Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En el paso de implementación anterior, ha habilitado el contenido de seguridad de Microsoft Sentinel que necesita para proteger los sistemas. En este artículo, aprenderá a habilitar y usar la característica UEBA para simplificar el proceso de análisis. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.

A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos. A través de diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso se ha puesto en peligro. Obtenga más información sobre UEBA.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para habilitar o deshabilitar esta característica (estos requisitos previos no son necesarios para usar la característica):

• Su usuario debe tener asignados los roles de Administrador Global o Administrador de Seguridad de Microsoft Entra ID en su inquilino.

• El usuario debe tener asignado al menos uno de los siguientes roles de Azure (más información sobre RBAC de Azure):

  • Colaborador de Microsoft Sentinel en los niveles de área de trabajo o grupo de recursos.
  • Colaborador de Log Analytics en los niveles de grupo de recursos o suscripción.

• El área de trabajo no debe tener ningún bloqueo de recursos de Azure aplicado. Más información sobre el bloqueo de recursos de Azure.

Nota:

• No se requiere ninguna licencia especial para agregar la funcionalidad de UEBA a Microsoft Sentinel, y no hay ningún costo adicional por usarla.
• Sin embargo, dado que UEBA genera nuevos datos y los almacena en nuevas tablas que UEBA crea en el área de trabajo de Log Analytics, se aplicarán cargos adicionales por almacenamiento de datos.

Habilitación del análisis de comportamiento de usuarios y entidades

• Los usuarios de Microsoft Sentinel en Azure portal, deben seguir las instrucciones en la pestaña de Azure portal.
• Los usuarios de Microsoft Sentinel como parte de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender, sigan las instrucciones de la pestaña del Portal de Defender.

1. Vaya a la página Configuración del comportamiento de la entidad.

   Azure Portal

   Utilice cualquiera de estas tres formas para llegar a la página de Configuración del comportamiento de la entidad:

   • Seleccione Comportamiento de entidad en el menú de navegación de Microsoft Sentinel y, después, seleccione Configuración del comportamiento de la entidad en la barra de menús superior.

   • Seleccione Configuración en el menú de navegación de Microsoft Sentinel, seleccione la pestaña Configuración y, después, en Análisis de comportamiento de entidades, seleccione Establecer UEBA.

   • En la página del conector de datos de Microsoft Defender XDR, seleccione el vínculo Ir a la página de configuración de UEBA.

   Portal de Defender

   Para acceder a la página de Configuración del comportamiento de la entidad:

   1. En el menú de navegación del portal de Microsoft Defender, seleccione Configuración.
   2. En la página Configuración, seleccione Microsoft Sentinel.
   3. En el menú siguiente, seleccione Análisis del comportamiento de las entidades.
   4. A continuación, seleccione Establecer UEBA que abrirá una nueva pestaña del navegador con la página de Configuración del comportamiento de la entidad en Azure portal.

2. En la página Configuración del comportamiento de la entidad, cambie el botón de alternancia a Activado.

   

3. Marque las casillas situadas junto a los tipos de origen de Active Directory desde los que desea sincronizar las entidades de usuario con Microsoft Sentinel.

   • Active Directory local (versión preliminar)
   • Microsoft Entra ID

   Para sincronizar las entidades de usuario desde Active Directory local, el inquilino de Azure debe incorporarse a Microsoft Defender for Identity (independiente o como parte de Microsoft Defender XDR) y debe tener instalado el sensor MDI en el controlador de dominio de Active Directory. Consulte Requisitos previos Microsoft Defender for Identity para obtener más información.

4. Marque las casillas situadas junto a los orígenes de datos en los que desea habilitar UEBA.

   Nota:

   Debajo de la lista de orígenes de datos existentes, verá una lista de orígenes de datos compatibles con UEBA que aún no ha conectado.

   Una vez que haya habilitado UEBA, tendrá la opción de conectar nuevos orígenes de datos para habilitarlos para UEBA directamente desde el panel del conector de datos si son compatibles con UEBA.

5. Seleccione Aplicar. Si ha accedido a esta página a través de la página Comportamiento de la entidad, se le devolverá allí.

Pasos siguientes

En este artículo, ha aprendido a habilitar y configurar el análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel. Para obtener más información acerca de UEBA:

Investigación de entidades con páginas de entidad