Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El nivel de comportamiento de User and Entity Behavior Analytics (UEBA) en Microsoft Sentinel agrega y resume los registros sin procesar de gran volumen en patrones claros y sin formato de acciones de seguridad, explicando "quién hizo qué a quién" de forma estructurada.
A diferencia de las alertas o anomalías, los comportamientos no indican necesariamente el riesgo: crean una capa de abstracción que optimiza los datos para las investigaciones, la búsqueda y la detección mediante la mejora de:
- Eficiencia: reduzca el tiempo de investigación mediante la sutura de eventos relacionados en historias coherentes.
- Clarity: convierta los registros ruidosos y de bajo nivel en resúmenes en lenguaje sin formato.
- Contexto: agregue roles de entidad y asignación de CK de MITRE ATT¶ una relevancia de seguridad instantánea.
- Coherencia: proporcione un esquema unificado entre diversos orígenes de registro.
Esta capa de abstracción permite una detección, investigación y respuesta de amenazas más rápida en todas las operaciones de seguridad, sin necesidad de una profunda familiaridad con cada origen de registro.
En este artículo se explica cómo funciona la capa de comportamientos de UEBA, cómo habilitar la capa de comportamientos y cómo usar comportamientos para mejorar las operaciones de seguridad.
Vea el seminario web sobre comportamientos de UEBA para obtener información general completa y una demostración de la capa de comportamientos de UEBA.
Funcionamiento de la capa de comportamientos de UEBA
Los comportamientos forman parte de las funcionalidades de Análisis de comportamiento de usuarios y entidades (UEBA) de Microsoft Sentinel, y proporcionan resúmenes de actividad normalizados y contextualizados que complementan las investigaciones de detección de anomalías y enriquecimiento.
Comparación de comportamientos, anomalías y alertas
En esta tabla se muestra cómo los comportamientos difieren de las anomalías y alertas:
| Funcionalidad | Lo que representa | Finalidad |
|---|---|---|
| Anomalías | Patrones que se desvía de las líneas base establecidas | Resaltar actividad inusual o sospechosa |
| Alertas | Señal de un posible problema de seguridad que requiere atención | Desencadenar flujos de trabajo de respuesta a incidentes |
| Behaviors | Resúmenes estructurados y neutros de la actividad (normales o anómalos) basados en ventanas de tiempo o desencadenadores, enriquecidos con asignaciones de MITRE ATT&CK y roles de entidad | Proporcionar contexto y claridad para las investigaciones, la búsqueda y la detección |
Tipos de comportamiento y registros
Al habilitar la capa de comportamientos de UEBA, Microsoft Sentinel procesa los registros de seguridad admitidos que recopila en el área de trabajo de Sentinel casi en tiempo real y resume dos tipos de patrones de comportamiento:
| Tipo de comportamiento | Descripción | Ejemplos | Caso de uso |
|---|---|---|---|
| Comportamientos agregados | Detectar patrones basados en volúmenes mediante la recopilación de eventos relacionados a lo largo del tiempo |
|
Convierta los registros de gran volumen en información de seguridad accionable. Este tipo de comportamiento se destaca en la identificación de niveles de actividad inusuales. |
| Comportamientos secuenciados | Identificar patrones de varios pasos o cadenas de ataque complejas que no son obvias cuando se examinan eventos individuales | Clave de acceso creada > usada a partir de nuevas llamadas API con privilegios IP > | Detecte secuencias de ataque sofisticadas y amenazas de varias fases. |
La capa de comportamientos de UEBA resume los comportamientos a intervalos de tiempo personalizados específicos de la lógica de cada comportamiento, creando registros de comportamiento inmediatamente cuando identifica patrones o cuando se cierran las ventanas de tiempo.
Cada registro de comportamiento incluye:
- Una descripción sencilla y contextual: una explicación en lenguaje natural de lo que ocurrió en términos relevantes para la seguridad, por ejemplo, quién hizo qué para quién y por qué importa.
- Esquema unificado y referencias a los registros sin procesar subyacentes: todos los comportamientos usan una estructura de datos coherente entre diferentes productos y tipos de registro, por lo que los analistas no necesitan traducir diferentes formatos de registro ni combinar tablas de gran volumen.
- MITRE ATT&asignación de CK: cada comportamiento se etiqueta con tácticas y técnicas de MITRE pertinentes, lo que proporciona un contexto estándar del sector de un vistazo. No solo se ve lo que ha ocurrido, sino también cómo encaja en un marco de ataque o una escala de tiempo.
