Compartir a través de

Referencia de Análisis de comportamiento de entidades y usuarios de Microsoft Sentinel (UEBA)

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo de referencia se enumeran los orígenes de datos de entrada para el servicio Análisis de comportamiento de entidades y usuarios en Microsoft Sentinel. También describe los enriquecimientos que UEBA agrega a las entidades, lo que proporciona el contexto necesario para alertas e incidentes.

Important

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte It's Time to Move: Retireing Microsoft Sentinel's Azure Portal para obtener una mayor seguridad.

Orígenes de datos de UEBA

Estos son los orígenes de datos de los que el motor de UEBA recopila y analiza datos para entrenar sus modelos de ML y establecer bases de referencia de comportamiento para usuarios, dispositivos y otras entidades. Después, UEBA examina los datos de estos orígenes para buscar anomalías y obtener información detallada.

Origen de datos Conector Tabla de Log Analytics Categorías de eventos analizados
Registros de inicio de sesión de identidad administrada de AAD (versión preliminar) Microsoft Entra ID AADManagedIdentitySignInLogs Todos los eventos de inicio de sesión de identidad administrada
Registros de inicio de sesión de la entidad de servicio de AAD (versión preliminar) Microsoft Entra ID AADServicePrincipalSignInLogs Todos los eventos de inicio de sesión de la entidad de servicio
Registros de auditoría Microsoft Entra ID AuditLogs ApplicationManagement
DirectoryManagement
GroupManagement
Device
RoleManagement
UserManagementCategory
AWS CloudTrail (versión preliminar) Amazon Web Services
Amazon Web Services S3		 AWSCloudTrail Eventos de inicio de sesión de la consola.
Identificado por EventName = "ConsoleLogin" y EventSource = "signin.amazonaws.com". Los eventos deben tener un valor válido UserIdentityPrincipalId.
Actividad de Azure Actividad de Azure AzureActivity Authorization
AzureActiveDirectory
Billing
Compute
Consumption
KeyVault
Devices
Network
Resources
Intune
Logic
Sql
Storage
Eventos de inicio de sesión de dispositivo (versión preliminar) Microsoft Defender XDR DeviceLogonEvents Todos los eventos de inicio de sesión del dispositivo
Registros de auditoría de GCP (versión preliminar) Registros de auditoría de GCP Pub/Sub GCPAuditLogs apigee.googleapis.com - Plataforma de API Management
iam.googleapis.com - Servicio administración de identidades y acceso (IAM)
iamcredentials.googleapis.com - API de credenciales de cuenta de servicio de IAM
cloudresourcemanager.googleapis.com - API de Cloud Resource Manager
compute.googleapis.com - API del motor de proceso
storage.googleapis.com - API de almacenamiento en la nube
container.googleapis.com - API del motor de Kubernetes
k8s.io - API de Kubernetes
cloudsql.googleapis.com - API de SQL en la nube
bigquery.googleapis.com - API de BigQuery
bigquerydatatransfer.googleapis.com - API del servicio de transferencia de datos BigQuery
cloudfunctions.googleapis.com - API de Cloud Functions
appengine.googleapis.com - API del motor de aplicaciones
dns.googleapis.com - API DNS en la nube
bigquerydatapolicy.googleapis.com - API de directiva de macroconsulta
firestore.googleapis.com - API Firestore
dataproc.googleapis.com - API Dataproc
osconfig.googleapis.com - API de configuración del sistema operativo
cloudkms.googleapis.com - API de KMS en la nube
secretmanager.googleapis.com - API de Secret Manager
Los eventos deben tener un valor válido:
- PrincipalEmail - La cuenta de usuario o servicio que llamó a la API.
- MethodName - El método específico de la API de Google llamado
- Correo electrónico principal, en user@domain.com formato.
Okta CL (versión preliminar) Okta Single Sign-On (con Azure Functions) Okta_CL Autenticación, autenticación multifactor (MFA) y eventos de sesión, entre los que se incluyen:
app.oauth2.admin.consent.grant_success
app.oauth2.authorize.code_success
device.desktop_mfa.recovery_pin.generate
user.authentication.auth_via_mfa
user.mfa.attempt_bypass
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.okta_verify
user.session.impersonation.grant
user.session.impersonation.initiate
user.session.start
Los eventos deben tener un identificador de usuario válido (actor_id_s).
Eventos de seguridad Eventos de seguridad de Windows a través de AMA
Eventos reenviados de Windows		 WindowsEvent
SecurityEvent		 4624: se ha iniciado sesión correctamente en una cuenta
4625: no se pudo iniciar sesión en una cuenta
4648: se intentó iniciar sesión con credenciales explícitas
4672: se asignaron privilegios especiales a un nuevo inicio de sesión
4688: se creó un nuevo proceso
Registros de inicio de sesión Microsoft Entra ID SigninLogs Todos los eventos de inicio de sesión

