Investigación de entidades con páginas de entidad en Microsoft Sentinel

Cuando se encuentra con una cuenta de usuario, un nombre de host o una dirección IP o un recurso de Azure en una investigación de incidentes, puede decidir que desea obtener más información sobre ella. Por ejemplo, es posible que quiera conocer su historial de actividad, ya aparezca en otras alertas o incidentes, ya haga algo inesperado o fuera de carácter, etc. En resumen, desea información que pueda ayudarle a determinar qué tipo de amenaza representan estas entidades y guiar su investigación en consecuencia.

Páginas de entidad

En estas situaciones, puede seleccionar la entidad (aparecerá como un vínculo en el que se puede hacer clic) y se le llevará a una página de entidad, una hoja de datos llena de información útil sobre esa entidad. También puede llegar a una página de entidad mediante la búsqueda directa de entidades en la página de comportamiento de la entidad de Microsoft Sentinel. Entre los tipos de información que encontrará en páginas de entidades se incluyen datos básicos sobre la entidad, una escala de tiempo de eventos importantes relacionados con esta entidad y conclusiones sobre el comportamiento de la entidad.

Más concretamente, las páginas de entidad constan de tres partes:

  • El panel de la izquierda contiene información de identificación de la entidad, recopilada de orígenes de datos como Azure Active Directory, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog y Microsoft 365 Defender (con todos los componentes).

  • En el panel central se muestra una escala de tiempo gráfica y textual de eventos importantes relacionados con la entidad, como alertas, marcadores, anomalías y actividades. Las actividades son agregaciones de eventos importantes desde Log Analytics. Las consultas que detectan esas actividades las desarrollan los equipos de investigación de seguridad de Microsoft y ahora puede agregar sus propias consultas personalizadas para detectar las actividades que elija.

  • En el panel derecho se muestran conclusiones de comportamiento sobre la entidad. Los equipos de investigación de seguridad de Microsoft desarrollan continuamente estos conocimientos. Se basan en varios orígenes de datos y proporcionan contexto para la entidad y sus actividades observadas, lo que le ayuda a identificar rápidamente el comportamiento anómalo y las amenazas de seguridad.

Escala de tiempo

Captura de pantalla de un ejemplo de escala de tiempo de una página de entidad.

La escala de tiempo es una parte importante de la contribución de la página de la entidad al análisis de comportamiento en Microsoft Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.

Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como últimas 24 horas) o establecerlo en cualquier período de tiempo definido de forma personalizada. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.

En la escala de tiempo se incluyen los siguientes tipos de elementos:

  • Alertas: alertas en las que la entidad se define como entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realice correctamente.

  • Marcadores: marcadores que incluyen la entidad específica que se muestra en la página.

  • Anomalías: detecciones de UEBA basadas en líneas de base dinámicas creadas para cada entidad en diversas entradas de datos y en sus propias actividades históricas, las de sus compañeros y las de la organización en su conjunto.

  • Actividades: agregación de eventos importantes relacionados con la entidad. Una amplia variedad de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando las actividades que prefiera.

Conclusiones sobre la entidad

Las conclusiones sobre la entidad son consultas definidas por los investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de manera más eficiente y eficaz. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre los hosts y los usuarios, en forma de gráficos y datos tabulares. Disponer aquí de la información significa que no tiene que desplazarse a Log Analytics. Las conclusiones incluyen datos sobre inicios de sesión, adiciones a grupos, eventos anómalos, etc., así como algoritmos avanzados de Azure Machine Learning para detectar comportamientos anómalos.

Las conclusiones se basan en los siguientes orígenes de datos:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Azure AD)
  • SigninLogs (Azure AD)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA de Microsoft Sentinel)
  • Heartbeat (agente de Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Cómo usar páginas de entidad

Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el grafo de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Comportamiento de entidades en el menú principal de Microsoft Sentinel.

Diagrama de áreas desde los que puede acceder a las páginas de entidad, correspondientes con los casos de uso.

La información de la página de entidades se almacena en la tabla BehaviorAnalytics, que se describe en detalle en la referencia de UEBA de Microsoft Sentinel.

Páginas de entidad admitidos

Microsoft Sentinel ofrece actualmente las siguientes páginas de entidad:

  • Cuenta de usuario

  • Host

  • Dirección IP (versión preliminar)

    Nota

    La página de entidad de dirección IP (ahora en versión preliminar) contiene datos de geolocalización proporcionados por el servicio de inteligencia sobre amenazas de Microsoft. Este servicio combina datos de geolocalización tanto de soluciones de Microsoft como de proveedores y asociados de terceros. Posteriormente, los datos están disponibles para su análisis e investigación en el contexto de un incidente de seguridad. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización mediante la API de REST (versión preliminar pública).

  • Azure Resource (versión preliminar)

  • Dispositivo IoT (versión preliminar)

Pasos siguientes

En este documento, ha aprendido a obtener información sobre las entidades de Microsoft Sentinel mediante páginas de entidad. Para obtener más información sobre las entidades y cómo usarlas, consulte los siguientes artículos: