Detección avanzada de amenazas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel

La detección de comportamientos anómalos dentro de la organización es compleja y lenta. El Análisis del comportamiento de usuarios y entidades (UEBA) de Microsoft Sentinel simplifica la detección e investigación de anomalías mediante modelos de aprendizaje automático para crear líneas base dinámicas y comparaciones del mismo nivel para el inquilino. En lugar de simplemente recopilar registros, UEBA aprende de los datos para exponer inteligencia accionable que ayuda a los analistas a detectar e investigar anomalías.

En este artículo se explica cómo funciona UEBA de Microsoft Sentinel y cómo usar UEBA para exponer e investigar anomalías y mejorar las funcionalidades de detección de amenazas.

Todas las ventajas de UEBA están disponibles en el portal de Microsoft Defender.

¿Qué es UEBA?

A medida que Microsoft Sentinel recopila registros y alertas de todos los orígenes de datos conectados, UEBA usa inteligencia artificial (IA) para crear perfiles de comportamiento de línea base de las entidades de su organización, como usuarios, hosts, direcciones IP y aplicaciones, con el tiempo y entre grupos del mismo nivel. A continuación, UEBA identifica la actividad anómala y le ayuda a determinar si un recurso está en peligro.

UEBA también determina la confidencialidad relativa de determinados recursos, identifica los grupos del mismo nivel de recursos y evalúa el posible impacto de cualquier activo en peligro dado, su "radio de explosión". Esta información le permite priorizar la investigación, la búsqueda y el control de incidentes de forma eficaz.

Arquitectura de análisis de UEBA

Análisis controlado por seguridad

Basado en el paradigma de Gartner para las soluciones UEBA, Microsoft Sentinel proporciona un enfoque "outside-in", que se basa en tres marcos de referencia:

• Casos de uso: Al priorizar los vectores y escenarios de ataque relevantes basándose en investigaciones de seguridad alineadas con el marco MITRE ATT&CK de tácticas, técnicas y subtécnicas que sitúa a diversas entidades como víctimas, autores o puntos pivote en la cadena de ataque, Microsoft Sentinel se centra específicamente en los registros más valiosos que puede proporcionar cada fuente de datos.

• Orígenes de datos: aunque Azure admite principalmente fuentes de datos propias, Microsoft Sentinel selecciona cuidadosamente fuentes de datos de terceros para proporcionar datos que se ajusten a nuestros escenarios de amenazas.

• Análisis: a través de varios algoritmos de aprendizaje automático (ML), Microsoft Sentinel identifica las actividades anómalas y presenta las pruebas de manera clara y concisa en forma de enriquecimientos contextuales, algunos ejemplos de los cuales aparecen a continuación.

  

Microsoft Sentinel presenta artefactos que ayudan a los analistas de seguridad a comprender claramente las actividades anómalas en su contexto y en comparación con el perfil de línea base del usuario. Las acciones realizadas por un usuario (o un host o una dirección) se evalúan en contexto, donde un resultado "verdadero" indica una anomalía identificada:

• entre ubicaciones geográficas, dispositivos y entornos;
• entre los horizontes de tiempo y frecuencia (en comparación con el propio historial del usuario);
• en comparación con el comportamiento de homólogos;
• en comparación con el comportamiento de la organización.

La información de entidad de usuario que Microsoft Sentinel usa para compilar sus perfiles de usuario procede de Microsoft Entra ID (o de Active Directory local, ahora en versión preliminar). Cuando habilita UEBA, sincroniza su Microsoft Entra ID con Microsoft Sentinel, almacenando la información en una base de datos interna visible a través de la tabla IdentityInfo.

• En Microsoft Sentinel en el portal Azure, puede consultar la tabla IdentityInfo en Log Analytics en la página Registros.
• En el portal de Defender, consultará esta tabla en búsqueda avanzada.

Ahora en versión preliminar, también puede sincronizar la información de la entidad de usuario de Active Directory local mediante Microsoft Defender for Identity.

Consulte Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel para obtener información sobre cómo habilitar UEBA y sincronizar identidades de usuario.

Puntuaciones

Cada actividad se puntúa con una "puntuación de prioridad de la investigación", que determina la probabilidad de que un usuario específico realice una actividad específica, en función del aprendizaje del comportamiento del usuario y de sus homólogos. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas (en una escala del 0 al 10).

Consulte cómo se usa el análisis de comportamiento en Microsoft Defender for Cloud Apps para ver un ejemplo de cómo funciona.

Descubra más sobre las entidades en Microsoft Sentinel y vea la lista completa de las entidades e identificadores admitidos.

Páginas de entidad

Ahora puede encontrar información sobre las páginas de entidades en Páginas de entidades en Microsoft Sentinel.

Las experiencias de UEBA en el portal de Defender empoderan a los analistas y simplifican los flujos de trabajo.

Al exponer anomalías en gráficos de investigación y páginas de usuario, y pedir a los analistas que incorporen datos de anomalías en las consultas de búsqueda, UEBA facilita una detección de amenazas más rápida, una priorización más inteligente y una respuesta a incidentes más eficaz.

En esta sección se describen las experiencias clave del analista de UEBA disponibles en el portal de Defender al habilitar UEBA.