Enriquecimientos ueba

En esta sección se describen los enriquecimientos que UEBA agrega a las entidades de Microsoft Sentinel, que puede usar para centrarse y afilar las investigaciones de incidentes de seguridad. Estos enriquecimientos se muestran en páginas de entidad y se pueden encontrar en las siguientes tablas de Log Analytics, el contenido y el esquema de los cuales se enumeran a continuación:

  • La tabla BehaviorAnalytics es donde se almacena la información de salida de UEBA.

    Los tres campos dinámicos siguientes de la tabla BehaviorAnalytics se describen en la sección campos dinámicos de enriquecimiento de entidades a continuación.

    • Los campos UsersInsights y DevicesInsights contienen información de entidad de Active Directory/ Id. de Microsoft Entra y orígenes de Inteligencia sobre amenazas de Microsoft.

    • El campo ActivityInsights contiene información de entidad basada en los perfiles de comportamiento creados por el análisis de comportamiento de entidades de Microsoft Sentinel.

      Las actividades del usuario se analizan en una línea base que se compila dinámicamente cada vez que se usa. Cada actividad tiene su propio período de búsqueda definido desde el que se deriva la línea base dinámica. El período de búsqueda se especifica en la columna Línea base de esta tabla.

  • La tabla IdentityInfo es donde se almacena la información de identidad sincronizada con UEBA desde el identificador de Microsoft Entra (y desde Active Directory local a través de Microsoft Defender for Identity).

Tabla BehaviorAnalytics

En la tabla siguiente se describen los datos de análisis de comportamiento que se muestran en cada página de detalles de entidad de Microsoft Sentinel.

Field Type Description
TenantId string Número de id. único del inquilino.
SourceRecordId string Número de id. único del evento de EBA.
TimeGenerated datetime Marca de tiempo de la repetición de la actividad.
TimeProcessed datetime Marca de tiempo del procesamiento de la actividad por parte del motor de EBA.
ActivityType string Categoría de alto nivel de la actividad.
ActionType string Nombre normalizado de la actividad.
UserName string Nombre de usuario del usuario que inició la actividad.
UserPrincipalName string Nombre de usuario completo del usuario que inició la actividad.
EventSource string Origen de datos que proporcionó el evento original.
SourceIPAddress string Dirección IP desde la que se inició la actividad.
SourceIPLocation string País o región desde el que se inició la actividad, enriquecida desde la dirección IP.
SourceDevice string Nombre de host del dispositivo que inició la actividad.
DestinationIPAddress string Dirección IP del destino de la actividad.
DestinationIPLocation string País o región del destino de la actividad, enriquecido a partir de la dirección IP.
DestinationDevice string Nombre del dispositivo de destino.
UsersInsights dynamic Los enriquecimientos contextuales de los usuarios implicados (detalles a continuación).
DevicesInsights dynamic Enriquecimientos contextuales de dispositivos implicados (detalles a continuación).
ActivityInsights dynamic El análisis contextual de la actividad en función de nuestra generación de perfiles (a continuación).
InvestigationPriority int Puntuación de anomalías, entre 0 y 10 (0=benigno, 10=muy anómalo). Esta puntuación cuantifica el grado de desviación del comportamiento esperado. Las puntuaciones más altas indican una mayor desviación de la línea base y son más probables que indiquen anomalías verdaderas. Las puntuaciones más bajas pueden seguir siendo anómalas, pero es menos probable que sean significativas o accionables.

