Compartir vía


Referencia de UEBA de Microsoft Sentinel

En este artículo de referencia se enumeran los orígenes de datos de entrada para el servicio Análisis de comportamiento de usuarios y entidades en Microsoft Sentinel. También describe los enriquecimientos que UEBA agrega a las entidades, lo que proporciona el contexto necesario para alertas e incidentes.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Orígenes de datos de UEBA

Estos son los orígenes de datos de los que el motor de UEBA recopila y analiza datos para entrenar sus modelos de ML y establecer bases de referencia de comportamiento para usuarios, dispositivos y otras entidades. Después, UEBA examina los datos de estos orígenes para buscar anomalías y obtener información detallada.

Origen de datos Eventos
Microsoft Entra ID
Registros de inicio de sesión
All
Microsoft Entra ID
Registros de auditoría
ApplicationManagement
DirectoryManagement
GroupManagement
Dispositivo
RoleManagement
UserManagementCategory
Registros de actividad de Azure Autorización
AzureActiveDirectory
Facturación
Compute
Consumo
KeyVault
Dispositivos
Red
Recursos
Intune
Lógica
Sql
Storage
Eventos de seguridad de Windows
WindowsEvent o
SecurityEvent
4624: se ha iniciado sesión correctamente en una cuenta
4625: no se pudo iniciar sesión en una cuenta
4648: se intentó iniciar sesión con credenciales explícitas
4672: se asignaron privilegios especiales a un nuevo inicio de sesión
4688: se creó un nuevo proceso

Enriquecimientos con UEBA

En esta sección se describen los enriquecimientos que UEBA agrega a las entidades de Microsoft Sentinel, junto con todos sus detalles, que puede usar para centrar y mejorar las investigaciones de incidentes de seguridad. Estos enriquecimientos se muestran en las páginas de entidad y se pueden encontrar en las siguientes tablas de Log Analytics, cuyo contenido y esquema se enumeran a continuación:

  • La tabla BehaviorAnalytics es donde se almacena la información de salida de UEBA.

    Los tres campos dinámicos siguientes de la tabla BehaviorAnalytics se describen en la sección siguiente de campos dinámicos de enriquecimiento de entidades.

    • Los campos UsersInsights y DevicesInsights contienen información de entidades de Active Directory/Microsoft Entra ID y orígenes de inteligencia sobre amenazas de Microsoft.

    • El campo ActivityInsights contiene información de entidades basada en los perfiles de comportamiento creados por el análisis del comportamiento de las entidades de Microsoft Sentinel.

      Las actividades del usuario se analizan con respecto a una base de referencia que se compila dinámicamente cada vez que se usa. Cada actividad tiene definido un período de retrospectiva a partir del cual se deriva la base de referencia dinámica. Este período de retrospectiva se especifica en la columna Base de referencia de esta tabla.

  • La tabla IdentityInfo es el lugar en el que se almacena la información de identidad sincronizada con UEBA desde Microsoft Entra ID (y desde Active Directory local a través de Microsoft Defender for Identity).

Tabla BehaviorAnalytics

En la tabla siguiente se describen los datos de análisis de comportamiento que se muestran en cada página de detalles de entidad de Microsoft Sentinel.

Campo Tipo Descripción
TenantId string Número de id. único del inquilino.
SourceRecordId string Número de id. único del evento de EBA.
TimeGenerated datetime Marca de tiempo de la repetición de la actividad.
TimeProcessed datetime Marca de tiempo del procesamiento de la actividad por parte del motor de EBA.
ActivityType string Categoría de alto nivel de la actividad.
ActionType string Nombre normalizado de la actividad.
UserName string Nombre de usuario del usuario que inició la actividad.
UserPrincipalName string Nombre de usuario completo del usuario que inició la actividad.
EventSource string Origen de datos que proporcionó el evento original.
SourceIPAddress string Dirección IP desde la que se inició la actividad.
SourceIPLocation string País o región desde el que se inició la actividad, enriquecida desde la dirección IP.
SourceDevice string Nombre de host del dispositivo que inició la actividad.
DestinationIPAddress string Dirección IP del destino de la actividad.
DestinationIPLocation string País o región del destino de la actividad, enriquecido a partir de la dirección IP.
DestinationDevice string Nombre del dispositivo de destino.
UsersInsights dinámico Enriquecimientos contextuales de los usuarios implicados (los detalles se encuentran a continuación).
DevicesInsights dinámico Enriquecimientos contextuales de los dispositivos implicados (los detalles se encuentran a continuación).
ActivityInsights dinámico Análisis contextual de la actividad en función de la generación de perfiles (los detalles se encuentran a continuación).
InvestigationPriority int Puntuación de anomalías, entre 0 y 10 (0=benigno, 10=muy anómalo).