- Asignación de relaciones de entidad: cada comportamiento identifica las entidades implicadas (usuarios, hosts, direcciones IP) y sus roles (actor, destino u otro).
Capa de abstracción de comportamientos
En este diagrama se muestra cómo la capa de comportamientos de UEBA transforma los registros sin procesar en registros de comportamiento estructurados que mejoran las operaciones de seguridad:
Almacenamiento y tablas de comportamiento
La capa de comportamientos de UEBA almacena registros de comportamiento en dos tipos de tablas:
- Una tabla de información de comportamiento , que contiene el título del comportamiento, la descripción, las asignaciones de MITRE, las categorías y los vínculos a los registros sin procesar y
- Tabla de entidades relacionadas con el comportamiento , que enumera todas las entidades implicadas en el comportamiento y sus roles.
Estas tablas se integran perfectamente con los flujos de trabajo existentes para las reglas de detección, las investigaciones y el análisis de incidentes. Procesan todos los tipos de actividad de seguridad, no solo eventos sospechosos, y proporcionan una visibilidad completa de los patrones de comportamiento normales y anómalos.
Para obtener información sobre el uso de tablas de comportamientos, consulte Procedimientos recomendados y sugerencias de solución de problemas para consultar comportamientos.
Importante
La inteligencia artificial generativa impulsa la capa comportamientos de UEBA para crear y escalar la información que proporciona. Microsoft diseñó la característica Comportamientos en función de la privacidad y los principios de inteligencia artificial responsable para garantizar la transparencia y la explicación. Los comportamientos no introducen nuevos riesgos de cumplimiento ni análisis opacos de "caja negra" en el SOC. Para obtener más información sobre cómo se aplica la inteligencia artificial en esta característica y el enfoque de Microsoft a la inteligencia artificial responsable, consulte Preguntas más frecuentes sobre la inteligencia artificial responsable para la capa de comportamientos de Microsoft UEBA.
Ejemplos y casos de uso
Aquí se muestra cómo los analistas, cazadores e ingenieros de detección pueden usar comportamientos durante las investigaciones, la búsqueda y la creación de alertas.
Investigación y enriquecimiento con incidentes
Los comportamientos proporcionan a los analistas de SOC claridad inmediata sobre lo que ocurrió en torno a una alerta, sin tener que pivotar en varias tablas de registro sin procesar.
Flujo de trabajo sin comportamientos: Los analistas a menudo necesitan reconstruir las escalas de tiempo manualmente consultando tablas específicas del evento y cosiendo los resultados juntos.
Ejemplo: una alerta se activa en una actividad sospechosa de AWS. El analista consulta la
AWSCloudTrailtabla y, a continuación, se convierte en datos de firewall para comprender lo que hizo el usuario o host. Esto requiere conocimientos de cada esquema y ralentiza la evaluación de la evaluación.Flujo de trabajo con comportamientos: La capa de comportamientos de UEBA agrega automáticamente eventos relacionados en entradas de comportamiento que se pueden asociar a un incidente o consultar a petición.
Ejemplo: Una alerta indica la posible filtración de credenciales. En la
BehaviorInfotabla, el analista ve el comportamiento Acceso de secreto masivo sospechoso a través de AWS IAM by User123 asignado a la técnica MITRE T1552 (credenciales no seguras). La capa de comportamientos de UEBA generó este comportamiento agregando 20 entradas de registro de AWS. El analista entiende inmediatamente que User123 ha accedido a muchos secretos (contexto crucial para escalar el incidente) sin revisar manualmente las 20 entradas de registro.
Búsqueda de amenazas
Los comportamientos permiten a los cazadores buscar en TTPs y resúmenes de actividad, en lugar de escribir combinaciones complejas o normalizar los registros sin procesar por sí mismos.
Flujo de trabajo sin comportamientos: Las búsquedas requieren un KQL complejo, combinaciones de tablas y conocimientos sobre cada formato de origen de datos. La actividad importante podría estar enterrada en grandes conjuntos de datos con poco contexto de seguridad integrado.
Ejemplo: La búsqueda de signos de reconocimiento puede requerir eventos de examen
AWSCloudTraily ciertos patrones de conexión de firewall por separado. El contexto existe principalmente en incidentes y alertas, lo que dificulta la búsqueda proactiva.Flujo de trabajo con comportamientos: Los comportamientos se normalizan, enriquecen y se asignan a tácticas y técnicas de MITRE. Los cazadores pueden buscar patrones significativos sin depender del esquema de cada origen.