Campos dinámicos de enriquecimiento de entidades

Note

La columna Nombre de enriquecimiento de las tablas de esta sección muestra dos filas de información.

  • La primera, en negrita, es el "nombre descriptivo" del enriquecimiento.
  • El segundo (en cursiva y paréntesis) es el nombre de campo del enriquecimiento tal como se almacena en la tabla Behavior Analytics.

Campo UsersInsights

En la tabla siguiente se describen los enriquecimientos que se incluyen en el campo dinámico UsersInsights de la tabla BehaviorAnalytics:

Nombre de enriquecimiento Description Valor de ejemplo
Nombre para mostrar de la cuenta
(AccountDisplayName)		 Nombre para mostrar de la cuenta del usuario. Administrador, Hayden Cook
Dominio de cuenta
(AccountDomain)		 Nombre de dominio de la cuenta del usuario.
Id. de objeto de cuenta
(AccountObjectID)		 El identificador del objeto de la cuenta del usuario. aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Radio de explosión
(BlastRadius)		 El radio de explosión se calcula en función de varios factores: la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra. El usuario debe tener la propiedad Manager rellenada en Microsoft Entra ID para que BlastRadius se calcule. Bajo, medio, alto
Es una cuenta inactiva
(IsDormantAccount)		 La cuenta no se ha usado durante los últimos 180 días. Verdadero, Falso
Es administrador local
(IsLocalAdmin)		 La cuenta tiene privilegios de administrador local. Verdadero, Falso
¿Es una cuenta nueva?
(IsNewAccount)		 La cuenta se creó en los últimos 30 días. Verdadero, Falso
SID local
(OnPremisesSID)		 El SID local del usuario relacionado con la acción. S-1-5-21-1112946627-1321165628-2437342228-1103

Campo DevicesInsights

En la tabla siguiente se describen los enriquecimientos que se incluyen en el campo dinámico DevicesInsights de la tabla BehaviorAnalytics:

Nombre de enriquecimiento Description Valor de ejemplo
Browser
(Browser)		 Explorador usado en la acción. Microsoft Edge, Chrome
Familia de dispositivos
(DeviceFamily)		 Familia de dispositivos usada en la acción. Windows
Tipo de dispositivo
(DeviceType)		 Tipo de dispositivo de cliente usado en la acción. Desktop
ISP
(ISP)		 Proveedor de servicios de Internet usado en la acción.
Sistema operativo
(OperatingSystem)		 Sistema operativo usado en la acción. Windows 10
Descripción del indicador intel de amenazas
(ThreatIntelIndicatorDescription)		 Descripción del indicador de amenazas observado resuelto a partir de la dirección IP usada en la acción. El host es miembro de botnet: azorult
Tipo de indicador intel de amenazas
(ThreatIntelIndicatorType)		 El tipo de indicador de amenazas resuelto a partir de la dirección IP usada en la acción. Botnet, C2, Minería de Criptomonedas, Darknet, DDoS, MaliciosUrl, Malware, Phishing, Proxy, PUA, Lista de vigilancia
Agente de usuario
(UserAgent)		 Agente de usuario usaso en la acción. Biblioteca de cliente de Microsoft Azure Graph 1.0,
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Familia de agentes de usuario
(UserAgentFamily)		 Familia de agentes de usuario usada en la acción. Chrome, Microsoft Edge, Firefox

Campo ActivityInsights

En las tablas siguientes se describen los enriquecimientos que se incluyen en el campo dinámico ActivityInsights de la tabla BehaviorAnalytics:

