Tutorial: Detección de actividad sospechosa del usuario con análisis del comportamiento (UEBA)

  • Artículo

Microsoft Defender for Cloud Apps proporciona las mejores detecciones de esta clase en toda la cadena de terminación de ataques para usuarios en peligro, amenazas internas, filtración, ransomware, etc. Nuestra solución completa se compone de la combinación de varios métodos de detección, como anomalías, análisis de comportamiento (UEBA) y detecciones de actividad basadas en reglas, para proporcionar una amplia visión de cómo los usuarios usan aplicaciones en su entorno.

¿Por qué es importante detectar un comportamiento sospechoso? El impacto de un usuario capaz de modificar su entorno en la nube puede ser significativo y afectar directamente a su capacidad para llevar a cabo su negocio. Por ejemplo, los recursos corporativos clave, como los servidores que ejecutan el sitio web o el servicio público que proporciona a los clientes, pueden verse comprometidos.

Con los datos capturados de varios orígenes, Defender for Cloud Apps analiza los datos para extraer las actividades de aplicación y usuario de la organización, lo que proporciona a los analistas de seguridad visibilidad sobre el uso en la nube. Los datos recopilados están correlacionados, estandarizados y enriquecidos con inteligencia contra amenazas, ubicación y muchos otros detalles para proporcionar una vista precisa y coherente de las actividades sospechosas.

Por lo tanto, para conseguir las ventajas de estas detecciones, primero asegúrese de configurar los orígenes siguientes:

A continuación, querrá ajustar las directivas. Las siguientes directivas se pueden ajustar estableciendo filtros, umbrales dinámicos (UEBA) para ayudar a entrenar sus modelos de detección y supresiones para reducir las detecciones comunes de falsos positivos:

  • Detección de anomalías
  • Detección de anomalías de Cloud Discovery
  • Detección de actividad basada en reglas

En este tutorial, aprenderá a optimizar las detecciones de actividad del usuario para identificar verdaderos riesgos y reducir la fatiga de alertas resultante de controlar grandes volúmenes de detecciones con falsos positivos:

Fase 1: Configuración de intervalos de direcciones IP

Antes de configurar directivas individuales, es aconsejable configurar intervalos IP para que estén disponibles para su uso en el ajuste de cualquier tipo de directivas de detección de actividad de usuario sospechosas.

Dado que la información de direcciones IP es fundamental para casi todas las investigaciones, la configuración de direcciones IP conocidas ayuda a nuestros algoritmos de aprendizaje automático a identificar ubicaciones conocidas y considerarlas como parte de los modelos de aprendizaje automático. Por ejemplo, agregar el intervalo de direcciones IP de la VPN ayudará al modelo a clasificar correctamente este intervalo IP y excluirlo automáticamente de las detecciones de viaje imposible porque la ubicación de la VPN no representa la ubicación verdadera de ese usuario.

Nota: Los intervalos IP configurados no se limitan a las detecciones y se usan en Defender for Cloud Apps en áreas como las actividades del registro de actividad, el acceso condicional, etc. Téngalo en cuenta al configurar los intervalos. Por ejemplo: la identificación de las direcciones IP de la oficina física le permite personalizar la forma en que se muestran e investigan los registros y las alertas.

Revisión de las alertas de detección de anomalías predefinidas

Defender for Cloud Apps incluye un conjunto de alertas de detección de anomalías para identificar diferentes escenarios de seguridad. Estas detecciones se habilitan automáticamente de forma predeterminada y comenzarán a crear perfiles sobre la actividad de usuario y generarán alertas en cuanto estén conectados los conectores de aplicaciones pertinentes.

Empiece por familiarizarse con las diferentes directivas de detección, priorizar los principales escenarios que cree que son más relevantes para su organización y ajustar las directivas en consecuencia.

Fase 2: Ajuste de las directivas de detección de anomalías

Hay varias directivas de detección de anomalías integradas disponibles en Defender for Cloud Apps preconfiguradas para casos de uso de seguridad comunes. Debe tardar algún tiempo en familiarizarse con las detecciones más populares, como:

  • Viaje imposible
    Actividades del mismo usuario en diferentes ubicaciones dentro de un periodo menor que el tiempo de desplazamiento esperado entre las dos ubicaciones.
  • Actividad desde un país poco frecuente
    Se ha producido actividad desde una ubicación que ningún usuario ha visitado recientemente o nunca.
  • Detección de malware
    Analiza los archivos de las aplicaciones en la nube y ejecuta archivos sospechosos a través del motor de inteligencia contra amenazas Microsoft para determinar si están asociados con software malicioso conocido.
  • Actividad de ransomware
    Cargas en la nube de archivos que podrían estar infectados con ransomware.
  • Actividad desde direcciones IP sospechosas
    Actividad desde una dirección IP que se ha identificado como de riesgo en Inteligencia contra amenazas Microsoft.
  • Reenvío sospechoso desde la bandeja de entrada
    Detecta reglas de reenvío sospechoso desde la bandeja de entrada establecidas en la bandeja de entrada de un usuario.
  • Varias actividades inusuales de descarga de archivos
    Detecta varias actividades de descarga de archivos en una misma sesión con respecto a la línea de base aprendida, lo que podría indicar un intento de vulneración.
  • Actividades administrativas inusuales
    Detecta varias actividades administrativas en una misma sesión con respecto a la línea de base aprendida, lo que podría indicar un intento de vulneración.

