Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La capa de comportamiento de Análisis de comportamiento de usuarios y entidades (UEBA) de Microsoft Sentinel agrega y resume los registros de gran volumen sin procesar en patrones claros y comprensibles de acciones de seguridad, explicando "quién hizo qué a quién" de forma estructurada.
A diferencia de las alertas o anomalías, los comportamientos no indican necesariamente el riesgo: crean una capa de abstracción que optimiza los datos para las investigaciones, la búsqueda y la detección mejorando:
- Eficiencia: reduzca el tiempo de investigación mediante la unión de eventos relacionados en historias cohesivas.
- Claridad: Traduce registros ruidosos y de bajo nivel en resúmenes de lenguaje sencillo.
- Contexto: agregue roles de entidad y asignación de MITRE ATT&CK para relevancia de seguridad instantánea.
- Coherencia: proporcione un esquema unificado en diversos orígenes de registro.
Esta capa de abstracción permite una detección, investigación y respuesta de amenazas más rápida en las operaciones de seguridad, sin necesidad de familiarizarse con cada origen de registro.
En este artículo se explica cómo funciona la capa de comportamientos de UEBA, cómo habilitar la capa de comportamientos y cómo usar comportamientos para mejorar las operaciones de seguridad.
Funcionamiento de la capa de comportamientos de UEBA
Los comportamientos forman parte de las funcionalidades de Análisis de comportamiento de entidades y usuarios (UEBA) de Microsoft Sentinel, lo que proporciona resúmenes de actividad normalizados y contextualizados que complementan la detección de anomalías y enriquecen las investigaciones. En esta tabla se muestra cómo difieren los comportamientos de las anomalías y las alertas:
| Capacidad | Lo que representa | propósito |
|---|---|---|
| Anomalies | Patrones que se desvían de las líneas de base establecidas | Resaltar actividad inusual o sospechosa |
| Alertas | Señal de un posible problema de seguridad que requiere atención | Desencadenar flujos de trabajo de respuesta a incidentes |
| Comportamientos | Resúmenes neutros y estructurados de la actividad ( normales o anómalos) basados en ventanas o desencadenadores de tiempo, enriquecidos con asignaciones de MITRE ATT&CK y roles de entidad | Proporcionar contexto y claridad para las investigaciones, la búsqueda y la detección |
Al habilitar la capa de comportamientos de UEBA, Microsoft Sentinel procesa los registros de seguridad admitidos que recopila en el área de trabajo de Sentinel casi en tiempo real y resume dos tipos de patrones de comportamiento:
| Tipo de comportamiento | Descripción | Examples | Caso de uso |
|---|---|---|---|
| Comportamientos agregados | Detección de patrones basados en volúmenes mediante la recopilación de eventos relacionados a lo largo de las ventanas de tiempo |
|
Convierta los registros de gran volumen en información de seguridad accionable. Este tipo de comportamiento se destaca en la identificación de niveles de actividad inusuales. |
| Comportamientos secuenciados | Identificar patrones de varios pasos o cadenas de ataque complejas que no son obvias al examinar eventos individuales | Clave de acceso creada > usada desde la nueva IP > para llamadas API privilegiadas. | Detecte secuencias de ataque sofisticadas y amenazas de varias fases. |
La capa de comportamientos de UEBA resume los comportamientos en intervalos de tiempo adaptados específicos de la lógica de cada comportamiento, creando registros de comportamiento inmediatamente cuando identifica patrones o cuando se cierran las ventanas de tiempo.
Cada registro de comportamiento incluye:
- Una descripción contextual simple: una explicación en lenguaje natural de lo que sucedió en términos relevantes para la seguridad, por ejemplo, quién hizo qué a quién y por qué importa.
- Esquema unificado y referencias a los registros sin procesar subyacentes: todos los comportamientos usan una estructura de datos coherente en distintos productos y tipos de registro, por lo que los analistas no necesitan traducir diferentes formatos de registro ni combinar tablas de gran volumen.
- Asignación de MITRE ATT&CK: cada comportamiento se etiqueta con tácticas y técnicas de MITRE relevantes, lo que proporciona contexto estándar del sector de un vistazo. No solo ve lo que ha ocurrido, sino también cómo encaja en un marco de ataque o una escala de tiempo.