Campos dinámicos de enriquecimiento de entidades

Nota:

La columna Enrichment name (Nombre de enriquecimiento) en las tablas de esta sección muestra dos filas de información.

  • La primera, en negrita, está el "nombre descriptivo" de la característica enriquecida.
  • La segunda (en cursiva y entre paréntesis) es el nombre del campo de la característica enriquecida tal y como se almacena en la tabla de análisis de comportamiento.

Campo UsersInsights

En la tabla siguiente se describen los enriquecimientos que se encuentran en el campo dinámico UsersInsights de la tabla BehaviorAnalytics:

Nombre de la característica enriquecida Descripción Valor de ejemplo
Nombre para mostrar de la cuenta
(AccountDisplayName)
Nombre para mostrar de la cuenta del usuario. Admin, Hayden Cook
Dominio de cuenta
(AccountDomain)
Nombre de dominio de la cuenta del usuario.
Identificador del objeto de la cuenta
(AccountObjectID)
El identificador del objeto de la cuenta del usuario. aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Radio de explosión
(BlastRadius)
El radio de explosión se calcula en función de varios factores: la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra. El usuario debe tener la propiedad Manager rellenada en Microsoft Entra ID para que BlastRadius se calcule. Bajo, medio, alto
Cuenta inactiva
(IsDormantAccount)
La cuenta no se ha usado durante los últimos 180 días. True, False
Administrador local
(IsLocalAdmin)
La cuenta tiene privilegios de administrador local. True, False
Cuenta nueva
(IsNewAccount)
La cuenta se creó en los últimos 30 días. True, False
SID local
(OnPremisesSID)
El SID local del usuario relacionado con la acción. S-1-5-21-1112946627-1321165628-2437342228-1103

Campo DevicesInsights

En la tabla siguiente se describen los enriquecimientos que se encuentran en el campo dinámico DevicesInsights de la tabla BehaviorAnalytics:

Nombre de la característica enriquecida Descripción Valor de ejemplo
Browser
(Explorador)
Explorador usado en la acción. Edge, Chrome
Familia de dispositivos
(DeviceFamily)
Familia de dispositivos usada en la acción. Windows
Tipo de dispositivo
(DeviceType)
Tipo de dispositivo de cliente usado en la acción. Escritorio
ISP
(ISP)
Proveedor de servicios de Internet usado en la acción.
Sistema operativo
(OperatingSystem)
Sistema operativo usado en la acción. Windows 10
Descripción del indicador de información sobre amenazas
(ThreatIntelIndicatorDescription)
Descripción del indicador de amenazas observado resuelto a partir de la dirección IP usada en la acción. El host es miembro de botnet: azorult
Tipo de indicador de información sobre amenazas
(ThreatIntelIndicatorType)
El tipo de indicador de amenazas resuelto a partir de la dirección IP usada en la acción. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Agente de usuario
(UserAgent)
Agente de usuario usaso en la acción. Biblioteca de cliente de Microsoft Azure Graph 1.0,
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Familia de agentes de usuario
(UserAgentFamily)
Familia de agentes de usuario usada en la acción. Chrome, Edge, Firefox

Campo ActivityInsights

En las siguientes tablas se describen los enriquecimientos que se encuentran en el campo dinámico ActivityInsights de la tabla BehaviorAnalytics:

