Referencia de UEBA de Microsoft Sentinel
En este artículo de referencia se enumeran los orígenes de datos de entrada para el servicio Análisis de comportamiento de usuarios y entidades en Microsoft Sentinel. También describe los enriquecimientos que UEBA agrega a las entidades, lo que proporciona el contexto necesario para alertas e incidentes.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Orígenes de datos de UEBA
Estos son los orígenes de datos de los que el motor de UEBA recopila y analiza datos para entrenar sus modelos de ML y establecer bases de referencia de comportamiento para usuarios, dispositivos y otras entidades. Después, UEBA examina los datos de estos orígenes para buscar anomalías y obtener información detallada.
Origen de datos | Eventos |
---|---|
Microsoft Entra ID Registros de inicio de sesión |
All |
Microsoft Entra ID Registros de auditoría |
ApplicationManagement DirectoryManagement GroupManagement Dispositivo RoleManagement UserManagementCategory |
Registros de actividad de Azure | Autorización AzureActiveDirectory Facturación Compute Consumo KeyVault Dispositivos Red Recursos Intune Lógica Sql Storage |
Eventos de seguridad de Windows WindowsEvent o SecurityEvent |
4624: se ha iniciado sesión correctamente en una cuenta 4625: no se pudo iniciar sesión en una cuenta 4648: se intentó iniciar sesión con credenciales explícitas 4672: se asignaron privilegios especiales a un nuevo inicio de sesión 4688: se creó un nuevo proceso |
Enriquecimientos con UEBA
En esta sección se describen los enriquecimientos que UEBA agrega a las entidades de Microsoft Sentinel, junto con todos sus detalles, que puede usar para centrar y mejorar las investigaciones de incidentes de seguridad. Estos enriquecimientos se muestran en las páginas de entidad y se pueden encontrar en las siguientes tablas de Log Analytics, cuyo contenido y esquema se enumeran a continuación:
La tabla BehaviorAnalytics es donde se almacena la información de salida de UEBA.
Los tres campos dinámicos siguientes de la tabla BehaviorAnalytics se describen en la sección siguiente de campos dinámicos de enriquecimiento de entidades.
Los campos UsersInsights y DevicesInsights contienen información de entidades de Active Directory/Microsoft Entra ID y orígenes de inteligencia sobre amenazas de Microsoft.
El campo ActivityInsights contiene información de entidades basada en los perfiles de comportamiento creados por el análisis del comportamiento de las entidades de Microsoft Sentinel.
Las actividades del usuario se analizan con respecto a una base de referencia que se compila dinámicamente cada vez que se usa. Cada actividad tiene definido un período de retrospectiva a partir del cual se deriva la base de referencia dinámica. Este período de retrospectiva se especifica en la columna Base de referencia de esta tabla.
La tabla IdentityInfo es el lugar en el que se almacena la información de identidad sincronizada con UEBA desde Microsoft Entra ID (y desde Active Directory local a través de Microsoft Defender for Identity).
Tabla BehaviorAnalytics
En la tabla siguiente se describen los datos de análisis de comportamiento que se muestran en cada página de detalles de entidad de Microsoft Sentinel.
Campo | Tipo | Descripción |
---|---|---|
TenantId | string | Número de id. único del inquilino. |
SourceRecordId | string | Número de id. único del evento de EBA. |
TimeGenerated | datetime | Marca de tiempo de la repetición de la actividad. |
TimeProcessed | datetime | Marca de tiempo del procesamiento de la actividad por parte del motor de EBA. |
ActivityType | string | Categoría de alto nivel de la actividad. |
ActionType | string | Nombre normalizado de la actividad. |
UserName | string | Nombre de usuario del usuario que inició la actividad. |
UserPrincipalName | string | Nombre de usuario completo del usuario que inició la actividad. |
EventSource | string | Origen de datos que proporcionó el evento original. |
SourceIPAddress | string | Dirección IP desde la que se inició la actividad. |
SourceIPLocation | string | País o región desde el que se inició la actividad, enriquecida desde la dirección IP. |
SourceDevice | string | Nombre de host del dispositivo que inició la actividad. |
DestinationIPAddress | string | Dirección IP del destino de la actividad. |
DestinationIPLocation | string | País o región del destino de la actividad, enriquecido a partir de la dirección IP. |
DestinationDevice | string | Nombre del dispositivo de destino. |
UsersInsights | dinámico | Enriquecimientos contextuales de los usuarios implicados (los detalles se encuentran a continuación). |
DevicesInsights | dinámico | Enriquecimientos contextuales de los dispositivos implicados (los detalles se encuentran a continuación). |
ActivityInsights | dinámico | Análisis contextual de la actividad en función de la generación de perfiles (los detalles se encuentran a continuación). |
InvestigationPriority | int | Puntuación de anomalías, entre 0 y 10 (0=benigno, 10=muy anómalo). |
Campos dinámicos de enriquecimiento de entidades
Nota:
La columna Enrichment name (Nombre de enriquecimiento) en las tablas de esta sección muestra dos filas de información.
