa azure AD Conectar, valide el objeto Active Directory local y confirme un ciclo de sincronización correcto.

3. Identifique todas las aplicaciones a las que el usuario terminado tenía acceso y retirar las cuentas.
4. Actualizar los procedimientos de retirada.

Cambio sospechoso del servicio de registro de CloudTrail

Actividades en una sola sesión que indica que un usuario realizó cambios sospechosos en el servicio de registro aws CloudTrail. Esto puede indicar un intento de vulneración de la organización. Al deshabilitar CloudTrail, ya no se registran los cambios operativos. Un atacante puede realizar actividades malintencionadas a la vez que evita un evento de auditoría de CloudTrail, como modificar un cubo de S3 de privado a público.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y revierta la actividad cloudTrail.

2. FP: si puede confirmar que el usuario ha deshabilitado legítimamente el servicio CloudTrail.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad para ver otros indicadores de riesgo y ver quién realizó el cambio en el servicio CloudTrail.
2. Opcional: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar su actividad.

Actividad sospechosa de eliminación de correo electrónico (por usuario)

Actividades en una sola sesión que indican que un usuario realizó eliminaciones sospechosas de correo electrónico. Esto puede indicar un intento de vulneración de la organización, como los atacantes que intentan enmascarar las operaciones mediante la eliminación de correos electrónicos relacionados con las actividades de correo no deseado.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario creó legítimamente una regla para eliminar mensajes.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

• Revise toda la actividad del usuario para ver indicadores adicionales de peligro, como la alerta de reenvío de bandeja de entrada sospechosa seguida de una alerta de viaje imposible . Buscar:

  1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
     • Compruebe si hay nombres de regla de reenvío malintencionado. Los nombres de regla pueden variar de nombres simples, como "Reenviar todos los correos electrónicos" y "Reenviar automáticamente", o nombres engañosos, como un ".". Los nombres de regla de reenvío incluso pueden estar vacíos y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar en la interfaz de usuario. Una vez detectado, puede usar esta entrada de blog útil sobre cómo eliminar reglas ocultas de buzones de correo.
     • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada se ha puesto en peligro.
  2. Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura ocultas, por ejemplo, "...".
  3. Aumento de los correos electrónicos enviados.

Regla de manipulación sospechosa de la bandeja de entrada

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como eliminar o mover mensajes, o carpetas, de la bandeja de entrada de un usuario pueden ser un intento de filtrar información de su organización. Del mismo modo, pueden indicar un intento de manipular información que un usuario ve o usar su bandeja de entrada para distribuir correo no deseado, correos electrónicos de suplantación de identidad o malware. Defender for Cloud Aplicaciones perfiles de su entorno y desencadena alertas cuando se detectan reglas de manipulación sospechosas de bandeja de entrada en la bandeja de entrada de un usuario. Esto puede indicar que la cuenta del usuario está en peligro.

TP, B-TP o FP?

1. TP: si puede confirmar que se creó una regla de bandeja de entrada malintencionada y la cuenta se vio comprometida.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y quite la regla de reenvío.

2. FP: si puede confirmar que un usuario creó legítimamente la regla.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para ver indicadores adicionales de peligro, como la alerta de reenvío de bandeja de entrada sospechosa seguida de una alerta de viaje imposible . Buscar:
   • Nuevas reglas de reenvío SMTP.
   • Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura ocultas, por ejemplo, "...".
2. Recopile la información de la ubicación y la dirección IP de la acción.
3. Revise las actividades realizadas desde la dirección IP que se usan para crear la regla para detectar otros usuarios en peligro.

Alertas de elevación de privilegios

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar obtener permisos de nivel superior en su organización.

Actividad administrativa inusual (por usuario)

Actividades que indican que un atacante ha puesto en peligro una cuenta de usuario y ha realizado acciones administrativas que no son comunes para ese usuario. Por ejemplo, un atacante puede intentar cambiar una configuración de seguridad para un usuario, una operación que es relativamente poco frecuente para un usuario común. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un administrador legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que un administrador realizó legítimamente el volumen inusual de actividades administrativas.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para obtener indicadores adicionales de riesgo, como el reenvío de bandeja de entrada sospechosa o Viaje imposible.
2. Revise otros cambios de configuración, como la creación de una cuenta de usuario que se pueda usar para la persistencia.