Acción realizada
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario realizó la acción
(FirstTimeUserPerformedAction)
180 El usuario realizó la acción por primera vez. True, False
Acción infrecuente realizada por el usuario
(ActionUncommonlyPerformedByUser)
10 Acción que el usuario no realiza normalmente. True, False
Acción infrecuente realizada entre elementos del mismo nivel
(ActionUncommonlyPerformedAmongPeers)
180 La acción no se realiza normalmente entre elementos del mismo nivel del usuario. True, False
Primera vez que se realiza la acción en el inquilino
(FirstTimeActionPerformedInTenant)
180 Cualquier persona de la organización realizó la acción por primera vez. True, False
Acción infrecuente realizada en el inquilino
(ActionUncommonlyPerformedInTenant)
180 La acción no se realiza normalmente en la organización. True, False
Aplicación usada
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario usó la aplicación
(FirstTimeUserUsedApp)
180 El usuario usó la aplicación por primera vez. True, False
Aplicación poco utilizada por el usuario
(AppUncommonlyUsedByUser)
10 El usuario no suele usar la aplicación. True, False
Aplicación poco usada entre elementos del mismo nivel
(AppUncommonlyUsedAmongPeers)
180 La aplicación no se usa normalmente entre los elementos del mismo nivel del usuario. True, False
Primera vez que se observa la aplicación en el inquilino
(FirstTimeAppObservedInTenant)
180 La aplicación se observó por primera vez en la organización. True, False
Aplicación poco usada en el inquilino
(AppUncommonlyUsedInTenant)
180 La aplicación no se usa habitualmente en la organización. True, False
Explorador usado
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario se conecta a través del explorador
(FirstTimeUserConnectedViaBrowser)
30 La primera vez que el usuario observó el explorador. True, False
Explorador poco utilizado por el usuario
(BrowserUncommonlyUsedByUser)
10 El usuario no suele usar el explorador. True, False
Explorador poco usado entre elementos del mismo nivel
(BrowserUncommonlyUsedAmongPeers)
30 El explorador no se usa normalmente entre los elementos del mismo nivel del usuario. True, False
Primera vez que se observa el explorador en el inquilino
(FirstTimeBrowserObservedInTenant)
30 El explorador se observó por primera vez en la organización. True, False
Explorador poco usado en el inquilino
(BrowserUncommonlyUsedInTenant)
30 El explorador no se usa habitualmente en la organización. True, False
País o región conectado desde
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario se conecta desde el país
(FirstTimeUserConnectedFromCountry)
90 El usuario conectó por primera vez la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. True, False
País con conexión infrecuente del usuario
(CountryUncommonlyConnectedFromByUser)
10 El usuario no suele conectar la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. True, False
País de conexión infrecuente entre elementos del mismo nivel
(CountryUncommonlyConnectedFromAmongPeers)
90 La ubicación geográfica, tal y como se resolvió desde la dirección IP, no se conecta normalmente entre los pares del usuario. True, False
Primera conexión con origen en el país observada en el inquilino
(FirstTimeConnectionFromCountryObservedInTenant)
90 El país o región se conectó por primera vez por parte de cualquier persona de la organización. True, False
Conexión con origen en el país infrecuente desde en el inquilino
(CountryUncommonlyConnectedFromInTenant)
90 La organización no suele conectar la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. True, False
Dispositivo usado para conectarse
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario se conecta desde el dispositivo
(FirstTimeUserConnectedFromDevice)
30 La primera vez que el usuario conectó el dispositivo de origen. True, False
Dispositivo poco usado por el usuario
(DeviceUncommonlyUsedByUser)
10 El usuario no suele usar el dispositivo. True, False
Dispositivo poco usado entre elementos del mismo nivel
(DeviceUncommonlyUsedAmongPeers)
180 El dispositivo no se usa normalmente entre los elementos del mismo nivel del usuario. True, False
Dispositivo observado por primera vez en el inquilino
(FirstTimeDeviceObservedInTenant)
30 El dispositivo se observó por primera vez en la organización. True, False
Dispositivo poco usado en el inquilino
(DeviceUncommonlyUsedInTenant)
180 El dispositivo no se usa habitualmente en la organización. True, False
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario inició sesión en el dispositivo
(FirstTimeUserLoggedOnToDevice)
180 El usuario conectó el dispositivo de destino por primera vez. True, False
Familia de dispositivos poco usada en el inquilino
(DeviceFamilyUncommonlyUsedInTenant)
30 La familia de dispositivos no se usa habitualmente en la organización. True, False
Proveedor de servicios de Internet que se usa para conectarse
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Primera vez que el usuario se conecta a través de ISP
(FirstTimeUserConnectedViaISP)
30 La primera vez que el usuario observó el ISP. True, False
ISP poco usado por el usuario
(ISPUncommonlyUsedByUser)
10 El usuario no suele usar el ISP. True, False
ISP poco usado entre elementos del mismo nivel
(ISPUncommonlyUsedAmongPeers)
30 El ISP no se usa normalmente entre los elementos del mismo nivel del usuario. True, False
Primera conexión a través de ISP en el inquilino
(FirstTimeConnectionViaISPInTenant)
30 El ISP se observó por primera vez en la organización. True, False
ISP poco usado en el inquilino
(ISPUncommonlyUsedInTenant)
30 El ISP no se utiliza normalmente en la organización. True, False
Recurso al que se accede
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Recurso al que se accede por primera vez
(FirstTimeUserAccessedResource)
180 El usuario ha tenido acceso al recurso por primera vez. True, False
Recurso al que accede poco el usuario
(ResourceUncommonlyAccessedByUser)
10 El usuario no suele tener acceso al recurso. True, False
Recurso al que tienen poco acceso los elementos del mismo nivel
(ResourceUncommonlyAccessedAmongPeers)
180 Normalmente no se accede al recurso entre los elementos del mismo nivel del usuario. True, False
Primera vez que se tiene acceso al recurso en el inquilino
(FirstTimeResourceAccessedInTenant)
180 Cualquier persona de la organización ha tenido acceso al recurso por primera vez. True, False
Recurso al que accede poco el inquilino
(ResourceUncommonlyAccessedInTenant)
180 Normalmente no se tiene acceso al recurso en la organización. True, False
Varios
Nombre de la característica enriquecida Base de referencia (días) Descripción Valor de ejemplo
Última vez que el usuario realizó la acción
(LastTimeUserPerformedAction)
180 Última vez que el usuario realizó la misma acción. <Timestamp>
No se ha realizado una acción similar en el pasado
(SimilarActionWasn'tPerformedInThePast)
30 El usuario no realizó ninguna acción en el mismo proveedor de recursos. True, False
Ubicación de IP de origen
(SourceIPLocation)
N/D País o región resuelto desde la dirección IP de origen de la acción. [Surrey, England]
Gran volumen de operaciones poco frecuentes
(UncommonHighVolumeOfOperations)
7 Un usuario realizó una serie de operaciones similares en el mismo proveedor True, False
Número inusual de errores de acceso condicional de Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 No se pudo autenticar un número inusual de usuarios debido a un acceso condicional True, False
Número inusual de dispositivos agregados
(UnusualNumberOfDevicesAdded)
5 Un usuario agregó un número de dispositivos inusual. True, False
Número inusual de dispositivos eliminados
(UnusualNumberOfDevicesDeleted)
5 Un usuario eliminó un número de dispositivos inusual. True, False
Número inusual de usuarios agregados al grupo
(UnusualNumberOfUsersAddedToGroup)
5 Un usuario agregó un número inusual de usuarios a un grupo. True, False

