Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel analiza registros y alertas de orígenes de datos conectados para crear perfiles de comportamiento de línea base de las entidades de la organización, como usuarios, hosts, direcciones IP y aplicaciones. Con el aprendizaje automático, UEBA identifica una actividad anómala que puede indicar un recurso en peligro.
Puede habilitar Análisis de comportamiento de usuario y entidad de dos maneras, ambos con el mismo resultado:
- En la configuración del área de trabajo de Microsoft Sentinel: habilite UEBA para el área de trabajo y seleccione los orígenes de datos que se van a conectar en el portal de Microsoft Defender o Azure Portal.
- Desde conectores de datos admitidos: habilite UEBA al configurar conectores de datos compatibles con UEBA en el portal de Microsoft Defender.
En este artículo se explica cómo habilitar UEBA y configurar orígenes de datos desde la configuración del área de trabajo de Microsoft Sentinel y desde conectores de datos compatibles.
Para más información sobre UEBA, consulte Identificación de amenazas con análisis de comportamiento de entidades.
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Requisitos previos
Para habilitar o deshabilitar esta característica (estos requisitos previos no son necesarios para usar la característica):
Su usuario debe tener asignado el rol de Microsoft Entra ID Administrador de seguridad en su inquilino o los permisos equivalentes.
El usuario debe tener asignado al menos uno de los siguientes roles de Azure (más información sobre RBAC de Azure):
- Colaborador de Microsoft Sentinel en los niveles de área de trabajo o grupo de recursos.
- Colaborador de Log Analytics en los niveles de grupo de recursos o suscripción.
El área de trabajo no debe tener ningún bloqueo de recursos de Azure aplicado. Más información sobre el bloqueo de recursos de Azure.
Nota
- No se requiere ninguna licencia especial para agregar la funcionalidad UEBA a Microsoft Sentinel y no hay ningún costo adicional por su uso.
- Sin embargo, dado que UEBA genera nuevos datos y los almacena en nuevas tablas que UEBA crea en el área de trabajo de Log Analytics, se aplican cargos de almacenamiento de datos adicionales .
Habilitación de UEBA desde la configuración del área de trabajo
Para habilitar UEBA desde la configuración del área de trabajo de Microsoft Sentinel:
Vaya a la página Configuración del comportamiento de la entidad.
Utilice cualquiera de estas tres formas para llegar a la página de Configuración del comportamiento de la entidad:
Seleccione Comportamiento de entidad en el menú de navegación de Microsoft Sentinel y, después, seleccione Configuración del comportamiento de la entidad en la barra de menús superior.
Seleccione Configuración en el menú de navegación de Microsoft Sentinel, seleccione la pestaña Configuración y, después, en Análisis de comportamiento de entidades, seleccione Establecer UEBA.
En la página del conector de datos de Microsoft Defender XDR, seleccione el vínculo Ir a la página de configuración de UEBA.
En la página Configuración del comportamiento de la entidad, active Activar la característica UEBA.
Seleccione los servicios de directorio de los que desea sincronizar las entidades de usuario con Microsoft Sentinel.
- Active Directory local (versión preliminar)
- Microsoft Entra ID
Para sincronizar entidades de usuario desde Active Directory local, debe incorporar el inquilino de Azure a Microsoft Defender for Identity (ya sea independiente o como parte de XDR de Microsoft Defender) y debe tener instalado el sensor MDI en el controlador de dominio de Active Directory. Para obtener más información, consulte Requisitos previos de Microsoft Defender for Identity.
Seleccione Conectar todos los orígenes de datos para conectar todos los orígenes de datos aptos o seleccione orígenes de datos específicos de la lista.
Solo puede habilitar estos orígenes de datos desde Defender y Azure Portals:
- Registros de inicio de sesión
- Registros de auditoría
- Actividad de Azure
- Eventos de seguridad
Puede habilitar estos orígenes de datos solo desde el portal de Defender (versión preliminar):
- Registros de inicio de sesión de identidad administrada de AAD (Id. de Microsoft Entra)
- Registros de inicio de sesión de la entidad de servicio de AAD (Id. de Microsoft Entra)
- AWS CloudTrail
- Eventos de inicio de sesión de dispositivo
- Okta CL
- Registros de auditoría de GCP
Para obtener más información sobre los orígenes de datos y las anomalías de UEBA, consulte Referencia de UEBA de Microsoft Sentinel y anomalías de UEBA.
Nota
Después de habilitar UEBA, puede habilitar los orígenes de datos admitidos para UEBA directamente desde el panel del conector de datos o desde la página Configuración del portal de Defender, como se describe en este artículo.
Seleccione Conectar.
Habilite la detección de anomalías en el área de trabajo de Microsoft Sentinel:
- En el menú de navegación del portal de Microsoft Defender, seleccione Configuración áreas> detrabajo SIEM de>.
- Seleccione el área de trabajo que desea configurar.
- En la página de configuración del área de trabajo, seleccione Anomalías y active Detectar anomalías.
Habilitación de UEBA desde conectores compatibles
Para habilitar UEBA desde conectores de datos admitidos en el portal de Microsoft Defender:
En el menú de navegación del portal de Microsoft Defender, seleccione Conectores de datos de configuración > de Microsoft Sentinel>.
Seleccione un conector de datos compatible con UEBA que admita UEBA. Para obtener más información sobre los conectores y tablas de datos compatibles con UEBA, consulte Referencia de UEBA de Microsoft Sentinel.
En el panel del conector de datos, seleccione Abrir página del conector.
En la página Detalles del conector , seleccione Opciones avanzadas.
En Configurar UEBA, active las tablas que desea habilitar para UEBA.
Para obtener más información sobre cómo configurar conectores de datos de Microsoft Sentinel, consulte Conexión de orígenes de datos a Microsoft Sentinel mediante conectores de datos.
Habilitación de la capa de comportamientos de UEBA (versión preliminar)
La capa de comportamientos de UEBA genera resúmenes enriquecidos de la actividad observada en varios orígenes de datos. A diferencia de las alertas o anomalías, los comportamientos no necesariamente indican un riesgo; crean una capa de abstracción que optimiza los datos para investigaciones, búsqueda y detección, mejorando así la eficiencia.
Para obtener más información sobre la capa de comportamientos de UEBA y cómo habilitarlo, consulte Habilitación de la capa de comportamientos de UEBA en Microsoft Sentinel.
Pasos siguientes
En este artículo, ha aprendido a habilitar y configurar el análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel. Para obtener más información acerca de UEBA: