Investigación de una cuenta de usuario en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Investigación de entidades de cuenta de usuario

Identifique las cuentas de usuario con las alertas más activas (que se muestran en el panel como "Usuarios en riesgo") e investigue casos de posibles credenciales en peligro, o dinamice la cuenta de usuario asociada al investigar una alerta o dispositivo para identificar un posible movimiento lateral entre los dispositivos con esa cuenta de usuario.

Puede encontrar información de la cuenta de usuario en las vistas siguientes:

• Panel
• Cola de alertas
• Página de detalles del dispositivo

En estas vistas hay disponible un vínculo de cuenta de usuario en el que se puede hacer clic, que le lleva a la página de detalles de la cuenta de usuario donde se muestran más detalles sobre la cuenta de usuario.

Al investigar una entidad de cuenta de usuario, puede ver lo siguiente:

• Detalles de la cuenta de usuario, alertas de Microsoft Defender for Identity y dispositivos con sesión iniciada, rol, tipo de inicio de sesión y otros detalles
• Información general sobre los incidentes y los dispositivos del usuario
• Alertas relacionadas con este usuario
• Observado en la organización (dispositivos en los que se ha iniciado sesión)

Detalles del usuario

El panel Detalles del usuario de la izquierda proporciona información sobre el usuario, como incidentes abiertos relacionados, alertas activas, nombre SAM, SID, Microsoft Defender for Identity alertas, número de dispositivos en los que el usuario ha iniciado sesión, cuándo se vio por primera vez al usuario, roles y tipos de inicio de sesión. En función de las características de integración que haya habilitado, puede ver otros detalles. Por ejemplo, si habilita la integración de Skype Empresarial, puede ponerse en contacto con el usuario desde el portal. La sección alertas de Azure ATP contiene un vínculo que le lleva a la página de Microsoft Defender for Identity, si ha habilitado la característica de Microsoft Defender for Identity y hay alertas relacionadas con el usuario. La página Microsoft Defender for Identity proporciona más información sobre las alertas.

Nota:

Tendrá que habilitar la integración en Microsoft Defender for Identity y Defender para punto de conexión para usar esta característica. En Defender para punto de conexión, puede habilitar esta característica en características avanzadas. Para obtener más información sobre cómo habilitar características avanzadas, consulte Activar características avanzadas.

Información general, Alertas y Observadas en la organización son pestañas diferentes que muestran varios atributos sobre la cuenta de usuario.

Nota:

En el caso de los dispositivos Linux, no se muestra información sobre los usuarios que han iniciado sesión.

Información general

En la pestaña Información general se muestran los detalles de los incidentes y una lista de los dispositivos en los que el usuario ha iniciado sesión. Puede expandirlos para ver los detalles de los eventos de inicio de sesión de cada dispositivo.

Alertas

La pestaña Alertas proporciona una lista de alertas asociadas a la cuenta de usuario. Esta lista es una vista filtrada de la cola de alertas y muestra alertas donde el contexto de usuario es la cuenta de usuario seleccionada, la fecha en que se detectó la última actividad, una breve descripción de la alerta, el dispositivo asociado a la alerta, la gravedad de la alerta, el estado de la alerta en la cola y a quién se asigna la alerta.

Observado en la organización

La pestaña Observada en la organización permite especificar un intervalo de fechas para ver una lista de dispositivos en los que se observó que este usuario inició sesión, la cuenta de usuario que ha iniciado sesión más frecuente y menos frecuente para cada uno de estos dispositivos y el total de usuarios observados en cada dispositivo.

Al seleccionar un elemento en la tabla Observada en la organización, se expande el elemento y se muestran más detalles sobre el dispositivo. La selección directa de un vínculo dentro de un elemento le envía a la página correspondiente.

Búsqueda para cuentas de usuario específicas

1. Seleccione Usuario en el menú desplegable de la barra de Búsqueda.
2. Escriba la cuenta de usuario en el campo Búsqueda.
3. Haga clic en el icono de búsqueda o presione Entrar.

Se muestra una lista de usuarios que coinciden con el texto de la consulta. Puede ver el dominio y el nombre de la cuenta de usuario, cuando se vio por última vez la cuenta de usuario, y el número total de dispositivos en los que se observó que inició sesión en los últimos 30 días.

Puede filtrar los resultados por los siguientes períodos de tiempo:

• 1 día
• 3 días
• 7 días
• 30 días
• 6 meses

Artículos relacionados

• Ver y organizar la cola de alertas de Microsoft Defender para punto de conexión
• Administrar alertas de Microsoft Defender para punto de conexión
• Investigar alertas de Microsoft Defender para punto de conexión
• Investigación de un archivo asociado a una alerta de Defender para punto de conexión
• Investigación de dispositivos en la lista defender para dispositivos de punto de conexión
• Investigación de una dirección IP asociada a una alerta de Defender para punto de conexión
• Investigación de un dominio asociado a una alerta de Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.