- La primera, en negrita, está el "nombre descriptivo" de la característica enriquecida.
- La segunda (en cursiva y entre paréntesis) es el nombre del campo de la característica enriquecida tal y como se almacena en la tabla de análisis de comportamiento.
Campo UsersInsights
En la tabla siguiente se describen los enriquecimientos que se encuentran en el campo dinámico UsersInsights de la tabla BehaviorAnalytics:
Nombre de la característica enriquecida | Descripción | Valor de ejemplo |
---|---|---|
Nombre para mostrar de la cuenta (AccountDisplayName) |
Nombre para mostrar de la cuenta del usuario. | Admin, Hayden Cook |
Dominio de cuenta (AccountDomain) |
Nombre de dominio de la cuenta del usuario. | |
Identificador del objeto de la cuenta (AccountObjectID) |
El identificador del objeto de la cuenta del usuario. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
Radio de explosión (BlastRadius) |
El radio de explosión se calcula en función de varios factores: la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra. El usuario debe tener la propiedad Manager rellenada en Microsoft Entra ID para que BlastRadius se calcule. | Bajo, medio, alto |
Cuenta inactiva (IsDormantAccount) |
La cuenta no se ha usado durante los últimos 180 días. | True, False |
Administrador local (IsLocalAdmin) |
La cuenta tiene privilegios de administrador local. | True, False |
Cuenta nueva (IsNewAccount) |
La cuenta se creó en los últimos 30 días. | True, False |
SID local (OnPremisesSID) |
El SID local del usuario relacionado con la acción. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
En la tabla siguiente se describen los enriquecimientos que se encuentran en el campo dinámico DevicesInsights de la tabla BehaviorAnalytics:
Nombre de la característica enriquecida | Descripción | Valor de ejemplo |
---|---|---|
Browser (Explorador) |
Explorador usado en la acción. | Edge, Chrome |
Familia de dispositivos (DeviceFamily) |
Familia de dispositivos usada en la acción. | Windows |
Tipo de dispositivo (DeviceType) |
Tipo de dispositivo de cliente usado en la acción. | Escritorio |
ISP (ISP) |
Proveedor de servicios de Internet usado en la acción. | |
Sistema operativo (OperatingSystem) |
Sistema operativo usado en la acción. | Windows 10 |
Descripción del indicador de información sobre amenazas (ThreatIntelIndicatorDescription) |
Descripción del indicador de amenazas observado resuelto a partir de la dirección IP usada en la acción. | El host es miembro de botnet: azorult |
Tipo de indicador de información sobre amenazas (ThreatIntelIndicatorType) |
El tipo de indicador de amenazas resuelto a partir de la dirección IP usada en la acción. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
Agente de usuario (UserAgent) |
Agente de usuario usaso en la acción. | Biblioteca de cliente de Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
Familia de agentes de usuario (UserAgentFamily) |
Familia de agentes de usuario usada en la acción. | Chrome, Edge, Firefox |
Campo ActivityInsights
En las siguientes tablas se describen los enriquecimientos que se encuentran en el campo dinámico ActivityInsights de la tabla BehaviorAnalytics:
Acción realizada
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario realizó la acción (FirstTimeUserPerformedAction) |
180 | El usuario realizó la acción por primera vez. | True, False |
Acción infrecuente realizada por el usuario (ActionUncommonlyPerformedByUser) |
10 | Acción que el usuario no realiza normalmente. | True, False |
Acción infrecuente realizada entre elementos del mismo nivel (ActionUncommonlyPerformedAmongPeers) |
180 | La acción no se realiza normalmente entre elementos del mismo nivel del usuario. | True, False |
Primera vez que se realiza la acción en el inquilino (FirstTimeActionPerformedInTenant) |
180 | Cualquier persona de la organización realizó la acción por primera vez. | True, False |
Acción infrecuente realizada en el inquilino (ActionUncommonlyPerformedInTenant) |
180 | La acción no se realiza normalmente en la organización. | True, False |
Aplicación usada
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario usó la aplicación (FirstTimeUserUsedApp) |
180 | El usuario usó la aplicación por primera vez. | True, False |
Aplicación poco utilizada por el usuario (AppUncommonlyUsedByUser) |
10 | El usuario no suele usar la aplicación. | True, False |
Aplicación poco usada entre elementos del mismo nivel (AppUncommonlyUsedAmongPeers) |
180 | La aplicación no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
