Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se encuentra con una cuenta de usuario, un nombre de host, una dirección IP o un recurso de Azure en una investigación de incidentes, puede decidir que desea saber más sobre él. Por ejemplo, es posible que quiera conocer su historial de actividad, ya aparezca en otras alertas o incidentes, ya haga algo inesperado o fuera de carácter, etc. En resumen, desea información que pueda ayudarle a determinar qué tipo de amenaza representan estas entidades y guiar su investigación en consecuencia.
En este artículo se describen las páginas de entidades de Microsoft Sentinel en Azure Portal. Para obtener información sobre las páginas de entidad en el portal de Defender, consulte:
- Página de entidad de usuario en Microsoft Defender
- Página de entidad de dispositivo en Microsoft Defender
- Página de entidad de dirección IP en Microsoft Defender
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Páginas de entidad
En estas situaciones, puede seleccionar la entidad (aparecerá como un vínculo en el que se puede hacer clic) y se le llevará a una página de entidad, una hoja de datos llena de información útil sobre esa entidad. También puede acceder a una página de entidad buscando directamente en la página de comportamiento de entidades de Microsoft Sentinel. Entre los tipos de información que encontrará en páginas de entidades se incluyen datos básicos sobre la entidad, una escala de tiempo de eventos importantes relacionados con esta entidad y conclusiones sobre el comportamiento de la entidad.
Más concretamente, las páginas de entidad constan de tres partes:
El panel de la izquierda contiene la información de identificación de la entidad, recopilada de fuentes de datos como Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog y Microsoft Defender XDR (con todos sus componentes).
El panel central muestra una escala de tiempo gráfica y textual de eventos importantes relacionados con la entidad, como alertas, marcadores, anomalías y actividades. Las actividades son agregaciones de eventos importantes desde Log Analytics. Las consultas que detectan esas actividades las desarrollan los equipos de investigación de seguridad de Microsoft y ahora puede agregar sus propias consultas personalizadas para detectar actividades de su elección.
El panel derecho presenta información sobre el comportamiento en la entidad. Los equipos de investigación de seguridad de Microsoft desarrollan continuamente estos conocimientos. Se basan en varios orígenes de datos y proporcionan contexto para la entidad y sus actividades observadas, lo que le ayuda a identificar rápidamente los comportamientos anómalos y las amenazas de seguridad.
Si está investigando un incidente mediante la nueva experiencia de investigación, podrá ver una versión panelizada de la página de entidad directamente dentro de la página de detalles del incidente. Tiene una lista de todas las entidades de un incidente determinado y al seleccionar una entidad se abre un panel lateral con tres "tarjetas" (información, escala de tiempo e información) que muestra toda la misma información descrita anteriormente, dentro del período de tiempo específico correspondiente a la de las alertas del incidente.
Si usa Microsoft Sentinel en el portal de Defender, los paneles de escala de tiempo e información aparecen en la pestaña Eventos de Sentinel de la página de la entidad de Defender.
Escala de tiempo
La escala de tiempo es una parte importante de la contribución de la página de entidad al análisis del comportamiento en Microsoft Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.
Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como las últimas 24 horas) o establecerlo en cualquier período de tiempo definido por el personalizado. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.
En la escala de tiempo se incluyen los siguientes tipos de elementos.
Alertas: las alertas en las que la entidad se define como una entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realiza correctamente.
Marcadores: los marcadores que incluyan la entidad específica que se muestra en la página.
Anomalías: detecciones de UEBA basadas en líneas base dinámicas creadas para cada entidad en varias entradas de datos y en sus propias actividades históricas, las de sus pares y las de la organización en su conjunto.
Actividades: agregación de eventos importantes relacionados con la entidad. Una amplia gama de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando actividades de su propia elección.
Conclusiones sobre la entidad
Las conclusiones sobre la entidad son consultas definidas por los investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de manera más eficiente y eficaz. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre los hosts y los usuarios, en forma de gráficos y datos tabulares. Disponer aquí de la información significa que no tiene que desplazarse a Log Analytics. Las conclusiones incluyen datos sobre inicios de sesión, adiciones a grupos, eventos anómalos, etc., así como algoritmos avanzados de Azure Machine Learning para detectar comportamientos anómalos.
Las conclusiones se basan en los siguientes orígenes de datos:
- Syslog (Linux)
- EventoDeSeguridad (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Identificador de Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA de Microsoft Sentinel)
- Heartbeat (agente de Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
En general, cada visión de entidad que aparece en la página de entidad va acompañada de un vínculo que le llevará a una página en la que se muestra la consulta subyacente a la visión, junto con los resultados, para que pueda examinar los resultados con mayor profundidad.
- En Microsoft Sentinel en Azure Portal, el vínculo le lleva a la página Registros .
- En el portal de Microsoft Defender, el vínculo le lleva a la página Búsqueda avanzada .
Cómo usar páginas de entidad
Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el gráfico de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Comportamiento de la entidad en el menú principal de Microsoft Sentinel.
La información de la página de entidades se almacena en la tabla BehaviorAnalytics, que se describe en detalle en la referencia de UEBA de Microsoft Sentinel.
Páginas de entidad admitidos
Microsoft Sentinel ofrece actualmente las siguientes páginas de entidad:
Cuenta de usuario
Anfitrión
Dirección IP (versión preliminar)
Nota:
La página de entidad de dirección IP (ahora en versión preliminar) contiene datos de geolocalización proporcionados por el servicio Microsoft Threat Intelligence. Este servicio combina datos de geolocalización tanto de soluciones de Microsoft como de proveedores y asociados de terceros. Posteriormente, los datos están disponibles para su análisis e investigación en el contexto de un incidente de seguridad. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización a través de la API REST (versión preliminar pública).
Recurso de Azure (versión preliminar)
Dispositivo IoT (versión preliminar): solo en Microsoft Sentinel en Azure Portal por ahora.
Pasos siguientes
En este documento, ha aprendido a obtener información sobre las entidades de Microsoft Sentinel mediante páginas de entidad. Para obtener más información sobre las entidades y cómo usarlas, consulte los siguientes artículos:
- Obtenga información sobre las entidades de Microsoft Sentinel.
- Personalización de actividades en las escalas de tiempo de las páginas de entidad.
- Identificación de amenazas avanzadas con análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Habilite el análisis de comportamiento de entidades en Microsoft Sentinel.
- Búsqueda de amenazas de seguridad.