Alertas de acceso a credenciales

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar robar nombres de cuenta y contraseñas de su organización.

Varios intentos incorrectos de inicio de sesión

Los intentos de inicio de sesión con errores podrían indicar si se intenta infringir una cuenta. Sin embargo, los inicios de sesión con errores también pueden ser un comportamiento normal. Por ejemplo, cuando un usuario escribió una contraseña incorrecta por error. Para lograr precisión y alerta solo cuando hay una indicación fuerte de una infracción intentada, Defender for Cloud Aplicaciones establece una línea base de hábitos de inicio de sesión para cada usuario de la organización y solo alertará cuando se detecte el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

Esta directiva se basa en el aprendizaje del comportamiento de inicio de sesión normal de un usuario. Cuando se detecta una desviación de la norma, se desencadena una alerta. Si la detección comienza a ver que el mismo comportamiento continúa, la alerta solo se genera una vez.

1. TP (error de MFA): si puede confirmar que MFA funciona correctamente, esto podría ser un signo de un intento de ataque por fuerza bruta.

   Acciones recomendadas:

   1. Suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.
   2. Busque la aplicación que realizó las autenticaciones con errores y vuelva a configurarla.
   3. Busque otros usuarios que hayan iniciado sesión en torno al momento de la actividad, ya que también pueden estar en peligro. Suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP (error de MFA): si puede confirmar que la alerta se debe a un problema con MFA.

   Acción recomendada: cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con el usuario y comprobar si tiene problemas con MFA.

3. B-TP (aplicación configurada incorrectamente): si puede confirmar que una aplicación mal configurada está intentando conectarse a un servicio varias veces con credenciales expiradas.

   Acción recomendada: descarte la alerta.

4. B-TP (se ha cambiado la contraseña): si puede confirmar que un usuario ha cambiado recientemente su contraseña, pero no ha afectado a las credenciales en los recursos compartidos de red.

   Acción recomendada: descarte la alerta.

5. B-TP (prueba de seguridad): si puede confirmar que los analistas de seguridad en nombre de la organización llevan a cabo una prueba de seguridad o penetración.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para obtener indicadores adicionales de peligro, como la alerta, seguido de una de las siguientes alertas: Viaje imposible, Actividad de la dirección IP anónima o Actividad del país poco frecuente.
2. Revise la siguiente información del dispositivo de usuario y compárelo con la información de dispositivo conocida:
   • Sistema operativo y versión
   • Explorador y versión
   • Dirección IP y ubicación
3. Identifique la dirección IP de origen o la ubicación donde se produjo el intento de autenticación.
4. Identifique si el usuario cambió recientemente su contraseña y asegúrese de que todas las aplicaciones y dispositivos tengan la contraseña actualizada.

Adición inusual de credenciales a una aplicación de OAuth

Esta detección identifica la adición sospechosa de credenciales con privilegios a una aplicación de OAuth. Esto puede indicar que un atacante ha puesto en peligro la aplicación y que la usa para actividades malintencionadas.

Período de aprendizaje

Learning entorno de su organización requiere un período de siete días durante el cual puede esperar un gran volumen de alertas.

ISP inusual para una aplicación de OAuth

La detección identifica una aplicación de OAuth que se conecta a la aplicación en la nube desde un ISP que no es habitual para la aplicación. Esto puede indicar que un atacante intentó usar una aplicación en peligro legítima para realizar actividades malintencionadas en las aplicaciones en la nube.

Período de aprendizaje

El período de aprendizaje de esta detección es de 30 días.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no era una actividad legítima de la aplicación OAuth o que la aplicación de OAuth no usa este ISP.

   Acción recomendada: Revoque todos los tokens de acceso de la aplicación OAuth e investigue si un atacante tiene acceso a la generación de tokens de acceso de OAuth.

2. FP: si puede confirmar que la actividad se realizó legítimamente por la aplicación OAuth original.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise las actividades realizadas por la aplicación OAuth.

2. Investigue si un atacante tiene acceso para generar tokens de acceso de OAuth.

Alertas de recopilación

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar recopilar datos de interés para su objetivo de su organización.