Para obtener una lista completa de las detecciones y lo que hacen, consulte Directivas de detección de anomalías.

Nota:

Aunque algunas de las detecciones de anomalías se centran principalmente en detectar escenarios de seguridad problemáticos, otros pueden ayudar a identificar e investigar el comportamiento anómalo del usuario que puede no indicar necesariamente un riesgo. Para estas detecciones, creamos otro tipo de datos denominado "comportamientos", que está disponible en la experiencia de búsqueda avanzada de amenazas de Microsoft Defender XDR. Para más información, consulte Comportamientos.

Una vez que se haya familiarizado con las directivas, debe tener en cuenta cómo desea ajustarlas para los requisitos específicos de su organización para mejorar las actividades de destino que es posible que quiera investigar en más detalle.

  1. Directivas de ámbito para usuarios o grupos específicos

    Las directivas de ámbito para usuarios específicos pueden ayudar a reducir el ruido de las alertas que no son relevantes para su organización. Cada directiva se puede configurar para incluir o excluir usuarios y grupos específicos, como en los ejemplos siguientes:

    • Simulaciones de ataques
      Muchas organizaciones usan un usuario o un grupo para simular ataques constantemente. Obviamente, no tiene sentido recibir constantemente alertas de las actividades de estos usuarios. Por lo tanto, puede configurar las directivas para excluir estos usuarios o grupos. Esto también ayuda a los modelos de aprendizaje automático a identificar a estos usuarios y ajustar sus umbrales dinámicos en consecuencia.
    • Detecciones dirigidas
      Es posible que su organización esté interesada en investigar un grupo específico de usuarios VIP, como los miembros de un grupo de administradores o de CXO. En este escenario, puede crear una directiva para las actividades que desea detectar y elegir incluir solo el conjunto de usuarios o grupos que le interesen.

  2. Ajuste de las detecciones de inicios de sesión anómalos

    Algunas organizaciones quieren ver alertas resultantes de las actividades de inicio de sesión con errores, ya que pueden indicar que alguien está intentando tener como destino una o varias cuentas de usuario. Por otro lado, los ataques por fuerza bruta en las cuentas de usuario se producen continuamente en la nube y las organizaciones no tienen forma de evitarlos. Por lo tanto, las organizaciones más grandes suelen decidir solo recibir alertas de actividades de inicio de sesión sospechoso que dan lugar a actividades de inicio de sesión correcto, ya que pueden representar verdaderos riesgos.

    El robo de identidad es una fuente clave de peligro y supone un vector de amenaza importante para su organización. Nuestros alertas de detecciones de viajes imposibles, actividad de direcciones IP sospechosas y país o región poco frecuentes le ayudan a detectar actividades que sugieren que una cuenta podría estar en peligro.

  3. Ajuste la sensibilidad del viaje imposibleConfigure el control de sensibilidad que determina el nivel de supresiones aplicadas al comportamiento anómalo antes de desencadenar una alerta de viaje imposible. Por ejemplo, las organizaciones interesadas en la alta fidelidad deben considerar la posibilidad de aumentar el nivel de sensibilidad. Por otro lado, si su organización tiene muchos usuarios que viajan, considere la posibilidad de reducir el nivel de sensibilidad para suprimir las actividades de las ubicaciones comunes de un usuario aprendidas de las actividades anteriores. Se puede elegir entre los siguientes niveles de sensibilidad:

    • Bajo: eliminaciones de sistema, inquilino y usuario
    • Medio: eliminaciones de sistema y de usuario
    • Alto: solo eliminaciones de sistema

    Donde:

    Tipo de eliminación Descripción
    Sistema Detecciones integradas que siempre se eliminan.
    Inquilino Actividades comunes basadas en la actividad anterior en el inquilino. Por ejemplo, las actividades de eliminación de un ISP por las que se había activado una alerta anteriormente en la organización.
    User Actividades comunes basadas en la actividad anterior del usuario específico. Por ejemplo, las actividades de eliminación de una ubicación que el usuario usa habitualmente.

Fase 3: Ajuste de las directivas de detección de anomalías de Cloud Discovery

Al igual que las directivas de detección de anomalías, hay varias directivas integradas de detección de anomalías de Cloud Discovery que puede ajustar. Por ejemplo, la directiva Filtración de datos a aplicaciones no autorizadas le alerta cuando los datos se filtran a una aplicación no autorizada y está preconfigurada con la configuración basada en la experiencia de Microsoft en el campo de seguridad.