Un cazador puede filtrar la tabla BehaviorInfo por táctica (
Categories), técnica, título o entidad. Por ejemplo:BehaviorInfo | where Categories has "Discovery" | summarize count() by TitleLos cazadores también pueden:
- Identificar comportamientos poco frecuentes, usando
count distincten elTitlecampo. - Explore un tipo de comportamiento interesante, identifique las entidades implicadas e investigue más.
- Explore en profundidad los registros sin procesar mediante las
BehaviorIdcolumnas yAdditionalFields, que a menudo hacen referencia a los registros sin procesar subyacentes.
Ejemplo: Un cazador que busca acceso a credenciales sigilosas consulta los comportamientos con "enumerar credenciales" en la
Titlecolumna. Los resultados devuelven algunas instancias de "Intento de volcado de credenciales del almacén por parte del usuario AdminJoe" (derivado deCyberArklos registros). Aunque no se desencadenaron alertas, este comportamiento no es habitual para AdminJoe y solicita una investigación adicional, algo que es difícil de detectar en los registros de auditoría detallados de Vault.Los cazadores también pueden cazar por:
Táctica de MITRE:
// Find behaviors by MITRE tactic BehaviorInfo | where Categories == "Lateral Movement"Técnica:
// Find behaviors by MITRE technique BehaviorInfo | where AttackTechniques has "T1078" // Valid Accounts | extend AF = parse_json(AdditionalFields) | extend TableName = tostring(AF.TableName) | project TimeGenerated, Title, Description, TableNameUsuario específico:
// Find all behaviors for a specific user over last 7 days BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(7d) | where EntityType == "User" and AccountUpn == "user@domain.com" | project TimeGenerated, Title, Description, Categories | order by TimeGenerated descComportamientos poco frecuentes (posibles anomalías):
// Find rare behaviors (potential anomalies) BehaviorInfo | where TimeGenerated >= ago(30d) | summarize Count=count() by Title | where Count < 5 // Behaviors seen less than 5 times | order by Count asc
- Identificar comportamientos poco frecuentes, usando
Alertas y automatización
Los comportamientos simplifican la lógica de reglas proporcionando señales normalizadas de alta calidad con contexto integrado y permiten nuevas posibilidades de correlación.
Flujo de trabajo sin comportamientos: Las reglas de correlación entre orígenes son complejas porque cada formato de registro es diferente. Las reglas suelen requerir lo siguiente:
- Lógica de normalización
- Condiciones específicas del esquema
- Varias reglas independientes
- Dependencia de alertas en lugar de actividad sin procesar
La automatización también puede desencadenarse con demasiada frecuencia si está controlada por eventos de bajo nivel.
Flujo de trabajo con comportamientos: Los comportamientos ya agregan eventos relacionados e incluyen asignaciones de MITRE, roles de entidad y esquemas coherentes, por lo que los ingenieros de detección pueden crear reglas de detección más sencillas y claras.
Ejemplo: Para alertar sobre un posible riesgo de clave y una secuencia de escalado de privilegios, un ingeniero de detección escribe una regla de detección mediante esta lógica: "Alerta si un usuario tiene un comportamiento de "Creación de una nueva clave de acceso de AWS" seguido de un comportamiento de "Elevación de privilegios en AWS" en un plazo de 1 hora".
Sin la capa de comportamientos de UEBA, esta regla requeriría unir eventos sin procesar
AWSCloudTraile interpretarlos en la lógica de regla. Con los comportamientos, es sencillo y resistente a los cambios de esquema de registro porque el esquema está unificado.Los comportamientos también sirven como desencadenadores confiables para la automatización. En lugar de crear alertas para actividades no de riesgo, use comportamientos para desencadenar la automatización, por ejemplo, para enviar un correo electrónico o iniciar la verificación.
Orígenes de datos y comportamientos admitidos
La lista de orígenes de datos y proveedores o servicios admitidos que envían registros a estos orígenes de datos está evolucionando. La capa de comportamientos de UEBA agrega automáticamente información para todos los proveedores admitidos en función de los registros que recopile.
La capa de comportamientos de UEBA se centra actualmente en estos orígenes de datos que no son de Microsoft que tradicionalmente carecen de un contexto de comportamiento fácil en Microsoft Sentinel:
| Origen de datos | Proveedores, servicios y registros admitidos | Connector | Comportamientos admitidos |
|---|---|---|---|
| CommonSecurityLog1 |
|
||
| AWSCloudTrail |
|
||
| GCPAuditLogs |
|
1CommonSecurityLog puede contener registros de muchos proveedores. La capa de comportamientos de UEBA solo genera comportamientos para proveedores y tipos de registro admitidos. Si la tabla recibe registros de un proveedor no admitido, no verá ningún comportamiento aunque el origen de datos esté conectado.
