Páginas de entidades en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cuando se encuentra con una cuenta de usuario, un nombre de host, una dirección IP o un recurso de Azure en una investigación de incidentes, puede decidir que desea saber más sobre él. Por ejemplo, es posible que quiera conocer su historial de actividad, ya aparezca en otras alertas o incidentes, ya haga algo inesperado o fuera de carácter, etc. En resumen, desea información que pueda ayudarle a determinar qué tipo de amenaza representan estas entidades y guiar su investigación en consecuencia.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Páginas de entidad

En estas situaciones, puede seleccionar la entidad (aparecerá como un vínculo en el que se puede hacer clic) y se le llevará a una página de entidad, una hoja de datos llena de información útil sobre esa entidad. También puede llegar a una página de entidad mediante la búsqueda directa de entidades en la página de comportamiento de la entidad de Microsoft Sentinel. Entre los tipos de información que encontrará en páginas de entidades se incluyen datos básicos sobre la entidad, una escala de tiempo de eventos importantes relacionados con esta entidad y conclusiones sobre el comportamiento de la entidad.

Más concretamente, las páginas de entidad constan de tres partes:

• El panel de la izquierda contiene la información de identificación de la entidad, recopilada de fuentes de datos como Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog y Microsoft Defender XDR (con todos sus componentes).

• En el panel central se muestra una escala de tiempo gráfica y textual de eventos importantes relacionados con la entidad, como alertas, marcadores, anomalías y actividades. Las actividades son agregaciones de eventos importantes desde Log Analytics. Las consultas que detectan esas actividades las desarrollan los equipos de investigación de seguridad de Microsoft y ahora puede agregar sus propias consultas personalizadas para detectar las actividades que elija.

• En el panel derecho se muestran conclusiones de comportamiento sobre la entidad. Los equipos de investigación de seguridad de Microsoft desarrollan continuamente estos conocimientos. Se basan en varios orígenes de datos y proporcionan contexto para la entidad y sus actividades observadas, lo que le ayuda a identificar rápidamente el comportamiento anómalo y las amenazas de seguridad.

  A partir de noviembre de 2023, la próxima generación de información empezará a estar disponible en PREVIEW, en forma de widgets de enriquecimiento. Estas nuevas conclusiones pueden integrar datos de orígenes externos y recibir actualizaciones en tiempo real, y se pueden ver junto con las conclusiones existentes. Para aprovechar estos nuevos widgets, debe habilitar la experiencia de widgets.

Si está investigando un incidente mediante la nueva experiencia de investigación, podrá ver una versión en paneles de la página de entidad directamente dentro de la página de detalles del incidente. Tiene una lista de todas las entidades de un incidente determinado y la selección de una entidad abre un panel lateral con tres "tarjetas" (Información, Escala de tiempo y Detalles) que muestra toda la misma información descrita anteriormente, dentro del período de tiempo específico correspondiente al de las alertas del incidente.

Si utiliza la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender, los paneles de escala de tiempo e información aparecen en la pestaña de eventos de Sentinel de la página de entidades de Defender.

Azure Portal

Portal de Defender

Escala de tiempo

Azure Portal

La escala de tiempo es una parte importante de la contribución de la página de la entidad al análisis de comportamiento en Microsoft Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.

Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como últimas 24 horas) o establecerlo en cualquier período de tiempo definido de forma personalizada. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.

En la escala de tiempo se incluyen los siguientes tipos de elementos.

• Alertas: cualquier alerta en la que la entidad esté definida como entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realice correctamente.

• Marcadores: cualquier marcador que incluya la entidad específica mostrada en la página.

• Anomalías: detecciones UEBA basadas en líneas de base dinámicas creadas para cada entidad a través de diversas entradas de datos y en comparación con sus propias actividades históricas, las de nodos del mismo nivel y las de la organización en su conjunto.

• Actividades: agregación de acontecimientos notables relacionados con la entidad. Una amplia variedad de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando las actividades que prefiera.

