Entidades en Microsoft Sentinel
Cuando las alertas se envían a Microsoft Sentinel o son generadas por éste, contienen elementos de datos que Sentinel puede reconocer y clasificar en categorías como entidades. Cuando Microsoft Sentinel comprende qué tipo de entidad representa un elemento de datos concreto, conoce las preguntas correctas que debe formular al respecto, y así, comparar información sobre ese elemento en toda la gama de fuentes de datos, así como realizar fácilmente su seguimiento y hacer referencia a él a lo largo de toda la experiencia de Sentinel: análisis, investigación, corrección, búsqueda, etc. Algunos ejemplos comunes de entidades son las cuentas de usuario, los hosts, los buzones de correo, las direcciones IP, los archivos, las aplicaciones en la nube, los procesos y las URL.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
En la plataforma unificada de operaciones de seguridad del portal de Microsoft Defender, las entidades suelen clasificarse en dos categorías principales:
Categoría de entidad | Caracterización | Principales ejemplos |
---|---|---|
Activos | ||
Otras entidades (evidencia) |
Identificadores de entidad
Microsoft Sentinel admite una amplia variedad de tipos de entidad. Cada tipo tiene sus propios atributos únicos, que se representan como campos en el esquema de entidad y se denominan identificadores. Consulte a continuación la lista completa de entidades compatibles y el conjunto completo de esquemas e identificadores de entidades en la referencia de tipos de entidades de Microsoft Sentinel.
Identificadores seguros y no seguros
Para cada tipo de entidad hay campos, o conjuntos de campos, que pueden identificar instancias particulares de esa entidad. Se puede hacer referencia a estos campos o conjuntos de campos como identificadores seguros si pueden identificar de forma única una entidad sin ambigüedad, o como identificadores no seguros si pueden identificar una entidad en algunas circunstancias, pero no se garantiza que identifiquen de forma única una entidad en todos los casos. En muchos casos, sin embargo, se puede combinar una selección de identificadores no seguros para generar un identificador seguro.
Por ejemplo, las cuentas de usuario se pueden identificar como entidades de cuenta de más de una manera: mediante un único identificador seguro como el identificador numérico de una cuenta de Microsoft Entra (el campo GUID) o su valor de Nombre principal de usuario (UPN); o bien, con una combinación de identificadores no seguros como sus campos Nombre y NTDomain. Distintos orígenes de datos pueden identificar al mismo usuario de maneras diferentes. Cada vez que Microsoft Sentinel encuentra dos entidades que puede reconocer como la misma entidad en función de sus identificadores, combina las dos entidades en una sola, de modo que se pueda controlar de manera correcta y coherente.
Sin embargo, si uno de sus proveedores de recursos crea una alerta en la que una entidad no está suficientemente identificada (por ejemplo, utilizando solo un identificador débil como un nombre de usuario sin el contexto del nombre de dominio), la entidad de usuario no podrá fusionarse con otras instancias de la misma cuenta de usuario. Esas otras instancias se identificarían como una entidad independiente, y esas dos entidades permanecerían independientes en lugar de unificarse.
Con el fin de minimizar el riesgo de que esto suceda, debe comprobar que todos los proveedores de alertas identifican correctamente las entidades en las alertas que producen. Además, la sincronización de entidades de cuenta de usuario con Microsoft Entra ID puede crear un directorio unificador que podrá combinar entidades de cuenta de usuario.
Entidades admitidas
En Microsoft Sentinel se identifican actualmente los siguientes tipos de entidades:
- Cuenta
- Host
- Dirección IP
- URL
- Recurso de Azure
- Aplicación en la nube
- Resolución DNS
- Archivo
- Hash de archivo
- Malware
- Process
- Clave del Registro
- Valor del Registro
- Grupo de seguridad
- Buzón
- Clúster de correo
- Mensaje de correo
- Correo de envío
Puede ver los identificadores de estas entidades y otra información importante en la referencia de entidades.
Asignación de entidades
¿Cómo reconoce Microsoft Sentinel que un fragmento de datos en una alerta identifica una entidad?
Echemos un vistazo al método de procesamiento de datos en Microsoft Sentinel. Los datos se obtienen de diversas fuentes a través de conectores, ya sean de servicio a servicio, basados en agentes o basados en API. Los datos se almacenan en tablas en el área de trabajo de Log Analytics. Estas tablas se consultan a intervalos regulares mediante las reglas de análisis programadas o casi en tiempo real que ha definido y activado, o a petición como parte de las consultas de búsqueda cuando busca amenazas. Parte de la definición de estas reglas de análisis y consultas de búsqueda es la asignación de los campos de datos de las tablas a los tipos de entidad reconocidos por Microsoft Sentinel. De acuerdo con las asignaciones que defina, Microsoft Sentinel tomará los campos de los resultados devueltos por su consulta, los reconocerá por los identificadores que haya especificado para cada tipo de entidad y les aplicará el tipo de entidad identificado por dichos identificadores.
¿Cuál es el objetivo de todo esto?
Cuando Microsoft Sentinel es capaz de identificar entidades en alertas procedentes de distintos tipos de fuentes de datos, y especialmente si puede hacerlo utilizando identificadores fuertes comunes a cada fuente de datos o a otro esquema, puede entonces correlacionar fácilmente entre todas estas alertas y fuentes de datos. Estas correlaciones ayudan a crear un rico almacén de información y perspectivas sobre las entidades, proporcionándole una base y un contexto sólidos para investigar y responder a las amenazas a la seguridad.
Obtenga información sobre cómo asignar campos de datos a entidades.
Obtenga información acerca de los identificadores que identifican una entidad de forma segura.
Páginas de entidad
Ahora puede encontrar información sobre las páginas de entidades en Páginas de entidades en Microsoft Sentinel.
Pasos siguientes
En este documento, ha aprendido a trabajar con entidades en Microsoft Sentinel. Para obtener instrucciones prácticas sobre la implementación y para usar las conclusiones obtenidas, consulte los siguientes artículos:
- Habilitación del análisis de comportamiento de entidades en Microsoft Sentinel.
- Búsqueda de amenazas de seguridad