Ir al contenido principal

Monitor de usuario

Alert when a device's local user accounts drift from your expected list. Catch rogue or unauthorized accounts the moment they appear, or get notified when a required service account goes missing.

Introducción

Genera alertas cuando las cuentas de usuario locales en un dispositivo difieren de la lista que espera. El Monitor de usuario compara las cuentas presentes en cada dispositivo cubierto con su lista de usuarios conocidos y se activa cuando algo no coincide: una cuenta que no autorizó o una cuenta que debería existir pero no existe.

Esta es una de las formas más rápidas de detectar cuentas de administrador no autorizadas, una técnica de persistencia habitual tras un compromiso, y de detectar cuándo se elimina una cuenta de servicio requerida.

Cómo funciona el Monitor de usuario

El agente realiza un inventario de las cuentas de usuario locales en los dispositivos cubiertos y las compara con su Usuarios conocidos lista. La verificación se ejecuta aproximadamente cada 60 segundos y el intervalo no es configurable.

La alerta se activa en la primera verificación que detecta una discrepancia, por lo que la latencia de detección es de aproximadamente un minuto. La condición se borra en la siguiente verificación después de que desaparece la discrepancia, sujeto a la configuración de resolución automática.

El texto de la alerta nombra las cuentas infractoras: «Usuarios desconocidos detectados: guest, hacker» o «Usuarios faltantes detectados: svc_backup». Con el alcance de administrador habilitado, indica «usuarios administradores» en su lugar.

Qué se considera un usuario

El monitor compara las cuentas locales regulares, no todas las cuentas que el sistema operativo conoce. El agente filtra automáticamente las cuentas del sistema y de servicio, por lo que no es necesario agregarlas a su lista de usuarios conocidos.

🖥️ NOTA DE PLATAFORMA:

  • Windows: Solo cuentas locales. Las cuentas de equipo (que terminan en $) y las cuentas del sistema integradas (WDAGUtilityAccount, DefaultAccount, ASPNET, Network/Local Service, krbtgt, IUSR_/IWAM_) están excluidas. Los usuarios de dominio no se enumeran, incluso en equipos unidos a un dominio.

  • macOS: Las cuentas de servicio que comienzan con _ y las cuentas con UID inferiores a 501 están excluidas. root siempre se incluye.

  • Linux: Las cuentas fuera del rango UID_MIN a UID_MAX definido en /etc/login.defs están excluidas. root siempre se incluye.

⚠️ ADVERTENCIA: El agente no enumera usuarios en controladores de dominio de Windows, por lo que este monitor no tiene efecto en un DC. Mantenga los DC fuera de las etiquetas de destino de la política en lugar de asumir que están cubiertos.

Configuración del Monitor de usuario

Abra la política de monitor de destino y haga clic en + Agregar nuevo monitor. El Agregar nuevo monitor el panel se abre.

Admin Monitor

Nombre y tipo

  1. Ingrese un nombre en el Nombre campo. Nómbrelo según lo que detecta: «Administrador inesperado detectado» se lee al instante en una lista de alertas; «Monitor de usuario» no.

  2. Establezca Tipo a Usuario.

Gravedad

Establezca Gravedad según el impacto de los cambios de cuenta inesperados en este contexto:

  • Información

  • Advertencia

  • Crítico

  • Emergencia

💡 CONSEJO: Para los monitores con alcance de administrador, Crítico o Emergencia suele ser la elección correcta. Una cuenta de administrador no autorizada es una señal de seguridad seria, y vale la pena tratarla como tal desde el principio.

Usuarios conocidos

Ingrese las cuentas de usuario que espera en los dispositivos cubiertos en el Usuarios conocidos campo. Cada cuenta aparece como una etiqueta extraíble. Presione tabulador o agregue una coma para añadir usuarios adicionales, y haga clic en × en una etiqueta para eliminarla.

La coincidencia no distingue entre mayúsculas y minúsculas, y los espacios alrededor de los nombres se ignoran. Jacob y jacob coinciden con la misma cuenta.

💡 CONSEJO: ¿No está seguro de qué cuentas existen en un dispositivo ahora mismo? Abra el dispositivo y consulte la Usuarios pestaña en los detalles del dispositivo. Esa es la fuente de verdad para construir la lista.

ℹ️ NOTA: Haga clic en el {x} botón a la derecha del campo para insertar una variable, como un campo personalizado (por ejemplo, {{cf_known_users}}). La variable se resuelve por dispositivo y su valor se divide por comas y saltos de línea. Esto le permite gestionar la lista desde un campo personalizado en lugar de codificar nombres en cada monitor. Útil cuando las cuentas esperadas varían por dispositivo o por cliente.

Alcance

Alcance controla qué cuentas compara el monitor con su lista:

  • Todos los usuarios — se verifica cada cuenta de usuario local en el dispositivo

  • Solo usuarios administradores — solo se verifican las cuentas con privilegios administrativos

💡 CONSEJO: Solo usuarios administradores es el punto de partida con menos ruido. Las cuentas de usuario estándar van y vienen en estaciones de trabajo compartidas, pero la lista de administradores en un dispositivo en buen estado debería ser corta y estable.

🖥️ NOTA DE PLATAFORMA:

  • Windows: Administrador significa ser miembro del grupo Administradores integrado.

  • macOS: Administrador significa ser miembro del grupo admin o wheel.

  • Linux: Administrador significa ser miembro del grupo sudo, wheel o root.