Acción realizada
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario realizó la acción
(FirstTimeUserPerformedAction)		 180 El usuario realizó la acción por primera vez. Verdadero, Falso
Acción poco frecuente realizada por el usuario
(ActionUncommonlyPerformedByUser)		 10 El usuario no suele realizar la acción. Verdadero, Falso
Acción poco frecuente entre pares
(ActionUncommonlyPerformedAmongPeers)		 180 La acción no se realiza normalmente entre los elementos del mismo nivel del usuario. Verdadero, Falso
Primera acción realizada en el inquilino
(FirstTimeActionPerformedInTenant)		 180 Cualquier persona de la organización realizó la acción por primera vez. Verdadero, Falso
Acción poco frecuente realizada en el inquilino
(ActionUncommonlyPerformedInTenant)		 180 La acción no se realiza normalmente en la organización. Verdadero, Falso
Aplicación usada
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario usó la aplicación
(FirstTimeUserUsedApp)		 180 El usuario usó la aplicación por primera vez. Verdadero, Falso
Aplicación poco usada por el usuario
(AppUncommonlyUsedByUser)		 10 El usuario no suele usar la aplicación. Verdadero, Falso
Aplicación que se usa poco frecuentemente entre pares
(AppUncommonlyUsedAmongPeers)		 180 La aplicación no se usa normalmente entre los pares del usuario. Verdadero, Falso
Primera vez que se observa la aplicación en el inquilino
(FirstTimeAppObservedInTenant)		 180 La aplicación se observó por primera vez en la organización. Verdadero, Falso
Aplicación que se usa poco frecuentemente en el inquilino
(AppUncommonlyUsedInTenant)		 180 La aplicación no se usa normalmente en la organización. Verdadero, Falso
Explorador usado
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario se conecta a través del explorador
(FirstTimeUserConnectedViaBrowser)		 30 La primera vez que el usuario observó el explorador. Verdadero, Falso
Explorador usado poco frecuentemente por el usuario
(BrowserUncommonlyUsedByUser)		 10 El usuario no suele usar el explorador. Verdadero, Falso
Explorador poco frecuentemente usado entre pares
(BrowserUncommonlyUsedAmongPeers)		 30 El explorador no se usa normalmente entre los pares del usuario. Verdadero, Falso
Primer explorador observado en el inquilino
(FirstTimeBrowserObservedInTenant)		 30 El explorador se observó por primera vez en la organización. Verdadero, Falso
Explorador que se usa poco frecuentemente en el inquilino
(BrowserUncommonlyUsedInTenant)		 30 El explorador no se usa normalmente en la organización. Verdadero, Falso
País o región conectado desde
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario se conecta desde el país
(FirstTimeUserConnectedFromCountry)		 90 El usuario conectó por primera vez la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. Verdadero, Falso
País conectado poco frecuentemente desde el usuario
(CountryUncommonlyConnectedFromByUser)		 10 El usuario no suele conectar la ubicación geográfica, tal y como se resolvió a partir de la dirección IP. Verdadero, Falso
País poco frecuentemente conectado desde entre pares
(CountryUncommonlyConnectedFromAmongPeers)		 90 La ubicación geográfica, como se resuelve desde la dirección IP, no se conecta normalmente entre los pares del usuario. Verdadero, Falso
Primera conexión desde el país observado en el inquilino
(FirstTimeConnectionFromCountryObservedInTenant)		 90 El país o región se conectó por primera vez por parte de cualquier persona de la organización. Verdadero, Falso
País conectado poco frecuentemente desde en el inquilino
(CountryUncommonlyConnectedFromInTenant)		 90 La ubicación geográfica, como se resuelve desde la dirección IP, no se conecta normalmente desde en la organización. Verdadero, Falso
Dispositivo usado para conectarse
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario se conecta desde el dispositivo
(FirstTimeUserConnectedFromDevice)		 30 La primera vez que el usuario conectó el dispositivo de origen. Verdadero, Falso
Dispositivo usado poco frecuentemente por el usuario
(DeviceUncommonlyUsedByUser)		 10 El usuario no suele usar el dispositivo. Verdadero, Falso