Primera vez que se observa la aplicación en el inquilino (FirstTimeAppObservedInTenant) |
180 | La aplicación se observó por primera vez en la organización. | True, False |
Aplicación poco usada en el inquilino (AppUncommonlyUsedInTenant) |
180 | La aplicación no se usa habitualmente en la organización. | True, False |
Explorador usado
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario se conecta a través del explorador (FirstTimeUserConnectedViaBrowser) |
30 | La primera vez que el usuario observó el explorador. | True, False |
Explorador poco utilizado por el usuario (BrowserUncommonlyUsedByUser) |
10 | El usuario no suele usar el explorador. | True, False |
Explorador poco usado entre elementos del mismo nivel (BrowserUncommonlyUsedAmongPeers) |
30 | El explorador no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
Primera vez que se observa el explorador en el inquilino (FirstTimeBrowserObservedInTenant) |
30 | El explorador se observó por primera vez en la organización. | True, False |
Explorador poco usado en el inquilino (BrowserUncommonlyUsedInTenant) |
30 | El explorador no se usa habitualmente en la organización. | True, False |
País o región conectado desde
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario se conecta desde el país (FirstTimeUserConnectedFromCountry) |
90 | El usuario conectó por primera vez la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. | True, False |
País con conexión infrecuente del usuario (CountryUncommonlyConnectedFromByUser) |
10 | El usuario no suele conectar la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. | True, False |
País de conexión infrecuente entre elementos del mismo nivel (CountryUncommonlyConnectedFromAmongPeers) |
90 | La ubicación geográfica, tal y como se resolvió desde la dirección IP, no se conecta normalmente entre los pares del usuario. | True, False |
Primera conexión con origen en el país observada en el inquilino (FirstTimeConnectionFromCountryObservedInTenant) |
90 | El país o región se conectó por primera vez por parte de cualquier persona de la organización. | True, False |
Conexión con origen en el país infrecuente desde en el inquilino (CountryUncommonlyConnectedFromInTenant) |
90 | La organización no suele conectar la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. | True, False |
Dispositivo usado para conectarse
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario se conecta desde el dispositivo (FirstTimeUserConnectedFromDevice) |
30 | La primera vez que el usuario conectó el dispositivo de origen. | True, False |
Dispositivo poco usado por el usuario (DeviceUncommonlyUsedByUser) |
10 | El usuario no suele usar el dispositivo. | True, False |
Dispositivo poco usado entre elementos del mismo nivel (DeviceUncommonlyUsedAmongPeers) |
180 | El dispositivo no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
Dispositivo observado por primera vez en el inquilino (FirstTimeDeviceObservedInTenant) |
30 | El dispositivo se observó por primera vez en la organización. | True, False |
Dispositivo poco usado en el inquilino (DeviceUncommonlyUsedInTenant) |
180 | El dispositivo no se usa habitualmente en la organización. | True, False |
Otros relacionados con el dispositivo
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario inició sesión en el dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | El usuario conectó el dispositivo de destino por primera vez. | True, False |
Familia de dispositivos poco usada en el inquilino (DeviceFamilyUncommonlyUsedInTenant) |
30 | La familia de dispositivos no se usa habitualmente en la organización. | True, False |
Proveedor de servicios de Internet que se usa para conectarse
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Primera vez que el usuario se conecta a través de ISP (FirstTimeUserConnectedViaISP) |
30 | La primera vez que el usuario observó el ISP. | True, False |
ISP poco usado por el usuario (ISPUncommonlyUsedByUser) |
10 | El usuario no suele usar el ISP. | True, False |
ISP poco usado entre elementos del mismo nivel (ISPUncommonlyUsedAmongPeers) |
30 | El ISP no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
Primera conexión a través de ISP en el inquilino (FirstTimeConnectionViaISPInTenant) |
30 | El ISP se observó por primera vez en la organización. | True, False |
ISP poco usado en el inquilino (ISPUncommonlyUsedInTenant) |
30 | El ISP no se utiliza normalmente en la organización. | True, False |
Recurso al que se accede
