Identificación de amenazas avanzadas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
La identificación de amenazas dentro de su organización y de su posible impacto, tanto si se trata de una entidad en peligro como de un usuario interno malintencionado, siempre ha sido un proceso que requiere mucho tiempo y trabajo. Examinar las alertas, unir los puntos y buscar de manera activa, en su conjunto, obligan a invertir una gran cantidad de tiempo y esfuerzo para obtener un retorno mínimo, y la posibilidad de que las amenazas sofisticadas simplemente eludan la detección. En particular, las amenazas esquivas, como las amenazas persistentes avanzadas, dirigidas y de día cero, pueden ser las más peligrosas para su organización, lo que hace que su detección sea sumamente importante.
La funcionalidad UEBA en Microsoft Sentinel elimina el trabajo monótono y aburrido de las cargas de trabajo de los analistas y la incertidumbre de sus esfuerzos, y ofrece inteligencia de alta fidelidad y procesable, para que puedan centrarse en la investigación y la corrección.
¿Qué es el Análisis de comportamiento de usuarios y entidades (UEBA)?
A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos. A través de diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso se ha puesto en peligro. No solo eso, sino que también puede averiguar la sensibilidad relativa de los recursos concretos, identificar los grupos de homólogos y evaluar el impacto potencial de cualquier recurso en peligro determinado (su "radio de la explosión"). Gracias a esta información, puede priorizar la investigación y el tratamiento de incidentes de manera eficaz.
Arquitectura de análisis de UEBA
Análisis controlado por seguridad
Inspirado en el paradigma de Gartner para las soluciones UEBA, Microsoft Sentinel proporciona un enfoque "desde fuera hacia dentro", basado en tres marcos de referencia:
Casos de uso: al priorizar los escenarios y vectores de ataque pertinentes según la investigación de seguridad, alineada con el marco de tácticas, técnicas y subtécnicas de MITRE ATT&CK, que coloca varias entidades como víctimas, autores o puntos de pivote en la cadena de eliminación; Microsoft Sentinel se centra específicamente en los registros más valiosos que puede proporcionar cada origen de datos.
Orígenes de datos: aunque, ante todo, se admiten los orígenes de datos de Azure, Microsoft Sentinel selecciona cuidadosamente orígenes de datos de terceros para proporcionar datos que coincidan con nuestros escenarios de amenazas.
Análisis: con varios algoritmos de aprendizaje automático (ML), Microsoft Sentinel identifica actividades anómalas y presenta evidencias de forma clara y concisa como mejoras contextuales, algunos ejemplos de los cuales aparecen a continuación.
Microsoft Sentinel presenta artefactos que ayudan a los analistas de seguridad a comprender claramente las actividades anómalas en contexto y en comparación con el perfil de referencia del usuario. Las acciones realizadas por un usuario (o un host o una dirección) se evalúan en contexto, donde un resultado "verdadero" indica una anomalía identificada:
- entre ubicaciones geográficas, dispositivos y entornos;
- entre los horizontes de tiempo y frecuencia (en comparación con el propio historial del usuario);
- en comparación con el comportamiento de homólogos;
- en comparación con el comportamiento de la organización.
La información de entidad de usuario que Microsoft Sentinel usa para compilar sus perfiles de usuario procede de Azure Active Directory (o de Active Directory local, ahora en versión preliminar). Al habilitar UEBA, sincroniza Azure Active Directory con Microsoft Sentinel y almacena la información en una base de datos interna visible a través de la tabla IdentityInfo en Log Analytics.
Ahora en versión preliminar, también puede sincronizar la información de la entidad de usuario de Active Directory local mediante Microsoft Defender for Identity.
Consulte Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel para obtener información sobre cómo habilitar UEBA y sincronizar identidades de usuario.
Puntuaciones
Cada actividad se puntúa con una "puntuación de prioridad de la investigación", que determina la probabilidad de que un usuario específico realice una actividad específica, en función del aprendizaje del comportamiento del usuario y de sus homólogos. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas (en una escala del 0 al 10).
Consulte cómo se usa el análisis de comportamiento en Microsoft Defender for Cloud Apps para ver un ejemplo de cómo funciona.
Descubra más sobre las entidades en Microsoft Sentinel y vea la lista completa de las entidades e identificadores admitidos.
Páginas de entidad
La información sobre las páginas de entidad ahora se puede encontrar en Investigar entidades con páginas de entidad en Microsoft Sentinel.
Consulta de datos de análisis de comportamiento
Mediante KQL, se puede consultar la tabla de análisis de comportamiento.
