Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se encuentra con una cuenta de usuario, un nombre de host, una dirección IP o un recurso Azure en una investigación de incidentes, es posible que decida que desea saber más al respecto. Por ejemplo, es posible que quiera conocer su historial de actividad, si aparece en otras alertas o incidentes, si ha hecho algo inesperado o fuera de carácter, etc. En resumen, quiere información que pueda ayudarle a determinar qué tipo de amenaza representan estas entidades y guiar su investigación en consecuencia.
En este artículo se describen Microsoft Sentinel páginas de entidad en el Azure Portal. Para obtener información sobre las páginas de entidad en el portal de Defender, consulte:
- Página de entidad de usuario en Microsoft Defender
- Página de entidad de dispositivo en Microsoft Defender
- Página de entidad de dirección IP en Microsoft Defender
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Páginas de entidad
En estas situaciones, puede seleccionar la entidad (aparecerá como un vínculo en el que se puede hacer clic) y pasarla a una página de entidad, una hoja de datos llena de información útil sobre esa entidad. También puede llegar a una página de entidad si busca directamente entidades en la página de comportamiento de la entidad Microsoft Sentinel. Los tipos de información que encontrará en las páginas de entidad incluyen hechos básicos sobre la entidad, una escala de tiempo de eventos notables relacionados con esta entidad e información sobre el comportamiento de la entidad.
Más concretamente, las páginas de entidad constan de tres partes:
El panel izquierdo contiene la información de identificación de la entidad, recopilada de orígenes de datos como Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog y Microsoft Defender XDR (con todos sus componentes).
El panel central muestra una escala de tiempo gráfica y textual de eventos notables relacionados con la entidad, como alertas, marcadores, anomalías y actividades. Las actividades son agregaciones de eventos notables de Log Analytics. Las consultas que detectan esas actividades las desarrollan los equipos de investigación de seguridad de Microsoft y ahora puede agregar sus propias consultas personalizadas para detectar las actividades que elija.
El panel derecho presenta información de comportamiento sobre la entidad. Estos conocimientos los desarrollan continuamente los equipos de investigación de seguridad de Microsoft. Se basan en varios orígenes de datos y proporcionan contexto para la entidad y sus actividades observadas, lo que le ayuda a identificar rápidamente comportamientos anómalos y amenazas de seguridad.
Si va a investigar un incidente mediante la nueva experiencia de investigación, podrá ver una versión panelizada de la página de entidades justo dentro de la página de detalles del incidente. Tiene una lista de todas las entidades de un incidente determinado y al seleccionar una entidad se abre un panel lateral con tres "tarjetas" (Info, Timeline y Insights) que muestran toda la misma información descrita anteriormente, dentro del período de tiempo específico correspondiente al de las alertas del incidente.
Si usa la Microsoft Sentinel en el portal de Defender, los paneles de escala de tiempo e información aparecen en la pestaña eventos de Sentinel de la página de entidad de Defender.
Escala de tiempo
La escala de tiempo es una parte importante de la contribución de la página de entidad al análisis de comportamiento en Microsoft Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.
Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como las últimas 24 horas) o establecerlo en cualquier período de tiempo definido de forma personalizada. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.
Los siguientes tipos de elementos se incluyen en la escala de tiempo.
Alertas: alertas en las que la entidad se define como una entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realiza correctamente.
Marcadores: cualquier marcador que incluya la entidad específica que se muestra en la página.
Anomalías: detecciones de UEBA basadas en líneas base dinámicas creadas para cada entidad en varias entradas de datos y en sus propias actividades históricas, las de sus pares y las de la organización en su conjunto.
Actividades: agregación de eventos notables relacionados con la entidad. Una amplia gama de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando las actividades que elija.
Conclusiones de entidad
Entity Insights son consultas definidas por investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de forma más eficaz y eficaz. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre hosts y usuarios, en forma de gráficos y datos tabulares. Tener la información aquí significa que no tiene que desviarse a Log Analytics. La información incluye datos sobre inicios de sesión, adiciones de grupos, eventos anómalos, etc., e incluyen algoritmos avanzados de APRENDIZAJE automático para detectar comportamientos anómalos.
La información se basa en los siguientes orígenes de datos:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Latido (agente de Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Por lo general, cada información de entidad que se muestra en la página de la entidad va acompañada de un vínculo que le llevará a una página donde se muestra la consulta subyacente a la información, junto con los resultados, para que pueda examinar los resultados en mayor profundidad.
- En Microsoft Sentinel en el Azure Portal, el vínculo le lleva a la página Registros.
- En el portal de Microsoft Defender, el vínculo le lleva a la página Búsqueda avanzada.
Uso de páginas de entidad
Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el gráfico de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Comportamiento de entidad en el menú principal de Microsoft Sentinel.
La información de la página de entidad se almacena en la tabla BehaviorAnalytics, que se describe en detalle en la referencia Microsoft Sentinel UEBA.
Páginas de entidad admitidas
Microsoft Sentinel actualmente ofrece las siguientes páginas de entidad:
Cuenta de usuario
Host
Dirección IP (versión preliminar)
Nota:
La página de entidad de dirección IP (ahora en versión preliminar) contiene los datos de geolocalización proporcionados por el servicio Microsoft Threat Intelligence. Este servicio combina datos de geolocalización de soluciones de Microsoft y proveedores y asociados de terceros. A continuación, los datos están disponibles para su análisis e investigación en el contexto de un incidente de seguridad. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización a través de la API REST (versión preliminar pública).
recurso Azure (versión preliminar)
Dispositivo IoT (versión preliminar): solo en Microsoft Sentinel en el Azure Portal por ahora.
Pasos siguientes
En este documento, ha obtenido información sobre las entidades de Microsoft Sentinel mediante páginas de entidades. Para obtener más información sobre las entidades y cómo puede usarlas, consulte los artículos siguientes:
- Obtenga información sobre las entidades de Microsoft Sentinel.
- Personalice las actividades en las escalas de tiempo de la página de entidad.
- Identificar amenazas avanzadas con Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Habilite el análisis de comportamiento de entidad en Microsoft Sentinel.
- Busque amenazas de seguridad.