Detección avanzada de amenazas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Identificar las amenazas dentro de su organización y su impacto potencial -ya sea una entidad comprometida o un intruso malintencionado- siempre ha sido un proceso lento y laborioso. Examinar las alertas, unir los puntos y buscar de manera activa, en su conjunto, obligan a invertir una gran cantidad de tiempo y esfuerzo para obtener un retorno mínimo, y la posibilidad de que las amenazas sofisticadas simplemente eludan la detección. En particular, las amenazas esquivas, como las amenazas persistentes avanzadas, dirigidas y de día cero, pueden ser las más peligrosas para su organización, lo que hace que su detección sea sumamente importante.
La funcionalidad UEBA en Microsoft Sentinel elimina el trabajo monótono y aburrido de las cargas de trabajo de los analistas y la incertidumbre de sus esfuerzos, y ofrece inteligencia de alta fidelidad y procesable, para que puedan centrarse en la investigación y la corrección.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Todas las ventajas de UEBA están disponibles en la plataforma unificada de operaciones de seguridad del portal de Microsoft Defender.
¿Qué es el Análisis de comportamiento de usuarios y entidades (UEBA)?
A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos. A través de diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso se ha puesto en peligro. No solo eso, sino que también puede averiguar la sensibilidad relativa de los recursos concretos, identificar los grupos de homólogos y evaluar el impacto potencial de cualquier recurso en peligro determinado (su "radio de la explosión"). Gracias a esta información, puede priorizar la investigación y el tratamiento de incidentes de manera eficaz.
Arquitectura de análisis de UEBA
Análisis controlado por seguridad
Inspirado en el paradigma de Gartner para las soluciones UEBA, Microsoft Sentinel proporciona un enfoque "desde fuera hacia dentro", basado en tres marcos de referencia:
Casos de uso: al priorizar los escenarios y vectores de ataque pertinentes según la investigación de seguridad, alineada con el marco de tácticas, técnicas y subtécnicas de MITRE ATT&CK, que coloca varias entidades como víctimas, autores o puntos de pivote en la cadena de eliminación; Microsoft Sentinel se centra específicamente en los registros más valiosos que puede proporcionar cada origen de datos.
Orígenes de datos: aunque, ante todo, se admiten los orígenes de datos de Azure, Microsoft Sentinel selecciona cuidadosamente orígenes de datos de terceros para proporcionar datos que coincidan con nuestros escenarios de amenazas.
Análisis: con varios algoritmos de aprendizaje automático (ML), Microsoft Sentinel identifica actividades anómalas y presenta evidencias de forma clara y concisa como mejoras contextuales, algunos ejemplos de los cuales aparecen a continuación.
Microsoft Sentinel presenta artefactos que ayudan a los analistas de seguridad a comprender claramente las actividades anómalas en contexto y en comparación con el perfil de referencia del usuario. Las acciones realizadas por un usuario (o un host o una dirección) se evalúan en contexto, donde un resultado "verdadero" indica una anomalía identificada:
- entre ubicaciones geográficas, dispositivos y entornos;
- entre los horizontes de tiempo y frecuencia (en comparación con el propio historial del usuario);
- en comparación con el comportamiento de homólogos;
- en comparación con el comportamiento de la organización.
La información de entidad de usuario que Microsoft Sentinel usa para compilar sus perfiles de usuario procede de Microsoft Entra ID (o de Active Directory local, ahora en versión preliminar). Cuando habilita UEBA, sincroniza su Microsoft Entra ID con Microsoft Sentinel, almacenando la información en una base de datos interna visible a través de la tabla IdentityInfo.
- En Microsoft Sentinel en el portal Azure, puede consultar la tabla IdentityInfo en Log Analytics en la página Registros.
- En la plataforma unificada de operaciones de seguridad de Microsoft Defender, esta tabla se consulta en Búsqueda avanzada.
Ahora en versión preliminar, también puede sincronizar la información de la entidad de usuario de Active Directory local mediante Microsoft Defender for Identity.
Consulte Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel para obtener información sobre cómo habilitar UEBA y sincronizar identidades de usuario.