Tabla IdentityInfo

Después de habilitar UEBA para el área de trabajo de Microsoft Sentinel, los datos de Microsoft Entra ID se sincronizan con la tabla IdentityInfo de Log Analytics para su uso en Microsoft Sentinel. Puede insertar datos de usuario sincronizados desde Microsoft Entra ID en las reglas de análisis con el fin de mejorar el análisis para ajustarlo a sus casos de uso y reducir los falsos positivos.

Aunque la sincronización inicial puede tardar unos días, una vez que los datos estén totalmente sincronizados ocurre lo siguiente:

  • Los cambios realizados en los perfiles de usuario, los grupos y los roles de Microsoft Entra ID se actualizan en la tabla IdentityInfo en un plazo de 15 a 30 minutos.

  • Cada 14 días, Microsoft Sentinel se vuelve a sincronizar con toda la instancia de Microsoft Entra ID para asegurarse de que los registros obsoletos se actualicen completamente.

  • El tiempo de retención predeterminado de la tabla IdentityInfo es de 30 días.

Limitaciones

  • Actualmente, solo se admiten roles integrados.

  • En estos momentos, no se admiten los datos sobre grupos eliminados, en los que se quitó un usuario de un grupo.

Versiones de la tabla IdentityInfo

En realidad hay dos versiones de la tabla IdentityInfo :

  • La versión del esquema de Log Analytics sirve a Microsoft Sentinel en Azure Portal.
  • La versión del esquema de búsqueda avanzada sirve a Microsoft Sentinel en el portal de Microsoft Defender a través de Microsoft Defender for Identity.

Ambas versiones de esta tabla se alimentan de Microsoft Entra ID, pero la versión de Log Analytics agregó algunos campos.

Microsoft Sentinel en el portal de Microsoft Defender usa la versión de búsqueda avanzada de esta tabla. Para minimizar las diferencias entre las dos versiones de la tabla, la mayoría de los campos únicos de la versión de Log Analytics también se agregan gradualmente a la versión de búsqueda avanzada. Independientemente del portal en el que use Microsoft Sentinel, tendrá acceso a casi toda la misma información, aunque puede haber un pequeño retraso en la sincronización entre las versiones. Para obtener más información, consulte la documentación de la versión de búsqueda avanzada de esta tabla.