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Recurso al que se accede por primera vez (FirstTimeUserAccessedResource) |
180 | El usuario ha tenido acceso al recurso por primera vez. | True, False |
Recurso al que accede poco el usuario (ResourceUncommonlyAccessedByUser) |
10 | El usuario no suele tener acceso al recurso. | True, False |
Recurso al que tienen poco acceso los elementos del mismo nivel (ResourceUncommonlyAccessedAmongPeers) |
180 | Normalmente no se accede al recurso entre los elementos del mismo nivel del usuario. | True, False |
Primera vez que se tiene acceso al recurso en el inquilino (FirstTimeResourceAccessedInTenant) |
180 | Cualquier persona de la organización ha tenido acceso al recurso por primera vez. | True, False |
Recurso al que accede poco el inquilino (ResourceUncommonlyAccessedInTenant) |
180 | Normalmente no se tiene acceso al recurso en la organización. | True, False |
Varios
Nombre de la característica enriquecida | Base de referencia (días) | Descripción | Valor de ejemplo |
---|---|---|---|
Última vez que el usuario realizó la acción (LastTimeUserPerformedAction) |
180 | Última vez que el usuario realizó la misma acción. | <Timestamp> |
No se ha realizado una acción similar en el pasado (SimilarActionWasn'tPerformedInThePast) |
30 | El usuario no realizó ninguna acción en el mismo proveedor de recursos. | True, False |
Ubicación de IP de origen (SourceIPLocation) |
N/D | País o región resuelto desde la dirección IP de origen de la acción. | [Surrey, England] |
Gran volumen de operaciones poco frecuentes (UncommonHighVolumeOfOperations) |
7 | Un usuario realizó una serie de operaciones similares en el mismo proveedor | True, False |
Número inusual de errores de acceso condicional de Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | No se pudo autenticar un número inusual de usuarios debido a un acceso condicional | True, False |
Número inusual de dispositivos agregados (UnusualNumberOfDevicesAdded) |
5 | Un usuario agregó un número de dispositivos inusual. | True, False |
Número inusual de dispositivos eliminados (UnusualNumberOfDevicesDeleted) |
5 | Un usuario eliminó un número de dispositivos inusual. | True, False |
Número inusual de usuarios agregados al grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Un usuario agregó un número inusual de usuarios a un grupo. | True, False |
Tabla IdentityInfo
Después de habilitar UEBA para el área de trabajo de Microsoft Sentinel, los datos de Microsoft Entra ID se sincronizan con la tabla IdentityInfo de Log Analytics para su uso en Microsoft Sentinel. Puede insertar datos de usuario sincronizados desde Microsoft Entra ID en las reglas de análisis con el fin de mejorar el análisis para ajustarlo a sus casos de uso y reducir los falsos positivos.
Aunque la sincronización inicial puede tardar unos días, una vez que los datos estén totalmente sincronizados ocurre lo siguiente:
Los cambios realizados en los perfiles de usuario, los grupos y los roles de Microsoft Entra ID se actualizan en la tabla IdentityInfo en un plazo de 15 a 30 minutos.
Cada 14 días, Microsoft Sentinel se vuelve a sincronizar con toda la instancia de Microsoft Entra ID para asegurarse de que los registros obsoletos se actualicen completamente.
El tiempo de retención predeterminado de la tabla IdentityInfo es de 30 días.
Limitaciones
Actualmente, solo se admiten roles integrados.
En estos momentos, no se admiten los datos sobre grupos eliminados, en los que se quitó un usuario de un grupo.
Versiones de la tabla IdentityInfo
En realidad hay dos versiones de la tabla IdentityInfo :
- La versión del esquema de Log Analytics sirve a Microsoft Sentinel en Azure Portal.
- La versión del esquema de búsqueda avanzada sirve a Microsoft Sentinel en el portal de Microsoft Defender a través de Microsoft Defender for Identity.
Ambas versiones de esta tabla se alimentan de Microsoft Entra ID, pero la versión de Log Analytics agregó algunos campos.
Microsoft Sentinel en el portal de Microsoft Defender usa la versión de búsqueda avanzada de esta tabla. Para minimizar las diferencias entre las dos versiones de la tabla, la mayoría de los campos únicos de la versión de Log Analytics también se agregan gradualmente a la versión de búsqueda avanzada. Independientemente del portal en el que use Microsoft Sentinel, tendrá acceso a casi toda la misma información, aunque puede haber un pequeño retraso en la sincronización entre las versiones. Para obtener más información, consulte la documentación de la versión de búsqueda avanzada de esta tabla.
