Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel

  • Artículo

En el paso de implementación anterior, ha habilitado el contenido de seguridad de Microsoft Sentinel que necesita para proteger los sistemas. En este artículo, aprenderá a habilitar y usar la característica UEBA para simplificar el proceso de análisis. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.

A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos. A través de diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso se ha puesto en peligro. Obtenga más información sobre UEBA.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Requisitos previos

Para habilitar o deshabilitar esta característica (estos requisitos previos no son necesarios para usar la característica):

  • El usuario debe tener asignados los roles Administrador global o Administrador de seguridad en Microsoft Entra ID.

  • El usuario debe tener asignado al menos uno de los siguientes roles de Azure (más información sobre RBAC de Azure):

    • Colaborador de Microsoft Sentinel en los niveles de área de trabajo o grupo de recursos.
    • Colaborador de Log Analytics en los niveles de grupo de recursos o suscripción.

  • El área de trabajo no debe tener ningún bloqueo de recursos de Azure aplicado. Más información sobre el bloqueo de recursos de Azure.

Nota:

  • No se requiere ninguna licencia especial para agregar la funcionalidad de UEBA a Microsoft Sentinel, y no hay ningún costo adicional por usarla.
  • Sin embargo, dado que UEBA genera nuevos datos y los almacena en nuevas tablas que UEBA crea en el área de trabajo de Log Analytics, se aplicarán cargos adicionales por almacenamiento de datos.

Habilitación del análisis de comportamiento de usuarios y entidades

  1. Vaya a la página Configuración del comportamiento de la entidad. Hay tres formas de acceder a esta página:

    • Seleccione Comportamiento de entidad en el menú de navegación de Microsoft Sentinel y, después, seleccione Configuración del comportamiento de la entidad en la barra de menús superior.

    • Seleccione Configuración en el menú de navegación de Microsoft Sentinel, seleccione la pestaña Configuración y, después, en Análisis de comportamiento de entidades, seleccione Establecer UEBA.

    • En la página conector de datos XDR de Microsoft Defender, seleccione el vínculo Ir a la página de configuración de UEBA.

  2. En la página Configuración del comportamiento de la entidad, cambie el botón de alternancia a Activado.

    Screenshot of UEBA configuration settings.

  3. Marque las casillas situadas junto a los tipos de origen de Active Directory desde los que desea sincronizar las entidades de usuario con Microsoft Sentinel.

    • Active Directory local (versión preliminar)
    • Microsoft Entra ID

    Para sincronizar las entidades de usuario desde Active Directory local, el inquilino de Azure debe incorporarse a Microsoft Defender for Identity (ya sea independiente o como parte de XDR de Microsoft Defender) y debe tener instalado el sensor MDI en el controlador de dominio de Active Directory. Consulte Requisitos previos Microsoft Defender for Identity para obtener más información.

  4. Marque las casillas situadas junto a los orígenes de datos en los que desea habilitar UEBA.

    Nota:

    Debajo de la lista de orígenes de datos existentes, verá una lista de orígenes de datos compatibles con UEBA que aún no ha conectado.

    Una vez que haya habilitado UEBA, tendrá la opción de conectar nuevos orígenes de datos para habilitarlos para UEBA directamente desde el panel del conector de datos si son compatibles con UEBA.

  5. Seleccione Aplicar. Si ha accedido a esta página a través de la página Comportamiento de la entidad, se le devolverá allí.

Pasos siguientes

En este artículo, ha aprendido a habilitar y configurar el análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel. Para obtener más información acerca de UEBA:

Configuración de la retención y el archivado de datos