Alerta cuando

Alerta cuando establece la condición que activa la alerta:

  • Aparece un usuario desconocido — se activa cuando existe una cuenta en el dispositivo que no está en su lista de usuarios conocidos. Detecta cuentas no autorizadas o fraudulentas.

  • Falta un usuario esperado — se activa cuando una cuenta de su lista de usuarios conocidos no se encuentra en el dispositivo. Detecta la eliminación de cuentas de servicio requeridas.

En cualquier caso, la lista de usuarios conocidos es el conjunto de referencia. En el modo desconocido funciona como una lista de permitidos; en el modo de faltantes funciona como una lista de requeridos.

ℹ️ NOTA: Cada monitor vigila una condición. Para detectar tanto cuentas desconocidas como cuentas faltantes, cree dos monitores de usuario en la misma política, uno para cada condición. Pueden compartir la misma lista de usuarios conocidos.

Corrección

Adjunte una o más automatizaciones para que se ejecuten cuando se active este monitor. Para una cuenta de administrador inesperada, esto podría significar bloquear el dispositivo, deshabilitar la cuenta mediante un script o notificar a su contacto de seguridad.

  1. Haga clic en el Corrección campo y seleccione una automatización.

  2. Para agregar más, haga clic en + Agregar otra corrección.

  3. Para eliminar uno, haga clic en × junto a él.

Una vez adjunta una automatización, ábrala desde el ícono de enlace para revisarla y asigne el payload del monitor a una variable de automatización si desea pasar datos de alerta a la lógica de la automatización.

⚠️ ADVERTENCIA: Las correcciones agresivas como Bloquear dispositivo actúan de inmediato cuando se activa la alerta. Pruebe su lista de usuarios conocidos en dispositivos reales antes de adjuntar una corrección disruptiva, o una entrada faltante en su lista bloqueará una máquina legítima.

Notificaciones

Las Notificar a destinatarios las casillas de verificación controlan si los destinatarios de la política reciben correos electrónicos:

  • Al crear la alerta — los destinatarios reciben un correo electrónico cuando se activa la alerta

  • Al resolver la alerta — los destinatarios reciben un correo electrónico cuando se resuelve la alerta

Los destinatarios se gestionan a nivel de la política de monitor, en la Destinatarios sección.

Resolución automática

Resolver alerta automáticamente cuando las condiciones se aclaren cierra la alerta automáticamente cuando el estado de la cuenta vuelve a coincidir con su lista de usuarios conocidos, por ejemplo, cuando se elimina la cuenta fraudulenta o se restaura la cuenta faltante.

Para un monitor orientado a la seguridad, generalmente conviene tener esto deshabilitado para revisión manual. Una cuenta no autorizada que aparece y luego desaparece es exactamente el tipo de evento que un humano debería revisar, incluso después de que la condición se aclare.

Preguntas frecuentes

  • ¿Quién puede crear y editar monitores? Los técnicos con acceso a la política de monitor correspondiente. Los ajustes de permisos se gestionan en Espacio de trabajo → Permisos.

  • ¿Este monitor cubre cuentas de dominio o solo cuentas locales? Solo cuentas locales. Los usuarios de dominio no se enumeran, incluso en equipos unidos a un dominio. Para supervisar la pertenencia a cuentas de dominio, use un Monitor de ejecución de scripts con una verificación personalizada.

  • ¿Por qué este monitor no hace nada en mi controlador de dominio? El agente no enumera usuarios en controladores de dominio de Windows, por lo que el monitor no tiene efecto allí. Mantenga los DC fuera de las etiquetas de destino de la política.

  • ¿Necesito agregar cuentas integradas como Administrator o root a mi lista de usuarios conocidos? A veces. Las cuentas del sistema y de servicio se filtran automáticamente, pero las integradas estándar que superan el filtro (Administrator y Guest en Windows, root en todos los sistemas) cuentan como usuarios. Si alguna existe en el dispositivo y está dentro de su alcance, agréguela a la lista o se activará una alerta de usuario desconocido.

  • ¿La lista de usuarios conocidos distingue mayúsculas de minúsculas? No. La coincidencia no distingue entre mayúsculas y minúsculas e ignora los espacios circundantes.

  • ¿Puede un monitor alertar sobre usuarios desconocidos y faltantes a la vez? No. Cada monitor se activa ante una condición. Cree dos monitores en la misma política, uno configurado en Aparece un usuario desconocido y uno configurado en Falta un usuario esperado.

  • Mis dispositivos tienen cuentas esperadas diferentes por cliente. ¿Necesito un monitor por cliente? No necesariamente. Use el {x} selector de variables en el campo Usuarios conocidos para referenciar un campo personalizado y luego almacene las cuentas esperadas de cada dispositivo en ese campo (separadas por coma o salto de línea). Un solo monitor, listas por dispositivo.

  • ¿Por qué no se activó mi alerta cuando creé una cuenta de prueba? Algunas cosas a verificar: el dispositivo debe estar en línea y cubierto por las etiquetas de destino de la política, la verificación se ejecuta aproximadamente cada 60 segundos (así que espere un minuto), y una cuenta de prueba estándar no activará un monitor configurado con alcance en Solo usuarios administradores.

  • ¿Qué sucede con las alertas de usuario abiertas si elimino el monitor? Las alertas existentes permanecen en su lugar. Eliminar un monitor no cierra las alertas que ya creó. Resuélvalas manualmente.

Artículos relacionados
Monitor de conexión
Monitor de proceso
Monitor de aplicaciones
Monitor de inicio de sesión fallido
Monitor de tiempo de actividad
¿Ha quedado contestada tu pregunta?