Gestión de usuarios y accesos privilegiados
El Módulo de Identidades de TecnetSOC ofrece dos vistas especializadas para trabajar con cuentas de usuario: la pestaña Usuarios para el directorio completo, y la pestaña Privilegiados para las cuentas con roles administrativos. Además, el UserDetailDrawer proporciona una vista forense detallada de cualquier cuenta individual. Este artículo explica cómo usar estas herramientas para identificar, investigar y remediar riesgos de identidad.
---
Tab Usuarios
La pestaña Usuarios muestra el directorio completo de cuentas sincronizadas desde Entra ID. Es el punto de partida para cualquier investigación de identidad.
Filtros disponibles
La barra de búsqueda y los filtros permiten encontrar cuentas específicas rápidamente:
| Filtro | Opciones | Uso |
|---|
| Búsqueda de texto | Nombre, correo, UPN | Encontrar un usuario específico por nombre o correo |
| Risk Score | Alto (60+), Medio (30-59), Bajo (0-29) | Priorizar usuarios por nivel de riesgo |
| Estado de MFA | Fuerte, Moderado, Débil, Sin MFA | Identificar usuarios sin protección adecuada |
| Estado de cuenta | Activa, Inactiva, Deshabilitada | Filtrar por estado en el directorio |
| Tipo de cuenta | Usuario, Service Account, Cuenta de invitado | Separar cuentas técnicas de usuarios humanos |
| Con detecciones | Sí / No | Mostrar solo cuentas con riesgo activo de Identity Protection |
Vista de lista
La lista de usuarios muestra por defecto las columnas más relevantes:
- Nombre y correo del usuario
- Risk Score con su indicador de color
- Fortaleza de MFA (icono de escudo por nivel)
- Último sign-in (fecha relativa: "hace 2 días", "hace 45 días")
- Roles (lista compacta de roles administrativos si aplica)
- Detecciones (número de detecciones activas de Identity Protection)
Haz clic en cualquier columna para ordenar la lista. El orden predeterminado es por Risk Score descendente (usuarios de mayor riesgo primero).
---
Tab Privilegiados
La pestaña Privilegiados filtra automáticamente para mostrar solo las cuentas con roles administrativos asignados en Entra ID. Esta vista es esencial para el monitoreo de accesos privilegiados.
Roles monitoreados
TecnetSOC monitorea los siguientes roles como "privilegiados" y los muestra en esta pestaña:
| Rol | Nivel de riesgo | Descripción |
|---|
| Global Administrator | Crítico | Acceso completo a todo el tenant |
| Privileged Role Administrator | Crítico | Puede asignar y modificar roles |
| Security Administrator | Alto | Gestiona configuración de seguridad |
| Exchange Administrator | Alto | Acceso completo a todos los buzones |
| SharePoint Administrator | Alto | Acceso completo a todo SharePoint |
| User Administrator | Medio | Puede crear/eliminar usuarios y resetear contraseñas |
| Billing Administrator | Medio | Acceso a información de facturación y suscripciones |
| Conditional Access Administrator | Medio | Puede modificar políticas de CA |
| Application Administrator | Medio | Puede gestionar todas las aplicaciones enterprise |
Columnas adicionales en la vista de Privilegiados
La pestaña Privilegiados muestra columnas adicionales relevantes para el acceso privilegiado:
- Tipo de asignación: Permanente (el rol siempre está activo) o Elegible via PIM (el rol debe activarse manualmente)
- Fecha de asignación: Cuándo se otorgó el rol
- Asignado por: Qué administrador asignó el rol
- Expira: Si la asignación tiene fecha de expiración (solo aplica para PIM)
Nota: Las asignaciones de tipo "Permanente" generan un factor de riesgo adicional en el Risk Score del usuario. La práctica recomendada es convertir todos los roles críticos a asignaciones "Elegibles" via PIM para que se activen solo cuando se necesiten.
PIM — Privileged Identity Management
Las cuentas con roles asignados via PIM aparecen con el indicador "PIM" junto al nombre del rol. PIM permite:
- Activación bajo demanda: El usuario activa el rol por un período definido (generalmente 1-8 horas) con justificación.
- Aprobación requerida: Los roles más críticos pueden requerir aprobación de otro administrador antes de activarse.
- Alertas de activación: TecnetSOC puede mostrar las activaciones recientes de PIM en el historial del usuario.
- Expiración automática: El rol se desactiva automáticamente al término del período, sin intervención manual.
---
UserDetailDrawer
El UserDetailDrawer es el panel lateral que se abre al hacer clic en cualquier usuario. Proporciona una vista completa y forense de la cuenta seleccionada.