Dispositivo que no se usa habitualmente entre elementos del mismo nivel
(DeviceUncommonlyUsedAmongPeers)		 180 El dispositivo no se usa normalmente entre los pares del usuario. Verdadero, Falso
Primera vez que el dispositivo se observa en el inquilino
(FirstTimeDeviceObservedInTenant)		 30 El dispositivo se observó por primera vez en la organización. Verdadero, Falso
Dispositivo que se usa poco frecuentemente en el inquilino
(DeviceUncommonlyUsedInTenant)		 180 El dispositivo no se usa normalmente en la organización. Verdadero, Falso
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario inició sesión en el dispositivo
(FirstTimeUserLoggedOnToDevice)		 180 El usuario conectó el dispositivo de destino por primera vez. Verdadero, Falso
Familia de dispositivos que se usa poco frecuentemente en el inquilino
(DeviceFamilyUncommonlyUsedInTenant)		 30 La familia de dispositivos no se usa normalmente en la organización. Verdadero, Falso
Proveedor de servicios de Internet que se usa para conectarse
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario se conecta a través de ISP
(FirstTimeUserConnectedViaISP)		 30 La primera vez que el usuario observó el ISP. Verdadero, Falso
ISP usado poco frecuentemente por el usuario
(ISPUncommonlyUsedByUser)		 10 El ISP no lo usa normalmente el usuario. Verdadero, Falso
ISP poco frecuentemente usado entre pares
(ISPUncommonlyUsedAmongPeers)		 30 El ISP no se usa normalmente entre los pares del usuario. Verdadero, Falso
Primera conexión a través de ISP en el inquilino
(FirstTimeConnectionViaISPInTenant)		 30 El ISP se observó por primera vez en la organización. Verdadero, Falso
ISP se usa poco frecuentemente en el inquilino
(ISPUncommonlyUsedInTenant)		 30 El ISP no se usa normalmente en la organización. Verdadero, Falso
Recurso al que se accede
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Primera vez que el usuario accedió al recurso
(FirstTimeUserAccessedResource)		 180 El usuario ha tenido acceso al recurso por primera vez. Verdadero, Falso
Recurso al que el usuario accede de forma poco frecuente
(ResourceUncommonlyAccessedByUser)		 10 El usuario no accede normalmente al recurso. Verdadero, Falso
Recurso a los que se accede poco frecuentemente entre elementos del mismo nivel
(ResourceUncommonlyAccessedAmongPeers)		 180 Normalmente no se accede al recurso entre los elementos del mismo nivel del usuario. Verdadero, Falso
Primer recurso al que se accede en el inquilino
(FirstTimeResourceAccessedInTenant)		 180 Cualquier persona de la organización ha tenido acceso al recurso por primera vez. Verdadero, Falso
Recurso al que se accede poco frecuentemente en el inquilino
(ResourceUncommonlyAccessedInTenant)		 180 Normalmente no se accede al recurso en la organización. Verdadero, Falso
Miscellaneous
Nombre de enriquecimiento Línea base (días) Description Valor de ejemplo
Última vez que el usuario realizó la acción
(LastTimeUserPerformedAction)		 180 Última vez que el usuario realizó la misma acción. <Timestamp>
No se realizó una acción similar en el pasado
(SimilarActionWasn'tPerformedInThePast)		 30 El usuario no realizó ninguna acción en el mismo proveedor de recursos. Verdadero, Falso
Ubicación ip de origen
(SourceIPLocation)		 N/A País o región resuelto desde la dirección IP de origen de la acción. [Surrey, Inglaterra]
Gran volumen de operaciones poco frecuentes
(UncommonHighVolumeOfOperations)		 7 Un usuario realizó una serie de operaciones similares en el mismo proveedor Verdadero, Falso
Número inusual de errores de acceso condicional de Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)		 5 No se pudo autenticar un número inusual de usuarios debido a un acceso condicional Verdadero, Falso
Número inusual de dispositivos agregados
(UnusualNumberOfDevicesAdded)		 5 Un usuario agregó un número de dispositivos inusual. Verdadero, Falso
Número inusual de dispositivos eliminados
(UnusualNumberOfDevicesDeleted)		 5 Un usuario eliminó un número de dispositivos inusual. Verdadero, Falso
Número inusual de usuarios agregados al grupo
(UnusualNumberOfUsersAddedToGroup)		 5 Un usuario agregó un número inusual de usuarios a un grupo. Verdadero, Falso