Varias actividades de uso compartido de informes Power BI

Actividades en una sola sesión que indican que un usuario realizó un número inusual de actividades de informe de recursos compartidos en Power BI en comparación con la línea base aprendida. Esto puede indicar un intento de vulneración de la organización.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada: quite el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, marque el usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario tenía una justificación comercial para compartir estos informes.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad para comprender mejor otras actividades realizadas por el usuario. Examine la dirección IP desde la que ha iniciado sesión y los detalles del dispositivo.
2. Póngase en contacto con el equipo de Power BI o Information Protection equipo para comprender las directrices para compartir informes interna y externamente.

Uso compartido de informe de Power BI sospechoso

Actividades que indican que un usuario ha compartido un informe de Power BI que puede contener información confidencial identificada mediante NLP para analizar los metadatos del informe. El informe se compartió con una dirección de correo electrónico externa, se publicó en la Web o se entregó una instantánea a una dirección de correo electrónico suscrita externamente. Esto puede indicar un intento de vulneración de la organización.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no la realizó un usuario legítimo.

   Acción recomendada: quite el acceso compartido de Power BI. Si puede confirmar que la cuenta está en peligro, suspenda al usuario, marque el usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario tenía una justificación comercial para compartir estos informes.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad para comprender mejor otras actividades realizadas por el usuario. Examine la dirección IP desde la que ha iniciado sesión y los detalles del dispositivo.
2. Póngase en contacto con el equipo de Power BI o Information Protection equipo para comprender las directrices para compartir informes interna y externamente.

Actividad suplantada inusual (por usuario)

En algún software, hay opciones para permitir que otros usuarios suplantan a otros usuarios. Por ejemplo, los servicios de correo electrónico permiten que un usuario autorice a otros a enviar correos electrónicos en su nombre. Los atacantes suelen usar esta actividad para crear correos electrónicos de suplantación de identidad (phishing) en un intento de extraer información sobre su organización. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento del usuario y crea una actividad cuando se detecta una actividad de suplantación inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no se ha realizado por un usuario legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente las actividades inusuales o más actividades que la línea base establecida.

   Acción recomendada: descarte la alerta.

3. FP: Si puede confirmar que las aplicaciones, como Teams, suplantan legítimamente al usuario.

   Acción recomendada: revise las acciones y descarte la alerta si es necesario.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.
2. Revise las actividades de suplantación para identificar posibles actividades malintencionadas.
3. Revise la configuración de acceso delegado.

Alertas de filtración

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar robar datos de su organización.

Reenvío sospechoso desde la bandeja de entrada

Actividades que indican que un atacante obtuvo acceso a la bandeja de entrada de un usuario y creó una regla sospechosa. Las reglas de manipulación, como reenviar todos o correos electrónicos específicos a otra cuenta de correo electrónico, pueden ser un intento de filtrar información de su organización. Defender for Cloud Aplicaciones perfila el entorno y desencadena alertas cuando se detectan reglas sospechosas de manipulación de bandeja de entrada en la bandeja de entrada de un usuario. Esto puede indicar que la cuenta del usuario está en peligro.

TP, B-TP o FP?

1. TP: si puede confirmar que se creó una regla de reenvío de bandeja de entrada malintencionada y que la cuenta estaba en peligro.

   Acción recomendada: suspenda al usuario, restablezca su contraseña y quite la regla de reenvío.

2. FP: si puede confirmar que el usuario ha creado una regla de reenvío a una cuenta de correo electrónico externa nueva o personal por motivos legítimos.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario para ver indicadores adicionales de riesgo, como la alerta, seguida de una alerta de viaje imposible . Buscar:

   1. Nuevas reglas de reenvío SMTP, como se indica a continuación:
      • Compruebe si hay nombres de regla de reenvío malintencionado. Los nombres de regla pueden variar de nombres simples, como "Reenviar todos los correos electrónicos" y "Reenviar automáticamente", o nombres engañosos, como un ".". Los nombres de regla de reenvío pueden estar vacíos, y el destinatario del reenvío puede ser una sola cuenta de correo electrónico o una lista completa. Las reglas malintencionadas también se pueden ocultar en la interfaz de usuario. Una vez detectado, puede usar esta entrada de blog útil sobre cómo eliminar reglas ocultas de buzones de correo.
      • Si detecta una regla de reenvío no reconocida a una dirección de correo electrónico interna o externa desconocida, puede suponer que la cuenta de bandeja de entrada se ha puesto en peligro.
   2. Nuevas reglas de bandeja de entrada, como "eliminar todo", "mover mensajes a otra carpeta" o aquellas con convenciones de nomenclatura ocultas, por ejemplo, "...".