Información general
La parte superior del drawer muestra:
- Avatar y nombre del usuario
- Risk Score con su indicador visual
- Estado de la cuenta (activa, deshabilitada)
- Correo y UPN (User Principal Name)
- Departamento y cargo (si está configurado en Entra ID)
- Fecha del último sign-in
- Fecha de creación de la cuenta
Factores de riesgo
La sección de factores de riesgo lista todos los factores activos que están sumando puntos al Risk Score del usuario. Cada factor muestra:
- El nombre del factor
- Los puntos que suma
- Una descripción breve de por qué es un riesgo
Esta sección es el punto de partida para reducir el Risk Score: cada factor activo tiene una acción de remediación recomendada.
Timeline forense
El timeline muestra los eventos más recientes asociados a la cuenta, en orden cronológico inverso:
- Sign-ins exitosos y fallidos (con ubicación e IP)
- Activaciones de roles PIM
- Cambios de contraseña
- Registro o eliminación de métodos de MFA
- Detecciones de Identity Protection
- Acciones tomadas desde TecnetSOC (requerir MFA, deshabilitar, etc.)
El timeline permite reconstruir el historial de actividad de una cuenta durante una investigación de incidentes.
Nota: La profundidad del timeline depende del período de retención de logs de Entra ID (30 días con P1, 90 días con P2). Los eventos más antiguos pueden no estar disponibles.
Métodos de MFA registrados
Muestra la lista completa de métodos de autenticación registrados por el usuario, con su nivel de fortaleza:
- Tipo de método (Authenticator, FIDO2, SMS, etc.)
- Fecha de registro
- Dispositivo asociado (si aplica)
---
Botones de acción
El UserDetailDrawer incluye botones de acción que permiten ejecutar acciones de seguridad directamente desde TecnetSOC, sin necesidad de ir al Portal de Azure.
Requerir MFA
Fuerza al usuario a registrar un nuevo método de MFA en su próximo inicio de sesión. Esta acción:
- Invalida todos los tokens de sesión activos del usuario
- Crea una política temporal de CA que bloquea el acceso del usuario hasta que complete el registro de MFA
- Genera una entrada en el timeline del usuario
Usa esta acción cuando un usuario no tiene MFA o cuando sospechas que sus métodos de MFA existentes están comprometidos.
Deshabilitar cuenta
Deshabilita la cuenta del usuario en Entra ID. Esta acción es inmediata:
- El usuario no puede iniciar sesión en ninguna aplicación
- Los tokens de sesión activos expiran en el próximo ciclo de CAE (segundos si CAE está habilitado, hasta 1 hora si no)
- La cuenta permanece en el directorio (no se elimina) para preservar el historial
Advertencia: Deshabilitar una cuenta afecta inmediatamente la productividad del usuario. Confirma que la acción es necesaria antes de ejecutarla. Para reactivar la cuenta, ve a Entra Admin Center → Users → selecciona el usuario → edita y habilita "Account enabled".
Iniciar revisión
Marca la cuenta para revisión formal por parte del equipo de seguridad. Esta acción:
- Crea una tarea de revisión en el sistema de tickets de TecnetSOC
- Asigna la revisión al analista de guardia o al owner designado
- Agrega una nota en el timeline del usuario
- No toma ninguna acción técnica sobre la cuenta (es un marcador administrativo)
Usa esta acción cuando necesitas investigar más antes de tomar una decisión, o cuando la política de tu organización requiere aprobación antes de deshabilitar una cuenta.
---
Service accounts y credenciales
Las service accounts son cuentas técnicas usadas por aplicaciones, scripts, y sistemas automatizados. Aparecen en la pestaña Usuarios con el indicador "Service Account".
Riesgos específicos de service accounts
Las service accounts tienen riesgos particulares que difieren de los usuarios humanos:
- Contraseñas sin expiración: Muchas service accounts tienen la contraseña configurada para no expirar, lo que significa que una contraseña comprometida puede usarse indefinidamente.
- Sin MFA: Las service accounts generalmente no pueden completar MFA interactivo, por lo que suelen estar excluidas de las políticas de CA.
- Sin dueño: Con el tiempo, los responsables originales de una service account pueden dejar la organización, dejando la cuenta sin un responsable que la monitoree.
- Permisos excesivos: Las service accounts tienden a acumular permisos que fueron necesarios en algún momento pero ya no se usan.
Buenas prácticas para service accounts
- Asignar un dueño humano a cada service account y documentarlo.
- Usar Managed Identities de Azure en lugar de service accounts con contraseña cuando sea posible.
- Aplicar políticas de CA específicas para service accounts que limiten los accesos a IPs y aplicaciones conocidas.
- Rotar las contraseñas de service accounts regularmente (al menos cada 6 meses).
- Revisar los permisos de service accounts trimestralmente y remover los que ya no son necesarios.
---
Recursos adicionales
---
Última actualización: Abril 2026 | TecnetOne Knowledge Base