Puntuaciones
Cada actividad se puntúa con una "puntuación de prioridad de la investigación", que determina la probabilidad de que un usuario específico realice una actividad específica, en función del aprendizaje del comportamiento del usuario y de sus homólogos. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas (en una escala del 0 al 10).
Consulte cómo se usa el análisis de comportamiento en Microsoft Defender for Cloud Apps para ver un ejemplo de cómo funciona.
Descubra más sobre las entidades en Microsoft Sentinel y vea la lista completa de las entidades e identificadores admitidos.
Páginas de entidad
Ahora puede encontrar información sobre las páginas de entidades en Páginas de entidades en Microsoft Sentinel.
Consulta de datos de análisis de comportamiento
Con KQL, podemos consultar la tabla BehaviorAnalytics.
Por ejemplo, si queremos encontrar todos los casos en los que un usuario no pudo iniciar sesión en un recurso de Azure, donde era el primer intento de conexión del usuario desde un país o región determinados, y las conexiones desde ese país o región fueran poco frecuentes incluso para los homólogos de ese usuario, podemos usar la siguiente consulta:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- En Microsoft Sentinel en Azure portal, se consulta la tabla BehaviorAnalytics en Análisis de registros en la página Registros.
- En la plataforma unificada de operaciones de seguridad de Microsoft Defender, esta tabla se consulta en Búsqueda avanzada.
Metadatos de homólogos del usuario: tabla y cuaderno
Los metadatos de los homólogos del usuario proporcionan un contexto importante en las detecciones de amenazas, en la investigación de un incidente y en la búsqueda de una amenaza potencial. Los analistas de seguridad pueden observar las actividades normales de los homólogos del usuario para determinar si las actividades del usuario son inusuales en comparación con las de sus homólogos.
Microsoft Sentinel calcula y clasifica los homólogos de un usuario en función de la pertenencia a grupos de seguridad de Microsoft Entra del usuario, la lista de distribución de correo, etc., y almacena los homólogos clasificados de 1 a 20 en la tabla UserPeerAnalytics. En la captura de pantalla siguiente se muestra el esquema de la tabla UserPeerAnalytics, y se muestran los ocho homólogos mejor clasificados del usuario Kendall Collins. Microsoft Sentinel usa el algoritmo frecuencia de término – frecuencia inversa de documento (TF-IDF) para normalizar la ponderación para calcular la clasificación: cuanto menor sea el grupo, mayor será la ponderación.
Puede usar el cuaderno de cuaderno de Jupyter proporcionado en el repositorio de GitHub de Microsoft Sentinel para visualizar los metadatos de los homólogos del usuario. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.
Nota:
La tabla UserAccessAnalytics ha quedado en desuso.
Consultas de búsqueda y consultas de exploración
Microsoft Sentinel proporciona de serie un conjunto de consultas de búsqueda, consultas de exploración y el libro Análisis de comportamiento de usuarios y entidades, que se basa en la tabla BehaviorAnalytics. Estas herramientas presentan datos enriquecidos, centrados en casos de uso específicos, que indican un comportamiento anómalo.
Para obtener más información, consulte:
A medida que las herramientas de defensa heredadas se quedan obsoletas, las organizaciones pueden tener un patrimonio digital tan amplio y poroso que resulta imposible obtener una perspectiva completa del riesgo y la posición a los que su entorno puede estar haciendo frente. Confiar principalmente en esfuerzos reactivos, como el análisis y las reglas, permite a los actores malintencionados aprender a eludir esos esfuerzos. Aquí es donde UEBA entra en juego, ya que proporciona metodologías de puntuación de riesgos y algoritmos para averiguar lo que sucede realmente.
Pasos siguientes
En este documento, ha aprendido acerca de las funcionalidades de análisis de comportamiento de entidades de Microsoft Sentinel. Para obtener instrucciones prácticas sobre la implementación y para usar las conclusiones obtenidas, consulte los siguientes artículos:
- Habilitación del análisis de comportamiento de entidades en Microsoft Sentinel.
- Consulte la lista de anomalías que detecta el motor de UEBA.
- Investigación de incidentes con datos de UEBA.
- Búsqueda de amenazas de seguridad
Para más información, consulte también Referencia de UEBA de Microsoft Sentinel.