Por ejemplo, si queremos encontrar todos los casos en los que un usuario no pudo iniciar sesión en un recurso de Azure, donde era el primer intento de conexión del usuario desde un país determinado, y las conexiones desde ese país son poco frecuentes incluso para los homólogos de ese usuario, podemos usar la siguiente consulta:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
Metadatos de homólogos del usuario: tabla y cuaderno
Los metadatos de los homólogos del usuario proporcionan un contexto importante en las detecciones de amenazas, en la investigación de un incidente y en la búsqueda de una amenaza potencial. Los analistas de seguridad pueden observar las actividades normales de los homólogos del usuario para determinar si las actividades del usuario son inusuales en comparación con las de sus homólogos.
Microsoft Sentinel calcula y clasifica los homólogos de un usuario en función de la pertenencia a grupos de seguridad de Azure AD del usuario, la lista de distribución de correo, etc., y almacena los homólogos clasificados de 1 a 20 en la tabla UserPeerAnalytics. En la captura de pantalla siguiente se muestra el esquema de la tabla UserPeerAnalytics, y se muestran los ocho homólogos mejor clasificados del usuario Kendall Collins. Microsoft Sentinel usa el algoritmo frecuencia de término – frecuencia inversa de documento (TF-IDF) para normalizar la ponderación para calcular la clasificación: cuanto menor sea el grupo, mayor será la ponderación.
Puede usar el cuaderno de cuaderno de Jupyter proporcionado en el repositorio de GitHub de Microsoft Sentinel para visualizar los metadatos de los homólogos del usuario. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.
Análisis de permisos: tabla y cuaderno
El análisis de permisos ayuda a determinar el impacto potencial de que un atacante ponga en peligro un recurso de la organización. Este impacto también se conoce como "radio de explosión" del recurso. Los analistas de seguridad pueden usar esta información para priorizar las investigaciones y el control de incidentes.
Microsoft Sentinel determina los derechos de acceso directo y transitivo que mantiene un usuario determinado en los recursos de Azure, mediante la evaluación de las suscripciones de Azure a las que el usuario puede tener acceso directamente o a través de grupos o entidades de servicio. Esta información, así como la lista completa de la pertenencia a grupos de seguridad Azure AD del usuario, se almacena en la tabla UserAccessAnalytics. En la captura de pantalla siguiente se muestra una fila de ejemplo de la tabla UserAccessAnalytics para el usuario Alex Johnson. La entidad de origen es la cuenta de usuario o de entidad de servicio, y la entidad de destino es el recurso al que tiene acceso la entidad de origen. Los valores de nivel de acceso y tipo de acceso dependen del modelo de control de acceso de la entidad de destino. Puede ver que Alex tiene acceso de colaborador a la suscripción de Azure Contoso Hotels Tenant. El modelo de control de acceso de la suscripción es Azure RBAC.
Puede usar el cuaderno de Jupyter (el mismo cuaderno mencionado anteriormente) del repositorio de GitHub de Microsoft Sentinel para visualizar los datos de análisis de permisos. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.
Consultas de búsqueda y consultas de exploración
Microsoft Sentinel proporciona de serie un conjunto de consultas de búsqueda, consultas de exploración y el libro Análisis de comportamiento de usuarios y entidades, que se basa en la tabla BehaviorAnalytics. Estas herramientas presentan datos enriquecidos, centrados en casos de uso específicos, que indican un comportamiento anómalo.
Para obtener más información, consulte:
A medida que las herramientas de defensa heredadas se quedan obsoletas, las organizaciones pueden tener un patrimonio digital tan amplio y poroso que resulta imposible obtener una perspectiva completa del riesgo y la posición a los que su entorno puede estar haciendo frente. Confiar principalmente en esfuerzos reactivos, como el análisis y las reglas, permite a los actores malintencionados aprender a eludir esos esfuerzos. Aquí es donde UEBA entra en juego, ya que proporciona metodologías de puntuación de riesgos y algoritmos para averiguar lo que sucede realmente.
Pasos siguientes
En este documento, ha aprendido acerca de las funcionalidades de análisis de comportamiento de entidades de Microsoft Sentinel. Para obtener instrucciones prácticas sobre la implementación y para usar las conclusiones obtenidas, consulte los siguientes artículos:
- Habilitación del análisis de comportamiento de entidades en Microsoft Sentinel.
- Consulte la lista de anomalías que detecta el motor de UEBA.
- Investigación de incidentes con datos de UEBA.
- Búsqueda de amenazas de seguridad
Para más información, consulte también Referencia de UEBA de Microsoft Sentinel.