Portal de Defender

La escala de tiempo en la pestaña de Eventos de Sentinel agrega una parte importante de la contribución de la página de entidad al análisis de comportamiento en la plataforma unificada de operaciones de seguridad en Microsoft Defender. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.

En particular, verá en la escala de tiempo de eventos de Sentinel alertas y eventos de fuentes de terceros recopilados únicamente por Microsoft Sentinel, como syslog/CEF y registros personalizados ingeridos a través de agente de Azure Monitor o conectores personalizados.

En la escala de tiempo se incluyen los siguientes tipos de elementos.

• Alertas: cualquier alerta en la que la entidad esté definida como entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realice correctamente.

• Marcadores: cualquier marcador que incluya la entidad específica mostrada en la página.

• Anomalías: detecciones UEBA basadas en líneas de base dinámicas creadas para cada entidad a través de diversas entradas de datos y en comparación con sus propias actividades históricas, las de nodos del mismo nivel y las de la organización en su conjunto.

• Actividades: agregación de acontecimientos notables relacionados con la entidad. Una amplia variedad de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando las actividades que prefiera.

Esta escala de tiempo muestra información de las últimas 24 horas. Este período no es ajustable actualmente.

Conclusiones sobre la entidad

Las conclusiones sobre la entidad son consultas definidas por los investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de manera más eficiente y eficaz. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre los hosts y los usuarios, en forma de gráficos y datos tabulares. Disponer aquí de la información significa que no tiene que desplazarse a Log Analytics. Las conclusiones incluyen datos sobre inicios de sesión, adiciones a grupos, eventos anómalos, etc., así como algoritmos avanzados de Azure Machine Learning para detectar comportamientos anómalos.

Las conclusiones se basan en los siguientes orígenes de datos:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (UEBA de Microsoft Sentinel)
• Heartbeat (agente de Azure Monitor)
• CommonSecurityLog (Microsoft Sentinel)

En general, cada visión de entidad que aparece en la página de entidad va acompañada de un vínculo que le llevará a una página en la que se muestra la consulta subyacente a la visión, junto con los resultados, para que pueda examinar los resultados con mayor profundidad.

• En Microsoft Sentinel en Azure portal, el vínculo le lleva a la página Registros.
• En la plataforma unificada de operaciones de seguridad del portal de Microsoft Defender, el vínculo le lleva a la página Búsqueda avanzada.

Cómo usar páginas de entidad

Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el grafo de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Comportamiento de entidades en el menú principal de Microsoft Sentinel.

La información de la página de entidades se almacena en la tabla BehaviorAnalytics, que se describe en detalle en la referencia de UEBA de Microsoft Sentinel.

Páginas de entidad admitidos

Microsoft Sentinel ofrece actualmente las siguientes páginas de entidad:

• Cuenta de usuario

• Host

• Dirección IP (versión preliminar)

  Nota

  La página de entidad de dirección IP (ahora en versión preliminar) contiene datos de geolocalización proporcionados por el servicio de inteligencia sobre amenazas de Microsoft. Este servicio combina datos de geolocalización tanto de soluciones de Microsoft como de proveedores y asociados de terceros. Posteriormente, los datos están disponibles para su análisis e investigación en el contexto de un incidente de seguridad. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización mediante la API de REST (versión preliminar pública).

• Azure Resource (versión preliminar)

• Dispositivo IoT (versión preliminar)—solo en Microsoft Sentinel en Azure Portal por ahora.

Pasos siguientes

En este documento, ha aprendido a obtener información sobre las entidades de Microsoft Sentinel mediante páginas de entidad. Para obtener más información sobre las entidades y cómo usarlas, consulte los siguientes artículos:

• Obtenga más información sobre las entidades en Microsoft Sentinel.
• Personalización de actividades en las escalas de tiempo de las páginas de entidad.
• Identificación de amenazas avanzadas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
• Habilitación del análisis de comportamiento de entidades en Microsoft Sentinel.
• Búsqueda de amenazas de seguridad