En la tabla siguiente se describen los datos de identidad de usuario incluidos en la tabla IdentityInfo de Log Analytics en Azure Portal. La cuarta columna muestra los campos correspondientes en la versión de búsqueda avanzada de la tabla, que Microsoft Sentinel usa en el portal de Defender. Los nombres de campo en negrita se denominan de forma diferente en el esquema de búsqueda avanzada que en la versión de Log Analytics de Microsoft Sentinel.

Nombre del campo en
Esquema de Log Analytics
Tipo Descripción Nombre del campo en
Esquema de búsqueda avanzada
AccountCloudSID cadena Identificador de seguridad de Microsoft Entra de la cuenta. CloudSid
AccountCreationTime datetime Fecha en que se creó la cuenta de usuario (UTC). CreatedDateTime
AccountDisplayName string Nombre para mostrar de la cuenta de usuario. AccountDisplayName
AccountDomain string Nombre de dominio de la cuenta de usuario. AccountDomain
AccountName string Nombre de usuario de la cuenta de usuario. AccountName
AccountObjectId cadena Identificador de objeto de Microsoft Entra de la cuenta de usuario. AccountObjectId
AccountSID string Identificador de seguridad local de la cuenta de usuario. AccountSID
AccountTenantId cadena Identificador de inquilino de Microsoft Entra de la cuenta de usuario. --
AccountUPN string Nombre principal de usuario de la cuenta de usuario. AccountUPN
AdditionalMailAddresses dinámico Direcciones de correo electrónico adicionales del usuario. --
AssignedRoles dinámico Roles de Microsoft Entra a los que se asigna la cuenta de usuario. AssignedRoles
BlastRadius cadena El cálculo se basa en la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra.
Valores posibles: Low, Medium, High
--
ChangeSource string Origen del cambio más reciente a la entidad.
Posibles valores:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
  • ChangeSource
    CompanyName Nombre de la compañía al que pertenece el usuario. --
    Ciudad string Ciudad de la cuenta de usuario. Ciudad
    País o región string País o región de la cuenta de usuario. Country
    DeletedDateTime datetime Fecha y hora en que se eliminó el usuario. --
    Departamento string Departamento de la cuenta de usuario. department
    GivenName string Nombre propio de la cuenta de usuario. GivenName
    GroupMembership dinámico Grupos de Microsoft Entra de los cuales es miembro la cuenta de usuario. --
    IsAccountEnabled bool Indicación de si la cuenta de usuario está habilitada o no en Microsoft Entra ID. IsAccountEnabled
    JobTitle string Puesto de la cuenta de usuario. JobTitle
    MailAddress string Dirección de correo electrónico principal de la cuenta de usuario. EmailAddress
    Administrador string Alias de administrador de la cuenta de usuario. Manager
    OnPremisesDistinguishedName cadena Nombre distintivo (DN) de Microsoft Entra ID. Un nombre distintivo (DN) es una secuencia de nombres distintivos relativos (RDN) conectados por comas. DistinguishedName
    Teléfono string Número de teléfono de la cuenta de usuario. Teléfono
    SourceSystem string Sistema en el que se administra el usuario.
    Posibles valores:
  • AzureActiveDirectory
  • ActiveDirectory
  • Híbrido
  • SourceProvider
    State string Estado geográfico de la cuenta de usuario. State
    StreetAddress string Dirección postal de la oficina de la cuenta de usuario. Dirección
    Surname string Apellido del usuario cuenta%. Apellido
    TenantId string Identificador de inquilino del usuario. --
    TimeGenerated datetime Hora a la que se generó el evento (UTC). Timestamp
    Tipo string Nombre de la tabla. --
    UserAccountControl dinámico Atributos de seguridad de la cuenta de usuario en el dominio de AD.
    Valores posibles (pueden contener más de uno):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState cadena Estado actual de la cuenta de usuario en Microsoft Entra ID.
    Valores posibles:
  • Activo
  • Deshabilitado
  • Inactivo
  • Bloqueo
  • --
    UserStateChangedOn datetime Fecha de la última vez que se cambió el estado de la cuenta (UTC). --
    UserType string El tipo de usuario. --

    Pasos siguientes

    En este documento se describía el esquema de la tabla de análisis del comportamiento de entidades de Microsoft Sentinel.