- Mapeo de relaciones de entidad: cada comportamiento identifica las entidades implicadas (usuarios, hosts, direcciones IP) y sus roles (actor, objetivo u otro).
La capa de comportamientos de UEBA almacena registros de comportamiento en dos tablas dedicadas, integrando sin problemas con los flujos de trabajo existentes para las reglas de detección, las investigaciones y el análisis de incidentes. Procesa todos los tipos de actividad de seguridad , no solo eventos sospechosos, y proporciona visibilidad completa de los patrones de comportamiento normales y anómalos. Para obtener información sobre el uso de tablas de comportamientos, consulte Procedimientos recomendados y sugerencias de solución de problemas para consultar comportamientos.
En este diagrama se muestra cómo los comportamientos de UEBA transforman los registros sin procesar en registros de comportamiento estructurados que mejoran las operaciones de seguridad:
Importante
La IA generativa impulsa la capa de comportamientos de UEBA para crear y escalar las perspectivas que proporciona. Microsoft diseñó la característica Comportamientos en función de los principios de privacidad y inteligencia artificial responsable para garantizar la transparencia y la explicación. Las conductas no introducen nuevos riesgos de cumplimiento ni análisis opacos de "caja negra" en su SOC. Para más información sobre cómo se aplica la inteligencia artificial en esta característica y el enfoque de Microsoft a la inteligencia artificial responsable, consulte Preguntas más frecuentes sobre ia responsable para la capa de comportamientos de UEBA de Microsoft.
Casos de uso y ejemplos
Aquí se muestra cómo los analistas, los cazadores y los ingenieros de detección pueden usar comportamientos durante las investigaciones, la búsqueda y la creación de alertas.
Enriquecimiento de investigación e incidentes
Los comportamientos proporcionan a los analistas de SOC claridad inmediata sobre lo que ocurrió en torno a una alerta, sin cambiar entre varias tablas de registros sin procesar.
Flujo de trabajo sin comportamientos: A menudo, los analistas necesitan reconstruir las escalas de tiempo manualmente consultando tablas específicas de eventos y cosiendo resultados.
Ejemplo: Una alerta se activa en una actividad sospechosa de AWS. El analista consulta la tabla
AWSCloudTraily luego se pivota hacia los datos del firewall para comprender las acciones del usuario o del host. Esto requiere conocimiento de cada esquema y ralentiza la evaluación de prioridades.Flujo de trabajo con comportamientos: La capa de comportamientos de UEBA agrega automáticamente eventos relacionados en entradas de comportamiento que se pueden adjuntar a un incidente o consultar a petición.
Ejemplo: Una alerta indica la posible filtración de credenciales. En la
BehaviorInfotabla, el analista ve el comportamiento Acceso masivo sospechoso a secretos a través de AWS IAM por User123 asignado a la Técnica de MITRE T1552 (Credenciales no seguras). La capa de comportamientos de UEBA generó este comportamiento agregando 20 entradas de registro de AWS. El analista entiende inmediatamente que User123 ha accedido a muchos secretos ( contexto crucial para escalar el incidente) sin revisar manualmente todas las entradas de registro.
Búsqueda de amenazas
Los comportamientos permiten a los cazadores buscar en TTPs y resúmenes de actividad, en lugar de escribir combinaciones complejas o normalizar por sí mismos los registros sin procesar.
Flujo de trabajo sin comportamientos: Las cacerías requieren KQL compleja, combinaciones de tablas y familiaridad con cada formato de origen de datos. Es posible que la actividad importante se enpulte en grandes conjuntos de datos con poco contexto de seguridad integrado.
Ejemplo: La búsqueda de signos de reconocimiento puede requerir el escaneo de eventos
AWSCloudTraily determinados patrones de conexión de firewall por separado. El contexto existe principalmente en incidentes y alertas, lo que dificulta la búsqueda proactiva.Flujo de trabajo con comportamientos: Los comportamientos se normalizan, enriquecen y mapean a las tácticas y técnicas de MITRE. Los cazadores pueden buscar patrones significativos sin depender del esquema de cada origen.
