Investigar una cuenta de usuario en Microsoft defender ATP

Se aplica a:

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una evaluación gratuita.

Investigar entidades de cuenta de usuario

Identifica las cuentas de usuario con las alertas más activas (que se muestra en el panel como "Users at risk") e investiga casos de posibles credenciales en peligro, o examina la cuenta de usuario asociada al investigar una alerta o máquina para identificar posibles desplazamientos laterales entre máquinas con esa cuenta de usuario.

Encontrarás información de la cuenta de usuario en las siguientes vistas:

  • Panel
  • Alert queue
  • Machine details page

En estas vistas hay disponible un vínculo interactivo de la cuenta de usuario, que te llevará a la página de detalles de la cuenta de usuario, donde se muestran más detalles sobre la cuenta de usuario.

Al investigar una entidad de cuenta de usuario, verás:

  • Detalles de la cuenta de usuario, protección contra amenazas avanzada de Azure (Azure ATP) alertas y equipos con sesión iniciada
  • Alerts related to this user
  • Observed in organization (máquinas en las que se ha iniciado sesión)

Imagen de la página de detalles de entidad de cuenta de usuario

Detalles del usuario
Las secciones detalles de la entidad cuenta de usuario, alertas de ATP de Azure y equipos con sesión iniciada muestran varios atributos sobre la cuenta de usuario.

El mosaico entidad de usuario proporciona detalles sobre el usuario, como el momento en que el usuario fue el primero y el último visto. Según las características de integración que habilite, verá otros detalles. Por ejemplo, si habilita la integración de Skype empresarial, podrá ponerse en contacto con el usuario desde el portal.

Protección contra amenazas avanzada de Azure
Si ha habilitado la característica ATP de Azure y hay alertas relacionadas con el usuario, puede hacer clic en el vínculo que le llevará a la página de Azure ATP donde se proporciona más información sobre las alertas. El icono ATP de Azure también proporciona detalles como el último sitio de AD, la pertenencia a grupos totales y el error de inicio de sesión asociado con el usuario.

Nota

Para usar esta característica, tendrá que habilitar la integración en Azure ATP y en Microsoft defender ATP. En Microsoft defender ATP, puede habilitar esta característica en las características avanzadas. Para obtener más información sobre cómo habilitar las características avanzadas, consulte activar las características avanzadas.

Equipos con sesión iniciada
También verás una lista de las máquinas donde el usuario inició sesión, y puedes expandirla para ver los detalles de los eventos de inicio de sesión en cada máquina.

Esta sección proporciona una lista de alertas asociadas a la cuenta de usuario. Esta lista es una vista filtrada de Alert queue y muestra las alertas donde el contexto de usuario es la cuenta de usuario seleccionada, la fecha en que se detectó la última actividad, una breve descripción de la alerta, la máquina asociada con la alerta, la gravedad de la alerta, el estado de la alerta en la cola y a quién se le asignó la alerta.

Observed in organization

Esta sección le permite especificar un intervalo de fechas para ver una lista de equipos en los que se ha iniciado sesión en este usuario y la cuenta de usuario que ha iniciado sesión con más frecuencia y menos frecuente en cada uno de estos equipos.

El estado de mantenimiento de la máquina se muestra en el icono de la máquina y el color, así como en una descripción. Al hacer clic en el icono, aparece información adicional sobre el mantenimiento del equipo.

Imagen de la sección de observado en la organización

Buscar cuentas de usuario específicas

  1. Selecciona Usuario en el menú desplegable Barra de búsqueda.
  2. Escribe la cuenta de usuario el campo Búsqueda.
  3. Haz clic en el icono de búsqueda o presiona ENTRAR.

Se muestra una lista de usuarios que coinciden con el texto de la consulta. Verás el dominio y el nombre de la cuenta de usuario, cuándo se vio la cuenta de usuario por última vez y el número total de máquinas donde se observó que inició sesión en los últimos 30días.

Puedes filtrar los resultados por los períodos siguientes:

  • 1 día
  • 3 días
  • 7 días
  • 30 días
  • 6 meses

Temas relacionados