Tabla IdentityInfo

Después de habilitar y configurar UEBA para el área de trabajo de Microsoft Sentinel, los datos de usuario de los proveedores de identidades de Microsoft se sincronizan con la tabla IdentityInfo de Log Analytics para su uso en Microsoft Sentinel.

Esos proveedores de identidades son o ambos de los siguientes, según cuál haya seleccionado al configurar UEBA:

  • Id. de Microsoft Entra (basado en la nube)
  • Microsoft Active Directory (local, requiere Microsoft Defender for Identity))

Puede consultar la tabla IdentityInfo en reglas de análisis, consultas de búsqueda y libros, lo que mejora el análisis para ajustarse a los casos de uso y reducir los falsos positivos.

Aunque la sincronización inicial puede tardar unos días, una vez que los datos estén totalmente sincronizados ocurre lo siguiente:

  • Cada 14 días, Microsoft Sentinel vuelve a sincronizar con todo el identificador de Entra de Microsoft (y su Active Directory local, si procede) para asegurarse de que los registros obsoletos están completamente actualizados.

  • Además de estas sincronizaciones completas normales, siempre que se realicen cambios en los perfiles de usuario, los grupos y los roles integrados en el id. de Microsoft Entra, los registros de usuario afectados se vuelven a aplicar y actualizan en la tabla IdentityInfo en un plazo de 15 a 30 minutos. Esta ingesta se factura a tarifas regulares. Por ejemplo:

    • Se cambió un atributo de usuario, como el nombre para mostrar, el puesto o la dirección de correo electrónico. Se ingiere un nuevo registro para este usuario en la tabla IdentityInfo , con los campos pertinentes actualizados.

    • El grupo A tiene 100 usuarios en él. 5 usuarios se agregan al grupo o se quitan del grupo. En este caso, esos cinco registros de usuario se vuelven a calcular y sus campos GroupMembership se actualizan.

    • El grupo A tiene 100 usuarios en él. Se agregan diez usuarios al grupo A. Además, los grupos A1 y A2, cada uno con 10 usuarios, se agregan al grupo A. En este caso, se actualizan 30 registros de usuario y se actualizan sus campos GroupMembership . Esto sucede porque la pertenencia a grupos es transitiva, por lo que los cambios en los grupos afectan a todos sus subgrupos.

    • Se cambia el nombre del grupo B (con 50 usuarios) a Group BeGood. En este caso, se actualizan 50 registros de usuario y se actualizan sus campos GroupMembership . Si hay subgrupos en ese grupo, ocurre lo mismo para todos los registros de sus miembros.

  • El tiempo de retención predeterminado en la tabla IdentityInfo es de 30 días.

Limitations

  • El campo AssignedRoles solo admite roles integrados.

  • El campo GroupMembership admite la enumeración de hasta 500 grupos por usuario, incluidos los subgrupos. Si un usuario es miembro de más de 500 grupos, solo los primeros 500 se sincronizan con la tabla IdentityInfo . Sin embargo, los grupos no se evalúan en ningún orden determinado, por lo que en cada nueva sincronización (cada 14 días), es posible que se actualice un conjunto diferente de grupos al registro de usuario.

  • Cuando se elimina un usuario, el registro del usuario no se elimina inmediatamente de la tabla IdentityInfo . El motivo de esto es que uno de los propósitos de esta tabla es auditar los cambios en los registros de usuario. Por lo tanto, queremos que esta tabla tenga un registro de un usuario que se va a eliminar, lo que solo puede ocurrir si el registro de usuario de la tabla IdentityInfo sigue existiendo, aunque se elimine el usuario real (por ejemplo, en Id. de Entra).

    Los usuarios eliminados se pueden identificar mediante la presencia de un valor en el deletedDateTime campo . Por lo tanto, si necesita una consulta para mostrar una lista de usuarios, puede filtrar los usuarios eliminados agregando | where IsEmpty(deletedDateTime) a la consulta.

    A un intervalo de tiempo determinado después de eliminar un usuario, el registro del usuario también se quita de la tabla IdentityInfo .

  • Cuando se elimina un grupo o si un grupo con más de 100 miembros tiene su nombre cambiado, los registros de usuario miembro del grupo no se actualizan. Si un cambio diferente hace que se actualicen uno de los registros de esos usuarios, la información del grupo actualizada se incluirá en ese momento.