Importante
Debe habilitar estos orígenes de forma independiente de otras funcionalidades de UEBA. Por ejemplo, si ha habilitado AWSCloudTrail para análisis y anomalías de UEBA, debe habilitarlo por separado para los comportamientos.
Requisitos previos
Para usar la capa de comportamientos de UEBA, necesita:
- Un área de trabajo Microsoft Sentinel que se incorpora al portal de Defender.
- Ingiera uno o varios de los orígenes de datos admitidos en el nivel de Análisis. Para obtener más información sobre los niveles de datos, consulte Administración de niveles de datos y retención en Microsoft Sentinel.
Permisos necesarios
Para habilitar y usar la capa de comportamientos de UEBA, necesita estos permisos:
| Acción del usuario | Permiso requerido |
|---|---|
| Habilitar comportamientos | Al menos el rol Administrador de seguridad en Microsoft Entra ID y el rol Colaborador de Microsoft Sentinel en el área de trabajo de Sentinel. |
| Tablas de comportamientos de consulta |
|
Para obtener más información sobre RBAC unificado en el portal de Defender, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).
Habilitación de la capa de comportamientos de UEBA
Para empezar a agregar comportamientos de UEBA, asegúrese de conectar al menos un origen de datos compatible. La capa de comportamientos de UEBA solo agrega comportamientos cuando los orígenes de datos admitidos están conectados y envían registros activamente al nivel de Analytics.
Para habilitar la capa de comportamientos de UEBA en el área de trabajo:
En el portal de Defender, seleccione Configuración del > sistema > Microsoft Sentinel > áreas de trabajo SIEM.
Seleccione el área de trabajo de Sentinel donde desea habilitar la capa de comportamientos de UEBA.
Seleccione Habilitar análisis de > comportamiento Configurar UEBA > Nuevo. Capa de comportamientos.
Active la capa Habilitar comportamientos.
Seleccione Conectar todos los orígenes de datos o seleccione los orígenes de datos específicos de la lista.
Si aún no ha conectado ningún origen de datos compatible al área de trabajo de Sentinel, seleccione Ir al centro de contenido para buscar y conectar los conectores pertinentes.
Seleccione Conectar.
Importante
Actualmente, puede habilitar los comportamientos en un único área de trabajo del inquilino.
Modelo de precios
El uso de la capa de comportamientos de UEBA genera los siguientes costos:
Sin costo de licencia adicional: Los comportamientos se incluyen como parte de Microsoft Sentinel. No necesita una SKU independiente, un complemento de UEBA o licencias adicionales. Si el área de trabajo está conectada a Sentinel e incorporada al portal de Defender, puede usar comportamientos sin costo adicional de características.
Cargos de ingesta de datos de registro: Los registros de comportamiento se almacenan en las
SentinelBehaviorInfotablas ySentinelBehaviorEntitiesdel área de trabajo de Sentinel. Cada comportamiento contribuye al volumen de ingesta de datos del área de trabajo y se factura según la tasa de ingesta de Log Analytics o Sentinel existente. Los comportamientos son aditivos: no reemplazan los registros sin procesar existentes.
Procedimientos recomendados y sugerencias de solución de problemas para consultar comportamientos
En esta sección se explica cómo consultar los comportamientos tanto desde el portal de Defender como desde el área de trabajo de Sentinel. Aunque los esquemas son idénticos, el ámbito de datos difiere:
- En el portal de Defender, las tablas de comportamiento incluyen comportamientos de UEBA y comportamientos de los servicios de Defender conectados, como Microsoft Defender for Cloud Apps y Microsoft Defender for Cloud.
- En el área de trabajo de Sentinel, las tablas de comportamiento solo incluyen los comportamientos de UEBA generados a partir de los registros ingeridos en ese área de trabajo específica.
En esta tabla se muestran las tablas de comportamiento que se usarán en cada entorno:
| Entorno | Tablas que se van a usar | Casos de uso |
|---|---|---|
| Portal de Defender: búsqueda avanzada |
BehaviorInfo BehaviorEntities |
Reglas de detección, investigación de incidentes, búsqueda de amenazas en el portal de Defender |
| Sentinel área de trabajo |
SentinelBehaviorInfo SentinelBehaviorEntities |
Azure Supervisar libros, supervisión de ingesta, consultas KQL en Sentinel área de trabajo |
Para obtener ejemplos más prácticos del uso de comportamientos, consulte Casos de uso y ejemplos.