Sin embargo, puede ajustar las directivas integradas o crear sus propias directivas para ayudarle a identificar otros escenarios que puede interesarle investigar. Dado que estas directivas se basan en los registros de Cloud Discovery, tienen diferentes funcionalidades de ajuste más centradas en el comportamiento anómalo de la aplicación y la filtración de datos.

  1. Ajuste de la supervisión de la utilización
    Establezca los filtros de utilización para controlar la línea base, el ámbito y el periodo de actividad para detectar un comportamiento anómalo. Por ejemplo, es posible que quiera recibir alertas de actividades anómalas relacionadas con los empleados de nivel ejecutivo.

  2. Ajuste de la confidencialidad de las alertas
    Para evitar la fatiga de las alertas, configure la sensibilidad de las alertas. Puede usar el control de sensibilidad para controlar el número de alertas de alto riesgo enviadas por cada 1000 usuarios por semana. Las sensibilidades más altas requieren menos varianza para considerarse una anomalía y generar más alertas. En general, establezca una baja sensibilidad para los usuarios que no tienen acceso a datos confidenciales.

Fase 4: Ajuste de las directivas de detección basada en reglas (actividad)

Las directivas de detección basadas en reglas permiten complementar las directivas de detección de anomalías con requisitos específicos de la organización. Se recomienda crear directivas basadas en reglas mediante una de nuestras plantillas de directiva de actividad (vaya a Control>Plantillas y establezca el filtro Tipo en Directiva de actividad) y, a continuación, configurarlas para detectar comportamientos que no son normales para su entorno. Por ejemplo, para algunas organizaciones que no tienen presencia en un país o región concretos, puede tener sentido crear una directiva que detecte las actividades anómalas de ese país o región y cree alertas sobre ellas. Para otros, que tienen grandes sucursales en ese país o región, las actividades de ese país o región serían normales y no tendría sentido detectar dichas actividades.

  1. Ajuste del volumen de actividad
    Elija el volumen de actividad necesario antes de que la detección genere una alerta. Con nuestro ejemplo de país o región, si no tiene presencia en un país o región, incluso una sola actividad es significativa y garantiza una alerta. Sin embargo, un error de inicio de sesión único podría ser un error humano y solo sería interesante si hay muchos errores en un breve periodo.
  2. Ajuste de los filtros de actividad
    Establezca los filtros que necesita para detectar el tipo de actividad sobre el que desea crear alertas. Por ejemplo, para detectar la actividad de un país o región, use el parámetro Ubicación.
  3. Ajuste de alertas
    Para evitar la fatiga de las alertas, establezca el límite diario de alertas.

Fase 5: Configuración de alertas

Nota:

Desde el 15 de diciembre de 2022, las alertas/SMS (mensajes de texto) han quedado en desuso. Si desea recibir alertas de texto, debe usar Microsoft Power Automate para la automatización de alertas personalizada. Para obtener más información, consulte Integración con Microsoft Power Automate para la automatización de alertas personalizada.

Puede optar por recibir alertas en el formato y el medio que más se adapte a sus necesidades. Para recibir alertas inmediatas en cualquier momento del día, puede que prefiera recibirlas por correo electrónico.

Es posible que también desee la capacidad de analizar alertas en el contexto de otras alertas desencadenadas por otros productos de su organización para proporcionarle una vista holística de una posible amenaza. Por ejemplo, puede que desee poner en correlación eventos locales y basados en la nube para ver si hay más pruebas de mitigación que puedan confirmar un ataque.

Además, también puede desencadenar la automatización de alertas personalizadas mediante nuestra integración con Microsoft Power Automate. Por ejemplo, puede configurar un cuaderno de estrategias para crear automáticamente un problema en ServiceNow o enviar un correo electrónico de aprobación para ejecutar una acción de gobernanza personalizada cuando se desencadene una alerta.

Siga estas instrucciones para configurar las alertas:

  1. Correo electrónico
    Elija esta opción para recibir alertas por correo electrónico.
  2. SIEM
    Hay varias opciones de integración de SIEM, como Microsoft Sentinel, la API Microsoft Graph Security y otros SIEM genéricos. Elija la integración que mejor cumpla sus requisitos.
  3. Automatización de Power Automate
    Cree los cuadernos de estrategias de automatización que necesite y establézcalos como alerta de la directiva en la acción de Power Automate.

Fase 6: Investigación y corrección

Genial, ha configurado las directivas y empieza a recibir alertas de actividad sospechosas. ¿Qué debería hacer al respecto? Para empezar, debe seguir los pasos necesarios para investigar la actividad. Por ejemplo, puede que quiera buscar actividades que indiquen que un usuario se ha puesto en peligro.

Para optimizar la protección, debe considerar la posibilidad de configurar acciones de corrección automática para minimizar el riesgo para su organización. Nuestras directivas le permiten aplicar acciones de gobernanza junto con las alertas para que el riesgo para su organización se reduzca incluso antes de empezar a investigar. Las acciones disponibles se determinan mediante el tipo de directiva, incluidas las acciones como suspender un usuario o bloquear el acceso al recurso solicitado.

Si tiene algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.

Saber más