Otras versiones de la tabla IdentityInfo

Hay varias versiones de la tabla IdentityInfo :

  • La versión del esquema de Log Analytics , que se describe en este artículo, sirve a Microsoft Sentinel en Azure Portal. Está disponible para aquellos clientes que han habilitado UEBA.

  • La versión del esquema de búsqueda avanzada sirve al portal de Microsoft Defender a través de Microsoft Defender for Identity. Está disponible para los clientes de XDR de Microsoft Defender, con o sin Microsoft Sentinel, y para los clientes de Microsoft Sentinel por sí mismo en el portal de Defender.

    UEBA no tiene que habilitarse para tener acceso a esta tabla. Sin embargo, para los clientes sin UEBA habilitado, los campos rellenados por datos UEBA no están visibles ni disponibles.

    Para obtener más información, consulte la documentación de la versión de búsqueda avanzada de esta tabla.

  • A partir de mayo de 2025, los clientes de Microsoft Sentinel en el portal de Microsoft Defendercon UEBA habilitadocomienzan a usar una nueva versión de la versión de búsqueda avanzada . Esta nueva versión incluye todos los campos UEBA de la versión de Log Analytics, así como algunos campos nuevos, y se conoce como la versión unificada o la tabla unified IdentityInfo.

    Los clientes del portal de Defender sin UEBA habilitado, o sin Microsoft Sentinel, siguen usando la versión anterior de la versión de búsqueda avanzada, sin los campos generados por UEBA.

    Para obtener más información sobre la versión unificada, consulte IdentityInfo en la documentación de búsqueda avanzada.

Schema

La tabla de la siguiente pestaña "Esquema de Log Analytics" describe los datos de identidad de usuario incluidos en la tabla IdentityInfo de Log Analytics en Azure Portal.

Si va a incorporar Microsoft Sentinel al portal de Defender, seleccione la pestaña "Comparar con el esquema unificado" para ver los cambios que podrían afectar potencialmente a las consultas en las reglas y las cacerías de detección de amenazas.

Nombre del campo Type Description
AccountCloudSID string Identificador de seguridad de Microsoft Entra de la cuenta.
AccountCreationTime datetime Fecha en que se creó la cuenta de usuario (UTC).
AccountDisplayName string Nombre para mostrar de la cuenta de usuario.
AccountDomain string Nombre de dominio de la cuenta de usuario.
AccountName string Nombre de usuario de la cuenta de usuario.
AccountObjectId string Identificador de objeto de Microsoft Entra de la cuenta de usuario.
AccountSID string Identificador de seguridad local de la cuenta de usuario.
AccountTenantId string Identificador de inquilino de Microsoft Entra de la cuenta de usuario.
AccountUPN string Nombre principal de usuario de la cuenta de usuario.
AdditionalMailAddresses dynamic Direcciones de correo electrónico adicionales del usuario.
AssignedRoles dynamic Roles de Microsoft Entra a los que se asigna la cuenta de usuario. Solo se admiten los roles integrados.
BlastRadius string El cálculo se basa en la posición del usuario en el árbol de la organización y los roles y permisos del usuario de Microsoft Entra.
Valores posibles: Low, Medium, High
ChangeSource string Origen del cambio más reciente a la entidad.
Posibles valores:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
    		•
    City string Ciudad de la cuenta de usuario.
    CompanyName string Nombre de la compañía al que pertenece el usuario.
    Country string País o región de la cuenta de usuario.
    DeletedDateTime datetime Fecha y hora en que se eliminó el usuario.
    Department string Departamento de la cuenta de usuario.
    EmployeeId string El identificador de empleado asignado al usuario en la organización.
    GivenName string Nombre propio de la cuenta de usuario.
    GroupMembership dynamic Grupos de identificadores de Microsoft Entra donde la cuenta de usuario es miembro.
    IsAccountEnabled bool Indicación de si la cuenta de usuario está habilitada o no en Microsoft Entra ID.
    JobTitle string Puesto de la cuenta de usuario.
    MailAddress string Dirección de correo electrónico principal de la cuenta de usuario.
    Manager string Alias de administrador de la cuenta de usuario.
    OnPremisesDistinguishedName string Nombre distintivo (DN) de Microsoft Entra ID. Un nombre distintivo (DN) es una secuencia de nombres distintivos relativos (RDN) conectados por comas.
    Phone string Número de teléfono de la cuenta de usuario.
    RiskLevel string Nivel de riesgo de Id. de Entra de Microsoft de la cuenta de usuario.
    Posibles valores:
  • Low
  • Medium
  • High
    		•
    RiskLevelDetails string Detalles sobre el nivel de riesgo de Id. de Entra de Microsoft.
    RiskState string Indicación de si la cuenta está en riesgo ahora o si el riesgo se ha corregido.
    SourceSystem string Sistema en el que se administra el usuario.
    Posibles valores:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
    		•
    State string Estado geográfico de la cuenta de usuario.
    StreetAddress string Dirección postal de la oficina de la cuenta de usuario.
    Surname string Apellido del usuario account.
    TenantId string Identificador de inquilino del usuario.
    TimeGenerated datetime Hora a la que se generó el evento (UTC).
    Type string Nombre de la tabla.
    UserAccountControl dynamic Atributos de seguridad de la cuenta de usuario en el dominio de AD.
    Valores posibles (pueden contener más de uno):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
    		•
    UserState string Estado actual de la cuenta de usuario en Microsoft Entra ID.
    Valores posibles:
  • Active
  • Disabled
  • Dormant
  • Lockout
    		•
    UserStateChangedOn datetime Fecha de la última vez que se cambió el estado de la cuenta (UTC).
    UserType string El tipo de usuario.