Un cazador puede filtrar la tabla BehaviorInfo por táctica (
Categories), técnica, título o entidad. Por ejemplo:BehaviorInfo | where Categories has "Discovery" | summarize count() by TitleLos cazadores también pueden:
- Identificar comportamientos poco frecuentes, mediante
count distincten elTitlecampo . - Explore un tipo de comportamiento interesante, identifique las entidades implicadas e investigue más.
- Profundizar en los registros sin procesar usando las columnas
BehaviorIdyAdditionalFields, que suelen referirse a los registros sin procesar subyacentes.
Ejemplo: Un analista que busca acceso furtivo a credenciales explora comportamientos con “enumerar credenciales” en la
Titlecolumna. Los resultados devuelven pocas instancias de "Intento de volcado de credenciales de Vault por usuario AdminJoe" (derivado de los registrosCyberArk). Aunque las alertas no se activaron, este comportamiento es inusual para AdminJoe y requiere una investigación más profunda; algo que es difícil de detectar en los registros de auditoría detallados de Vault.Los cazadores también pueden cazar por:
Táctica de MITRE:
// Find behaviors by MITRE tactic BehaviorInfo | where Categories == "Lateral Movement"Técnica:
// Find behaviors by MITRE technique BehaviorInfo | where AttackTechniques has "T1078" // Valid Accounts | extend AF = parse_json(AdditionalFields) | extend TableName = tostring(AF.TableName) | project TimeGenerated, Title, Description, TableNameUsuario específico:
// Find all behaviors for a specific user over last 7 days BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(7d) | where EntityType == "User" and AccountUpn == "user@domain.com" | project TimeGenerated, Title, Description, Categories | order by TimeGenerated descComportamientos poco frecuentes (posibles anomalías):
// Find rare behaviors (potential anomalies) BehaviorInfo | where TimeGenerated >= ago(30d) | summarize Count=count() by Title | where Count < 5 // Behaviors seen less than 5 times | order by Count asc
- Identificar comportamientos poco frecuentes, mediante
Alertas y automatización
Los comportamientos simplifican la lógica de reglas proporcionando señales normalizadas y de alta calidad con contexto integrado y habilitan nuevas posibilidades de correlación.
Flujo de trabajo sin comportamientos: Las reglas de correlación entre orígenes son complejas porque cada formato de registro es diferente. Las reglas suelen requerir:
- Lógica de normalización
- Condiciones específicas del esquema
- Varias reglas independientes
- Dependencia de alertas en lugar de datos de actividad sin procesar
La automatización también puede desencadenarse con demasiada frecuencia si está controlada por eventos de bajo nivel.
Flujo de trabajo con comportamientos: Los comportamientos ya agregan eventos relacionados e incluyen asignaciones de MITRE, roles de entidad y esquemas coherentes, por lo que los ingenieros de detección pueden crear reglas de detección más sencillas y más claras.
Ejemplo: Para alertar sobre una posible secuencia de riesgo clave y escalación de privilegios, un ingeniero de detección escribe una regla de detección con esta lógica: "Alerta si un usuario tiene un comportamiento "Creación de una nueva clave de acceso de AWS" seguido de un comportamiento de "Elevación de privilegios en AWS" en un plazo de 1 hora".
Sin la capa de comportamientos de UEBA, esta regla requeriría integrar eventos sin procesar
AWSCloudTraile interpretarlos dentro de la lógica de la regla. Con los comportamientos, es sencillo y resistente a los cambios de esquema de registro porque el esquema está unificado.Los comportamientos también sirven como desencadenadores confiables para la automatización. En lugar de crear alertas para actividades no de riesgo, use comportamientos para desencadenar la automatización, por ejemplo, para enviar un correo electrónico o iniciar la comprobación.
Orígenes de datos compatibles
La lista de orígenes de datos y proveedores o servicios admitidos que envían registros a estos orígenes de datos está evolucionando. La capa de comportamientos de UEBA agrega automáticamente información para todos los proveedores admitidos en función de los registros que recopile.
Durante la versión preliminar pública, la capa de comportamientos de UEBA se centra en estos orígenes de datos que no son de Microsoft que tradicionalmente carecen de un contexto de comportamiento sencillo en Microsoft Sentinel:
| Origen de datos | Proveedores, servicios y registros compatibles | Conector |
|---|---|---|
| CommonSecurityLog |
|
|
| AWSCloudTrail |
|
|
| GCPAuditLogs |
|
Registros de auditoría Pub/Sub de GCP |
Importante
Estas fuentes son independientes de otras capacidades de UEBA y necesitan habilitarse específicamente. Si ha habilitado AWSCloudTrail para análisis de comportamiento de UEBA y anomalías, todavía necesita habilitarlo para comportamientos.