Para obtener más información sobre Lenguaje de consulta Kusto (KQL), consulte Introducción al lenguaje de consulta kusto.
Filtrado de comportamientos de UEBA en el portal de Defender
Las
BehaviorInfotablas yBehaviorEntitiesincluyen todos los comportamientos de UEBA y también pueden incluir comportamientos de Microsoft Defender servicios.Para filtrar los comportamientos de la capa de comportamientos de UEBA de Microsoft Sentinel, use la
ServiceSourcecolumna . Por ejemplo:BehaviorInfo | where ServiceSource == "Microsoft Sentinel"
Explorar en profundidad desde comportamientos hasta registros sin procesar
Use la
AdditionalFieldscolumna deBehaviorInfo, que contiene referencias a los identificadores de evento originales en elSupportingEvidencecampo .
Ejecute una consulta en el valor del
SupportingEvidencecampo para buscar los registros sin procesar que contribuyeron a un comportamiento.
Unirse a BehaviorInfo y BehaviorEntities
Use el
BehaviorIdcampo para combinarBehaviorInfoconBehaviorEntities.Por ejemplo:
BehaviorInfo | join kind=inner BehaviorEntities on BehaviorId | where TimeGenerated >= ago(1d) | project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpnEsto le proporciona cada comportamiento y cada entidad implicada en él. La
AccountUpninformación de identificación o de la entidad está enBehaviorEntities, mientras queBehaviorInfopuede hacer referencia a "User" o "Host" en el texto.Supervisión de la ingesta de datos de comportamiento
Para supervisar la ingesta de datos de comportamiento, consulte la
Usagetabla para ver las entradas relacionadas conSentinelBehaviorInfoySentinelBehaviorEntities.Creación de reglas de automatización, libros y detección basadas en comportamientos
- Use la
BehaviorInfotabla como origen de datos para reglas de detección o cuadernos de estrategias de automatización en el portal de Defender. Por ejemplo, cree una regla de consulta programada que se desencadene cuando aparezca un comportamiento específico. - Para Azure Monitor workbooks and any artifacts built directly on your Sentinel workspace (Supervisar libros y artefactos creados directamente en el área de trabajo de Sentinel), asegúrese de consultar las tablas y
SentinelBehaviorEntitiesen elSentinelBehaviorInfoárea de trabajo de Sentinel.
- Use la
Solución de problemas
- Si no se generan comportamientos: asegúrese de que los orígenes de datos admitidos envían registros activamente al nivel de Analytics, confirme que la alternancia del origen de datos está activada y espere entre 15 y 30 minutos después de habilitar.
- Veo menos comportamientos de los esperados: nuestra cobertura de tipos de comportamiento admitidos es parcial y está creciendo. Para obtener más información, consulte Orígenes y comportamientos de datos admitidos. Es posible que la capa de comportamientos de UEBA tampoco pueda detectar un patrón de comportamiento si hay muy pocas instancias de un tipo de comportamiento específico.
- Recuentos de comportamientos: un único comportamiento puede representar decenas o cientos de eventos sin procesar; esto está diseñado para reducir el ruido.
Limitaciones
Estas limitaciones se aplican actualmente a la capa de comportamientos de UEBA:
- Puede habilitar los comportamientos en un único área de trabajo Sentinel por inquilino.
- La capa de comportamientos de UEBA genera comportamientos para un conjunto limitado de orígenes de datos y proveedores o servicios admitidos.
- La capa de comportamientos de UEBA no captura actualmente todas las técnicas de acción o ataque posibles, ni siquiera para los orígenes admitidos. Es posible que algunos eventos no generen comportamientos correspondientes. No suponga que la ausencia de un comportamiento significa que no se ha producido ninguna actividad. Revise siempre los registros sin procesar si sospecha que puede faltar algo.
- Los comportamientos tienen como objetivo reducir el ruido agregando y secuenciando eventos, pero es posible que todavía vea demasiados registros de comportamiento. Agradecemos sus comentarios sobre tipos de comportamiento específicos para ayudar a mejorar la cobertura y la relevancia.
- Los comportamientos no son alertas ni anomalías. Son observaciones neutrales, no clasificadas como malintencionadas o benignas. La presencia de un comportamiento significa "esto sucedió", no "se trata de una amenaza". La detección de anomalías permanece independiente en UEBA. Use juicios o combine comportamientos con datos de anomalías de UEBA para identificar patrones destacados.