    Los campos siguientes, mientras existen en el esquema de Log Analytics, deben omitirse, ya que no se usan ni admiten en Microsoft Sentinel:

    • Applications
    • EntityRiskScore
    • ExtensionProperty
    • InvestigationPriority
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • LastSeenDate
    • OnPremisesExtensionAttributes
    • RelatedAccounts
    • ServicePrincipals
    • Tags
    • UACFlags

    Integración UEBA con flujos de trabajo Microsoft Sentinel

    Los insights de UEBA están integrados en todo Microsoft Sentinel para mejorar tus flujos de trabajo de operaciones de seguridad:

    Páginas de entidades e investigación de usuarios

    • Anomalías en el panel de usuario: Consulta las 3 principales anomalías de usuario de los últimos 30 días directamente en el panel del lado de usuario y en la pestaña de resumen de las páginas de usuario. Esto proporciona un contexto inmediato de UEBA al investigar usuarios en distintas ubicaciones de portales. Para más información, consulte Investigar las páginas de entidades con entidad.

    Mejora de la caza y la detección

    • Consulta de anomalías de Go Hunt: Accede directamente a consultas de anomalías integradas desde los gráficos de incidentes al investigar entidades de usuario, permitiendo una búsqueda contextual inmediata basada en los resultados de UEBA.
    • Recomendaciones de Tabla de Anomalías: Recibe sugerencias inteligentes para mejorar las consultas de caza añadiendo la tabla de Anomalías de la UEBA al consultar fuentes de datos elegibles.

    Para más información sobre estas mejoras de caza, consulta Caza de amenazas en Microsoft Sentinel.

    Flujos de trabajo de investigación

    • Gráfico de investigación mejorado: Al investigar incidentes con entidades usuario, accede directamente a las consultas de anomalías UEBA desde el grafo de investigación para obtener contexto conductual inmediato.

    Para más información sobre mejoras en la investigación, consulte Investigar incidentes Microsoft Sentinel en profundidad.

    Requisitos previos para una integración mejorada de la UEBA

    Para acceder a estas capacidades mejoradas de la UEBA:

    • UEBA debe estar habilitado en tu espacio de trabajo Microsoft Sentinel
    • Tu espacio de trabajo debe estar integrado en el portal Microsoft Defender (para algunas funciones)
    • Permisos apropiados para ver datos UEBA y realizar consultas de búsqueda

    Pasos siguientes

    En este documento se describía el esquema de la tabla de análisis del comportamiento de entidades de Microsoft Sentinel.

    • Last updated on