Perspectivas de UEBA en investigaciones de usuario

Los analistas pueden evaluar rápidamente el riesgo de los usuarios mediante el contexto UEBA mostrado en paneles laterales y la pestaña Información general de todas las páginas de usuario. Cuando se detecta un comportamiento inusual, el portal etiqueta automáticamente a los usuarios con anomalías de UEBA que ayudan a priorizar las investigaciones basadas en la actividad reciente. Para obtener más información, consulte La página Entidad de usuario en Microsoft Defender.

Cada página de usuario incluye una sección Principales anomalías de UEBA , que muestra las tres anomalías principales de los últimos 30 días, junto con vínculos directos a consultas de anomalías pregeneradas y la escala de tiempo de eventos de Sentinel para un análisis más profundo.

Consultas de anomalías de usuario integradas en investigaciones de incidentes

Durante las investigaciones de incidentes, los analistas pueden iniciar consultas integradas directamente desde gráficos de incidentes para recuperar todas las anomalías del usuario relacionadas con el caso.

Para obtener más información, consulte Investigar incidentes en el portal de Microsoft Defender.

Enriquecimiento de consultas avanzadas de búsqueda y detecciones personalizadas con datos UEBA

Cuando los analistas escriben consultas de detección avanzada o personalizadas mediante tablas relacionadas con UEBA, el portal de Defender muestra un banner que les pide que se unan a la tabla Anomalías . Esto ayuda a enriquecer las investigaciones con información de comportamiento y refuerza el análisis general.

Para más información, consulte:

• Busque amenazas de forma proactiva con búsqueda avanzada en Microsoft Defender.
• Operador de unión KQL.
• Orígenes de datos UEBA.
• Anomalías detectadas por el motor de aprendizaje automático de Microsoft Sentinel.

Consulta de datos de análisis de comportamiento

Con KQL, podemos consultar la tabla BehaviorAnalytics.

Por ejemplo, si queremos encontrar todos los casos en los que un usuario no pudo iniciar sesión en un recurso de Azure, donde era el primer intento de conexión del usuario desde un país o región determinados, y las conexiones desde ese país o región fueran poco frecuentes incluso para los homólogos de ese usuario, podemos usar la siguiente consulta:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• En Microsoft Sentinel en Azure portal, se consulta la tabla BehaviorAnalytics en Análisis de registros en la página Registros.
• En el portal de Defender, consultará esta tabla en búsqueda avanzada.

Metadatos de homólogos del usuario: tabla y cuaderno

Los metadatos de los homólogos del usuario proporcionan un contexto importante en las detecciones de amenazas, en la investigación de un incidente y en la búsqueda de una amenaza potencial. Los analistas de seguridad pueden observar las actividades normales de los compañeros de los usuarios para determinar si las actividades de un usuario son inusuales en comparación con las de sus compañeros.

Microsoft Sentinel calcula y clasifica los homólogos de un usuario en función de la pertenencia a grupos de seguridad de Microsoft Entra del usuario, la lista de distribución de correo, etc., y almacena los homólogos clasificados de 1 a 20 en la tabla UserPeerAnalytics. En la captura de pantalla siguiente se muestra el esquema de la tabla UserPeerAnalytics, y se muestran los ocho homólogos mejor clasificados del usuario Kendall Collins. Microsoft Sentinel usa el algoritmo frecuencia de término – frecuencia inversa de documento (TF-IDF) para normalizar la ponderación para calcular la clasificación: cuanto menor sea el grupo, mayor será la ponderación.

Puede usar el cuaderno de cuaderno de Jupyter proporcionado en el repositorio de GitHub de Microsoft Sentinel para visualizar los metadatos de los homólogos del usuario. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.

Consultas de búsqueda y consultas de exploración

Microsoft Sentinel proporciona de serie un conjunto de consultas de búsqueda, consultas de exploración y el libro Análisis de comportamiento de usuarios y entidades, que se basa en la tabla BehaviorAnalytics. Estas herramientas presentan datos enriquecidos, centrados en casos de uso específicos, que indican un comportamiento anómalo.

Para más información, consulte:

• Búsqueda de amenazas con Microsoft Sentinel
• Visualizar y supervisar los datos

A medida que las herramientas de defensa heredadas se quedan obsoletas, las organizaciones pueden tener un patrimonio digital tan amplio y poroso que resulta imposible obtener una perspectiva completa del riesgo y la posición a los que su entorno puede estar haciendo frente. Confiar principalmente en esfuerzos reactivos, como el análisis y las reglas, permite a los actores malintencionados aprender a eludir esos esfuerzos. Aquí es donde UEBA entra en juego, ya que proporciona metodologías de puntuación de riesgos y algoritmos para averiguar lo que sucede realmente.

Pasos siguientes

En este documento, ha aprendido acerca de las funcionalidades de análisis de comportamiento de entidades de Microsoft Sentinel. Para obtener instrucciones prácticas sobre la implementación y para usar las conclusiones obtenidas, consulte los siguientes artículos:

• Habilitación del análisis de comportamiento de entidades en Microsoft Sentinel.
• Consulte la lista de anomalías que detecta el motor de UEBA.
• Investigación de incidentes con datos de UEBA.
• Búsqueda de amenazas de seguridad

Para más información, consulte también Referencia de UEBA de Microsoft Sentinel.