En la tabla siguiente se describen los datos de identidad de usuario incluidos en la tabla IdentityInfo de Log Analytics en Azure Portal. La cuarta columna muestra los campos correspondientes en la versión de búsqueda avanzada de la tabla, que Microsoft Sentinel usa en el portal de Defender. Los nombres de campo en negrita se denominan de forma diferente en el esquema de búsqueda avanzada que en la versión de Log Analytics de Microsoft Sentinel.
Nombre del campo en Esquema de Log Analytics |
Tipo | Descripción | Nombre del campo en Esquema de búsqueda avanzada |
---|---|---|---|
AccountCloudSID | cadena | Identificador de seguridad de Microsoft Entra de la cuenta. | CloudSid |
AccountCreationTime | datetime | Fecha en que se creó la cuenta de usuario (UTC). | CreatedDateTime |
AccountDisplayName | string | Nombre para mostrar de la cuenta de usuario. | AccountDisplayName |
AccountDomain | string | Nombre de dominio de la cuenta de usuario. | AccountDomain |
AccountName | string | Nombre de usuario de la cuenta de usuario. | AccountName |
AccountObjectId | cadena | Identificador de objeto de Microsoft Entra de la cuenta de usuario. | AccountObjectId |
AccountSID | string | Identificador de seguridad local de la cuenta de usuario. | AccountSID |
AccountTenantId | cadena | Identificador de inquilino de Microsoft Entra de la cuenta de usuario. | -- |
AccountUPN | string | Nombre principal de usuario de la cuenta de usuario. | AccountUPN |
AdditionalMailAddresses | dinámico | Direcciones de correo electrónico adicionales del usuario. | -- |
AssignedRoles | dinámico | Roles de Microsoft Entra a los que se asigna la cuenta de usuario. | AssignedRoles |
BlastRadius | cadena | El cálculo se basa en la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra. Valores posibles: Low, Medium, High |
-- |
ChangeSource | string | Origen del cambio más reciente a la entidad. Posibles valores: |
ChangeSource |
CompanyName | Nombre de la compañía al que pertenece el usuario. | -- | |
Ciudad | string | Ciudad de la cuenta de usuario. | Ciudad |
País o región | string | País o región de la cuenta de usuario. | Country |
DeletedDateTime | datetime | Fecha y hora en que se eliminó el usuario. | -- |
Departamento | string | Departamento de la cuenta de usuario. | department |
GivenName | string | Nombre propio de la cuenta de usuario. | GivenName |
GroupMembership | dinámico | Grupos de Microsoft Entra de los cuales es miembro la cuenta de usuario. | -- |
IsAccountEnabled | bool | Indicación de si la cuenta de usuario está habilitada o no en Microsoft Entra ID. | IsAccountEnabled |
JobTitle | string | Puesto de la cuenta de usuario. | JobTitle |
MailAddress | string | Dirección de correo electrónico principal de la cuenta de usuario. | EmailAddress |
Administrador | string | Alias de administrador de la cuenta de usuario. | Manager |
OnPremisesDistinguishedName | cadena | Nombre distintivo (DN) de Microsoft Entra ID. Un nombre distintivo (DN) es una secuencia de nombres distintivos relativos (RDN) conectados por comas. | DistinguishedName |
Teléfono | string | Número de teléfono de la cuenta de usuario. | Teléfono |
SourceSystem | string | Sistema en el que se administra el usuario. Posibles valores: |
SourceProvider |
State | string | Estado geográfico de la cuenta de usuario. | State |
StreetAddress | string | Dirección postal de la oficina de la cuenta de usuario. | Dirección |
Surname | string | Apellido del usuario cuenta%. | Apellido |
TenantId | string | Identificador de inquilino del usuario. | -- |
TimeGenerated | datetime | Hora a la que se generó el evento (UTC). | Timestamp |
Tipo | string | Nombre de la tabla. | -- |
UserAccountControl | dinámico | Atributos de seguridad de la cuenta de usuario en el dominio de AD. Valores posibles (pueden contener más de uno): |
-- |
UserState | cadena | Estado actual de la cuenta de usuario en Microsoft Entra ID. Valores posibles: |
-- |
UserStateChangedOn | datetime | Fecha de la última vez que se cambió el estado de la cuenta (UTC). | -- |
UserType | string | El tipo de usuario. | -- |
Pasos siguientes
En este documento se describía el esquema de la tabla de análisis del comportamiento de entidades de Microsoft Sentinel.
- Más información sobre el análisis del comportamiento de entidades.
- Habilite UEBA en Microsoft Sentinel.
- Coloque UEBA para usarlo en las investigaciones.