Prerrequisitos
Para usar la capa de comportamientos de UEBA, necesita:
- Un área de trabajo de Microsoft Sentinel que se incorpora al portal de Defender.
- Incorpora uno o varios de los orígenes de datos compatibles en el nivel de análisis. Para obtener más información sobre los niveles de datos, consulte Administración de niveles de datos y retención en Microsoft Sentinel.
Permisos necesarios
Para habilitar y usar la capa de comportamientos de UEBA, necesita estos permisos:
| Acción del usuario | Permiso requerido |
|---|---|
| Habilitación de comportamientos | Al menos el rol Administrador de seguridad de Microsoft Entra ID. |
| Tablas de comportamientos de consulta |
|
Para obtener más información sobre RBAC unificado en el portal de Defender, consulte Control de acceso basado en rol (RBAC) unificado de Microsoft Defender XDR.
Habilitación de la capa de comportamientos de UEBA
Para habilitar la capa de comportamientos de UEBA en el área de trabajo:
En el portal de Defender, seleccione Configuración > del sistema > Áreas de trabajo de SIEM de Microsoft Sentinel>.
Seleccione el área de trabajo de Sentinel en la que desea habilitar la capa de comportamientos de UEBA.
Seleccione Habilitar análisis de comportamiento > Configurar UEBA > Nueva capa de comportamientos.
Active la opción Habilitar capa de comportamientos.
Seleccione Conectar todos los orígenes de datos o seleccione los orígenes de datos específicos de la lista.
Si aún no ha conectado ningún origen de datos compatible al área de trabajo de Sentinel, seleccione Ir al centro de contenido para buscar y conectar los conectores pertinentes.
Seleccione Conectar.
Importante
Durante la versión preliminar pública, solo puede habilitar comportamientos en un solo espacio de trabajo de su entidad.
Modelo de precios
El uso de la capa de comportamientos de UEBA da como resultado los siguientes costos:
Sin costo adicional de licencia: Los comportamientos se incluyen como parte de Microsoft Sentinel (actualmente en versión preliminar). No necesita una SKU independiente, un complemento UEBA ni una licencia adicional. Si tiene el área de trabajo conectada a Sentinel e incorporada al portal de Defender, puede usar comportamientos sin costo adicional por las funciones.
Cargos de ingesta de datos de registro: Los registros de comportamiento se almacenan en las tablas
SentinelBehaviorInfoySentinelBehaviorEntitiesen su espacio de trabajo de Sentinel. Cada comportamiento contribuye al volumen de ingesta de datos del área de trabajo y se factura según la tasa de ingesta de Log Analytics/Sentinel existente. Los comportamientos son aditivos: no reemplazan los registros sin procesar existentes.
Procedimientos recomendados y sugerencias de solución de problemas para consultar comportamientos
En esta sección se proporcionan procedimientos recomendados y sugerencias de solución de problemas para consultar comportamientos en el portal de Defender y en el área de trabajo de Sentinel. Para obtener ejemplos más prácticos de uso de comportamientos, consulte Casos de uso y ejemplos.
Para obtener más información sobre el lenguaje de consulta kusto (KQL), consulte Introducción al lenguaje de consulta kusto.
Acceso a los datos de comportamiento en el portal de Defender consultando BehaviorInfo y BehaviorEntities
La
BehaviorInfotabla contiene un registro para cada instancia de comportamiento para explicar "qué ha ocurrido". Para obtener más información sobre los esquemas de tabla, vea BehaviorInfo (versión preliminar).En la tabla se
BehaviorEntitiesenumeran las entidades implicadas en cada comportamiento. Para obtener más información sobre el esquema de tabla, BehaviorEntities (versión preliminar) .Vista unificada: las
BehaviorInfotablas yBehaviorEntitiesincluyen todos los comportamientos de UEBA y también pueden incluir comportamientos de Microsoft Defender for Cloud Apps y Microsoft Defender for Cloud, si recopila comportamientos de estos servicios.Para filtrar los comportamientos de la capa de comportamientos de UEBA de Microsoft Sentinel, use la
ServiceSourcecolumna . Por ejemplo:BehaviorInfo | where ServiceSource == "Microsoft Sentinel"
Desglosar desde los comportamientos hasta los registros sin procesar: use la columna
AdditionalFieldsenBehaviorInfo, que contiene referencias a los identificadores de evento originales en el campoSupportingEvidence.