2. Revise las actividades realizadas desde la dirección IP que se usan para crear la regla para detectar otros usuarios en peligro.

3. Revise la lista de mensajes reenviados mediante Exchange Online seguimiento de mensajes.

Descarga inusual de archivos (por usuario)

Actividades que indican que un usuario realizó un número inusual de descargas de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de descarga de archivos que la línea base establecida.

   Acción recomendada: descarte la alerta.

3. FP (sincronización de software): si puede confirmar ese software, como OneDrive, sincronizado con una copia de seguridad externa que provocó la alerta.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise las actividades de descarga y cree una lista de archivos descargados.
2. Revise la confidencialidad de los archivos descargados con el propietario del recurso y valide el nivel de acceso.

Acceso inusual a archivos (por usuario)

Actividades que indican que un usuario realizó un número inusual de accesos a archivos en SharePoint o OneDrive a archivos que contienen datos financieros o datos de red en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización, ya sea con fines financieros o con acceso a credenciales y movimiento lateral. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El período de aprendizaje depende de la actividad del usuario. Por lo general, el período de aprendizaje está comprendido entre 21 y 45 días para la mayoría de los usuarios.

TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de acceso a archivos que la línea base establecida.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise las actividades de acceso y cree una lista de archivos a los que se accede.
2. Revise la confidencialidad de los archivos a los que se accede con el propietario del recurso y valide el nivel de acceso.

Actividad inusual del recurso compartido de archivos (por usuario)

Actividades que indican que un usuario realizó un número inusual de acciones de uso compartido de archivos desde una plataforma de almacenamiento en la nube en comparación con la línea base aprendida. Esto puede indicar un intento de obtener información sobre la organización. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que un usuario legítimo no ha realizado la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente más actividades de uso compartido de archivos que la línea base establecida.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise las actividades de uso compartido y cree una lista de archivos compartidos.
2. Revise la confidencialidad de los archivos compartidos con el propietario del recurso y valide el nivel de acceso.
3. Cree una directiva de archivo para documentos similares para detectar el uso compartido futuro de archivos confidenciales.

Alertas de impacto

En esta sección se describen las alertas que indican que un actor malintencionado puede intentar manipular, interrumpir o destruir sistemas y datos de su organización.

Varias actividades de eliminación de VM

Actividades en una sola sesión que indican que un usuario realizó un número inusual de eliminaciones de máquinas virtuales en comparación con la línea base aprendida. Varias eliminaciones de máquinas virtuales podrían indicar un intento de interrumpir o destruir un entorno. Sin embargo, hay muchos escenarios normales en los que se eliminan las máquinas virtuales.

TP, B-TP o FP?

Para mejorar la precisión y alerta solo cuando hay una indicación fuerte de una infracción, esta detección establece una línea de base en cada entorno de la organización para reducir los incidentes B-TP y solo alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

• TP: si puede confirmar que las eliminaciones no estaban autorizadas.

  Acción recomendada: suspenda al usuario, restablezca su contraseña y examine todos los dispositivos para detectar amenazas malintencionadas. Revise toda la actividad del usuario para ver otros indicadores de riesgo y explore el ámbito de impacto.

• B-TP: si después de la investigación, puede confirmar que el administrador estaba autorizado para realizar estas actividades de eliminación.

  Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Póngase en contacto con el usuario y confirme la actividad.
2. Revise toda la actividad del usuario para obtener indicadores adicionales de riesgo, como la alerta, seguida de una de las siguientes alertas: Viaje imposible, Actividad desde una dirección IP anónima o Actividad desde un país poco frecuente.

Actividad de ransomware

Ransomware es un ciberataque en el que un atacante bloquea a las víctimas de sus dispositivos o les impide acceder a sus archivos hasta que la víctima paga un rescate. El ransomware puede propagarse por un archivo compartido malintencionado o una red en peligro. Defender for Cloud Aplicaciones usa experiencia en investigación de seguridad, inteligencia sobre amenazas y patrones de comportamiento aprendidos para identificar la actividad de ransomware. Por ejemplo, una alta tasa de cargas de archivos o eliminaciones de archivos, puede representar un proceso de cifrado que es común entre las operaciones de ransomware.

