Aplica A: ThreatSync+ SaaS
La página Usuarios de la UI de ThreatSync+ muestra detalles sobre la actividad de usuario y la detección de amenazas en Microsoft 365. Puede utilizar la información de esta página para ver información detallada sobre la actividad inusual de los usuarios de Microsoft 365, el historial de inicio de sesión y puede realizar acciones de habilitación y deshabilitación en usuarios específicos.
La página Usuarios le permite ver qué usuarios de su organización tienen las puntuaciones de amenaza más altas que representan riesgos potenciales según la actividad detectada por ThreatSync+ SaaS.
Esta página solo está disponible con una licencia de ThreatSync+ SaaS. Para más información, vaya a Acerca de las Licencias de ThreatSync+ SaaS.
Para abrir la página Usuarios, desde la UI de ThreatSync+:
- Seleccione Monitorizar > ThreatSync+ > Usuarios.
Se abre la página Usuarios y muestra una lista de usuarios en la tabla.
Página Detalles del Usuario
Para ver los detalles sobre la actividad específica de un usuario, haga clic en un usuario para abrir la página Detalles del Usuario.
Si no hay alertas de política durante el período de tiempo seleccionado, los detalles del usuario no están disponibles.
La página Detalles del Usuario muestra información sobre el historial de inicio de sesión, el historial del usuario y el estado de la remediación del usuario seleccionado. Esta información incluye la Identificación de usuario asociada con el usuario de Microsoft 365 y la puntuación de amenaza actual del usuario. La puntuación de amenaza del usuario representa su exposición a ciberataques a través de Microsoft 365.
Realizar Acciones en Usuarios
ThreatSync+ SaaS para Microsoft 365 incluye acciones de remediación manuales y automáticas.
Antes de Empezar
Antes de poder realizar acciones de remediación, debe habilitar la remediación en su integración SaaS de Microsoft 365. Puede habilitar la remediación para una integración SaaS de Microsoft 365 existente o habilitarla cuando agregue una nueva integración SaaS.
Para habilitar la remediación de usuario para una integración SaaS existente:
- Seleccione Configurar > Integraciones de ThreatSync+ > Integración SaaS.
Se abre la página Integraciones SaaS. - Haga clic en el nombre de la integración SaaS que desea editar.
Se abre la página Editar Integraciones SaaS. - Para habilitar la capacidad de deshabilitar o habilitar usuarios de Microsoft 365, seleccione Habilitar Remediación.
Si habilita o deshabilita la remediación para una integración SaaS existente con Microsoft 365, debe reactivar la integración y volver a proporcionar el consentimiento para la integración.
- Haga clic en Guardar.
Para habilitar la remediación para una nueva integración SaaS, vaya a Crear una Integración SaaS.
Realizar Acciones Manuales o Automáticas en Usuarios
En la página Usuarios, puede realizar estas acciones manuales:
- Habilitar Usuario / Deshabilitar Usuario — Habilita o deshabilita un usuario en Microsoft 365. Cuando selecciona esta acción, el usuario se deshabilita o habilita en Microsoft 365. Si deshabilita un usuario de Microsoft 365, ya no podrá iniciar sesión en su cuenta de Microsoft 365.
Para realizar una remediación automática a través de las políticas de ThreatSync+ SaaS, vaya a Agregar Políticas Personalizadas de ThreatSync+ — ThreatSync+ SaaS.
Para ver el historial de remediaciones de un usuario, vaya a Registros de Auditoría de ThreatSync+.
Historial de Inicio de Sesión
La sección Historial de Inicio de Sesión muestra estos detalles:
- Hora de Inicio de Sesión — La hora y la fecha en que el usuario inició sesión.
- Origen — La aplicación en la que inició sesión el usuario. Por ejemplo, Microsoft 365.
- Desde IP — La dirección IP de origen de la actividad de usuario.
- Última Ubicación Conocida — La ciudad, el estado o la provincia y el país de la última ubicación conocida del usuario.
Historial de Usuario
La sección Historial de Usuario muestra estos detalles:
- Fecha — La fecha y la hora en que se realizó una acción específica.
- Acción — La acción asociada a un usuario específico. Las acciones incluyen:
- Actualización de la Puntuación de Amenaza — La puntuación de amenaza se actualiza después de una nueva actividad de usuario.
- Inicialización de la Puntuación de Amenaza — La primera puntuación de amenaza registrada del usuario.
- Habilitado — Un usuario puede iniciar sesión en Microsoft 365 y conectarse a los servicios de Microsoft 365.
- Deshabilitado — Un usuario no puede iniciar sesión en Microsoft 365 ni conectarse a los servicios de Microsoft 365.
- Origen — La aplicación relacionada con la acción del usuario. Por ejemplo, Microsoft 365.
- Última Ubicación Conocida — La ciudad, el estado o la provincia y el país de la última ubicación conocida del usuario.
- IP de Acceso — La dirección IP de origen del usuario para una fecha y hora específicas.
- Puntuación de Amenaza — La puntuación de amenaza asociada al usuario en el momento de la actividad. La tabla Historial de Usuario muestra cómo cambia la puntuación de amenaza a lo largo del tiempo en función de la actividad de usuario. La puntuación de amenaza actual del usuario se encuentra en la parte superior de la página Detalles de Usuario y contribuye a la Puntuación de Amenaza de Red general. Para más información, vaya a Puntuación de Amenaza de Red.
Para ver páginas adicionales del usuario, como alertas de política, Smart Alerts, zonas y actividad del dispositivo asociada a una acción del usuario, haga clic en la dirección IP de acceso.
Debe tener una licencia de ThreatSync+ NDR para ver los detalles de usuario de la dirección IP de Acceso. Para más información, vaya a Acerca de las Licencias de ThreatSync+ NDR.
Los widgets Usuarios Totales y Actividad de Usuario de la página Resumen también muestran información adicional sobre el usuario. Para más información, vaya a Acerca de la Página Resumen de ThreatSync+.