Compartir a través de

Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En el paso de implementación anterior, ha habilitado el contenido de seguridad de Microsoft Sentinel que necesita para proteger los sistemas. En este artículo, aprenderá a habilitar y usar la característica UEBA para simplificar el proceso de análisis. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.

A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos. Con varias técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso está en peligro. Obtenga más información sobre UEBA.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Requisitos previos

Para habilitar o deshabilitar esta característica (estos requisitos previos no son necesarios para usar la característica):

  • Su usuario debe tener asignado el rol de Microsoft Entra ID Administrador de seguridad en su inquilino o los permisos equivalentes.

  • El usuario debe tener asignado al menos uno de los siguientes roles de Azure (más información sobre RBAC de Azure):

    • Colaborador de Microsoft Sentinel en los niveles de área de trabajo o grupo de recursos.
    • Colaborador de Log Analytics en los niveles de grupo de recursos o suscripción.

  • El área de trabajo no debe tener ningún bloqueo de recursos de Azure aplicado. Más información sobre el bloqueo de recursos de Azure.

Nota

  • No se requiere ninguna licencia especial para agregar la funcionalidad UEBA a Microsoft Sentinel y no hay ningún costo adicional por su uso.
  • Sin embargo, dado que UEBA genera nuevos datos y los almacena en nuevas tablas que UEBA crea en el área de trabajo de Log Analytics, se aplican cargos de almacenamiento de datos adicionales .

Habilitación del análisis de comportamiento de usuarios y entidades

  • Los usuarios de Microsoft Sentinel en Azure portal, deben seguir las instrucciones en la pestaña de Azure portal.
  • Los usuarios de Microsoft Sentinel como parte del portal de Microsoft Defender siguen las instrucciones en la pestaña del portal de Defender.

  1. Vaya a la página Configuración del comportamiento de la entidad.

    Utilice cualquiera de estas tres formas para llegar a la página de Configuración del comportamiento de la entidad:

    • Seleccione Comportamiento de entidad en el menú de navegación de Microsoft Sentinel y, después, seleccione Configuración del comportamiento de la entidad en la barra de menús superior.

    • Seleccione Configuración en el menú de navegación de Microsoft Sentinel, seleccione la pestaña Configuración y, después, en Análisis de comportamiento de entidades, seleccione Establecer UEBA.

    • En la página del conector de datos de Microsoft Defender XDR, seleccione el vínculo Ir a la página de configuración de UEBA.

  2. En la página Configuración del comportamiento de la entidad, active Activar la característica UEBA.

    Captura de pantalla de las opciones de configuración de UEBA.

  3. Seleccione los servicios de directorio de los que desea sincronizar las entidades de usuario con Microsoft Sentinel.

    • Active Directory local (versión preliminar)
    • Microsoft Entra ID

    Para sincronizar entidades de usuario desde Active Directory local, debe incorporar el inquilino de Azure a Microsoft Defender for Identity (ya sea independiente o como parte de XDR de Microsoft Defender) y debe tener instalado el sensor MDI en el controlador de dominio de Active Directory. Para obtener más información, consulte Requisitos previos de Microsoft Defender for Identity.

  4. Seleccione Conectar todos los orígenes de datos para conectar todos los orígenes de datos aptos o seleccione orígenes de datos específicos de la lista.

    Solo puede habilitar estos orígenes de datos desde Defender y Azure Portals:

    • Registros de inicio de sesión
    • Registros de auditoría
    • Actividad de Azure
    • Eventos de seguridad

    Puede habilitar estos orígenes de datos solo desde el portal de Defender (versión preliminar):

    • Registros de inicio de sesión de identidad administrada de AAD (Id. de Microsoft Entra)
    • Registros de inicio de sesión de la entidad de servicio de AAD (Id. de Microsoft Entra)
    • AWS CloudTrail
    • Eventos de inicio de sesión de dispositivo
    • Okta CL
    • Registros de auditoría de GCP

    Para obtener más información sobre los orígenes de datos y las anomalías de UEBA, consulte Referencia de UEBA de Microsoft Sentinel y anomalías de UEBA.

    Nota

    Después de habilitar UEBA, puede habilitar los orígenes de datos admitidos para UEBA directamente desde el panel del conector de datos o desde la página Configuración del portal de Defender, como se describe en este artículo.

  5. Seleccione Conectar.

  6. Habilite la detección de anomalías en el área de trabajo de Sentinel:

    1. En el menú de navegación del portal de Microsoft Defender, seleccione Configuración áreas> detrabajo SIEM de>.
    2. Seleccione el área de trabajo que desea configurar.
    3. En la página de configuración del área de trabajo, seleccione Anomalías y active Detectar anomalías.

Pasos siguientes

En este artículo, ha aprendido a habilitar y configurar el análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel. Para obtener más información acerca de UEBA:

Identificación de amenazas con UEBA

  • Last updated on