Esta detección establece una línea base de los patrones de trabajo normales de cada usuario de su organización, como cuando el usuario accede a la nube y lo que suele hacer en la nube.

Las directivas de detección de amenazas automatizadas de Defender for Cloud Apps comienzan a ejecutarse en segundo plano desde el momento en que se conecta. Con nuestra experiencia en investigación de seguridad para identificar patrones de comportamiento que reflejan la actividad de ransomware en nuestra organización, Defender for Cloud Aplicaciones proporciona una cobertura completa contra ataques sofisticados de ransomware.

Período de aprendizaje

Establecer el patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que el usuario no ha realizado la actividad.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP (comportamiento inusual): el usuario realizó legítimamente varias actividades de eliminación y carga de archivos similares en un breve período de tiempo.

   Acción recomendada: después de revisar el registro de actividad y confirmar que las extensiones de archivo no son sospechosas, descarte la alerta.

3. FP (extensión de archivo ransomware común): si usted es capaz de confirmar que las extensiones de los archivos afectados son una coincidencia para una extensión de ransomware conocida.

   Acción recomendada: póngase en contacto con el usuario y confirme que los archivos son seguros y, a continuación, descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise el registro de actividad para ver otros indicadores de riesgo, como la descarga masiva o la eliminación masiva de archivos.
2. Si usa Microsoft Defender para punto de conexión, revise las alertas del equipo del usuario para ver si se detectaron archivos malintencionados.
3. Busque en el registro de actividad actividades de carga y uso compartido de archivos malintencionados.

Actividad inusual de eliminación de archivos (por usuario)

Actividades que indican que un usuario realizó una actividad inusual de eliminación de archivos en comparación con la línea base aprendida. Esto puede indicar un ataque ransomware. Por ejemplo, un atacante puede cifrar los archivos de un usuario y eliminar todos los originales, dejando solo las versiones cifradas que se pueden usar para coercionar a la víctima para pagar un rescate. Defender for Cloud Aplicaciones crea una línea base basada en el comportamiento normal del usuario y desencadena una alerta cuando se detecta el comportamiento inusual.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días durante el cual las alertas no se desencadenan para ninguna nueva ubicación.

TP, B-TP o FP?

1. TP: si puede confirmar que la actividad no se ha realizado por un usuario legítimo.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. FP: si puede confirmar que el usuario ha realizado legítimamente más actividades de eliminación de archivos que la línea base establecida.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise las actividades de eliminación y cree una lista de archivos eliminados. Si es necesario, recupere los archivos eliminados.
2. Opcionalmente, cree un cuaderno de estrategias mediante Power Automate para ponerse en contacto con los usuarios y sus administradores para comprobar la actividad.

Aumento de la puntuación de prioridad de investigación (versión preliminar)

Las actividades anómalas y las actividades que desencadenaron las alertas se asignan puntuaciones basadas en la gravedad, el impacto del usuario y el análisis de comportamiento del usuario. El análisis se realiza en función de otros usuarios de los inquilinos.

Cuando hay un aumento significativo y anómalo en la puntuación de prioridad de investigación de un usuario determinado, se desencadenará la alerta.

Esta alerta permite detectar posibles infracciones que se caracterizan por actividades que no desencadenan necesariamente alertas específicas, sino que se acumulan en un comportamiento sospechoso para el usuario.

Período de aprendizaje

El establecimiento del patrón de actividad de un nuevo usuario requiere un período de aprendizaje inicial de siete días, durante el cual las alertas no se desencadenan para ningún aumento de puntuación.

TP, B-TP o FP?

1. TP: si puede confirmar que las actividades del usuario no son legítimas.

   Acción recomendada: suspenda al usuario, marque al usuario como en peligro y restablezca su contraseña.

2. B-TP: si es capaz de confirmar que el usuario se desvía significativamente del comportamiento habitual, pero no hay ninguna posible infracción.

3. FP (comportamiento inusual): si puede confirmar que el usuario ha realizado legítimamente las actividades inusuales o más actividades que la línea base establecida.

   Acción recomendada: descarte la alerta.

Comprender el ámbito de la vulneración de seguridad

1. Revise toda la actividad del usuario y las alertas para obtener indicadores adicionales de riesgo.

Consulte también

Tutorial: Investigación de usuarios de riesgo