Ejecute una consulta en el campo
SupportingEvidencevalor para buscar los registros sin procesar que contribuyeron a un comportamiento.
Join BehaviorInfo y BehaviorEntities: Usa el
BehaviorIdcampo para unirBehaviorInfoconBehaviorEntities.Por ejemplo:
BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(1d) | project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpnEsto le proporciona cada comportamiento y cada entidad implicada en él. La
AccountUpninformación de identificación de la entidad está enBehaviorEntities, mientras queBehaviorInfopodría referirse a "Usuario" o "Host" en el texto.¿Dónde se almacenan los datos de comportamiento en mi área de trabajo de Sentinel?:
- En el área de trabajo de Sentinel, los datos de comportamiento se almacenan en las
SentinelBehaviorInfotablas ySentinelBehaviorEntities. Para más información sobre los esquemas de tabla, consulte SentinelBehaviorInfo y SentinelBehaviorEntities. - Para supervisar el uso de datos, busque los nombres de tabla
SentinelBehaviorInfoySentinelBehaviorEntitiesen la tablaUsage.
- En el área de trabajo de Sentinel, los datos de comportamiento se almacenan en las
Cree automatización, libros de trabajo y reglas de detección basados en comportamientos:
- Utilice la
BehaviorInfotabla como origen de datos para reglas de detección o playbooks de automatización en el portal de Defender. Por ejemplo, cree una regla de consulta programada que se desencadene cuando aparezca un comportamiento específico. - En el caso de libros de Azure Monitor y cualquier artefacto creado directamente en su área de trabajo de Sentinel, asegúrese de consultar las tablas
SentinelBehaviorInfoySentinelBehaviorEntitiesen su área de trabajo de Sentinel.
- Utilice la
Solución de problemas
- Si no se generan comportamientos: asegúrese de que los orígenes de datos admitidos envían registros activamente al nivel de Análisis, confirme que el botón de alternancia del origen de datos está activado y espere entre 15 y 30 minutos después de habilitar.
- Veo menos comportamientos de los esperados: nuestra cobertura de tipos de comportamiento admitidos es parcial y creciente. Es posible que la capa de comportamientos de UEBA tampoco pueda detectar un patrón de comportamiento si hay muy pocas instancias de un tipo de comportamiento específico.
- Recuentos de comportamientos: un único comportamiento podría representar decenas o cientos de eventos sin procesar; esto está diseñado para reducir el ruido.
Limitaciones de la versión preliminar pública
Estas limitaciones se aplican durante la versión preliminar pública de la capa de comportamientos de UEBA:
- Puede habilitar comportamientos en un único área de trabajo de Sentinel por inquilino.
- La capa de comportamientos de UEBA genera comportamientos para un conjunto limitado de orígenes de datos y proveedores o servicios admitidos.
- La capa de comportamientos de UEBA no captura actualmente todas las posibles acciones o técnicas de ataque, incluso para las fuentes admitidas. Es posible que algunos eventos no generen comportamientos correspondientes. No suponga que la ausencia de un comportamiento significa que no se ha producido ninguna actividad. Revise siempre los registros sin procesar si sospecha que falta algo.
- Los comportamientos están diseñados para reducir el ruido mediante la agregación y secuenciación de eventos, pero es posible que todavía vea demasiados registros de conductas. Agradecemos sus comentarios sobre tipos de comportamiento específicos para ayudar a mejorar la cobertura y la relevancia.
- Los comportamientos no son alertas ni anomalías. Son observaciones neutrales, no clasificadas como malintencionadas o benignas. La presencia de un comportamiento significa "esto ha ocurrido", no "esto es una amenaza". La detección de anomalías permanece independiente en UEBA. Use el criterio o combine comportamientos con datos de anomalías de UEBA para identificar patrones destacados.