Identificación de amenazas avanzadas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Azure SentinelIdentify advanced threats with User and Entity Behavior Analytics (UEBA) in Azure Sentinel

Importante

  • Las características de UEBA y de las páginas de entidad ahora están en disponibilidad general en todas las zonas geográficas y regiones de Azure Sentinel.The UEBA and Entity Pages features are now in General Availability in all Azure Sentinel geographies and regions.

¿Qué es el Análisis de comportamiento de usuarios y entidades (UEBA)?What is User and Entity Behavior Analytics (UEBA)?

ConceptoThe concept

La identificación de amenazas dentro de su organización y de su posible impacto, tanto si se trata de una entidad en peligro como de un usuario interno malintencionado, siempre ha sido un proceso que requiere mucho tiempo y trabajo.Identifying threats inside your organization and their potential impact - whether a compromised entity or a malicious insider - has always been a time-consuming and labor-intensive process. Examinar las alertas, unir los puntos y buscar de manera activa, en su conjunto, obligan a invertir una gran cantidad de tiempo y esfuerzo para obtener un retorno mínimo, y la posibilidad de que las amenazas sofisticadas simplemente eludan la detección.Sifting through alerts, connecting the dots, and active hunting all add up to massive amounts of time and effort expended with minimal returns, and the possibility of sophisticated threats simply evading discovery. En particular, las amenazas esquivas, como las amenazas persistentes avanzadas, dirigidas y de día cero, pueden ser las más peligrosas para su organización, lo que hace que su detección sea sumamente importante.Particularly elusive threats like zero-day, targeted, and advanced persistent threats can be the most dangerous to your organization, making their detection all the more critical.

La funcionalidad UEBA en Azure Sentinel elimina el trabajo monótono y aburrido de las cargas de trabajo de los analistas y la incertidumbre de sus esfuerzos, y ofrece inteligencia de alta fidelidad y accionable, para que puedan centrarse en la investigación y la corrección.The UEBA capability in Azure Sentinel eliminates the drudgery from your analysts’ workloads and the uncertainty from their efforts, and delivers high-fidelity, actionable intelligence, so they can focus on investigation and remediation.

A medida que Azure Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de línea de base de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a lo largo del tiempo y del horizonte del grupo de homólogos.As Azure Sentinel collects logs and alerts from all of its connected data sources, it analyzes them and builds baseline behavioral profiles of your organization’s entities (such as users, hosts, IP addresses, and applications) across time and peer group horizon. A través de diversas técnicas y funcionalidades de aprendizaje automático, Azure Sentinel puede identificar actividades anómalas y ayudarle a determinar si un recurso se ha puesto en peligro.Using a variety of techniques and machine learning capabilities, Azure Sentinel can then identify anomalous activity and help you determine if an asset has been compromised. No solo eso, sino que también puede averiguar la sensibilidad relativa de los recursos concretos, identificar los grupos de homólogos y evaluar el impacto potencial de cualquier recurso en peligro determinado (su "radio de la explosión").Not only that, but it can also figure out the relative sensitivity of particular assets, identify peer groups of assets, and evaluate the potential impact of any given compromised asset (its “blast radius”). Gracias a esta información, puede priorizar la investigación y el tratamiento de incidentes de manera eficaz.Armed with this information, you can effectively prioritize your investigation and incident handling.

Información general sobre la arquitecturaArchitecture overview

Arquitectura de análisis de comportamiento de entidades

Análisis controlado por seguridadSecurity-driven analytics

Basado en el paradigma de Gartner para las soluciones UEBA, Azure Sentinel proporciona un enfoque "outside-in", que se basa en tres marcos de referencia:Inspired by Gartner’s paradigm for UEBA solutions, Azure Sentinel provides an "outside-in" approach, based on three frames of reference:

  • Casos de uso: al priorizar los escenarios y vectores de ataque pertinentes según la investigación de seguridad, alineada con el marco de tácticas, técnicas y subtécnicas de MITRE ATT&CK, que coloca varias entidades como víctimas, autores o puntos de pivote en la cadena de eliminación; Azure Sentinel se centra específicamente en los registros más valiosos que puede proporcionar cada origen de datos.Use cases: By prioritizing for relevant attack vectors and scenarios based on security research aligned with the MITRE ATT&CK framework of tactics, techniques, and sub-techniques that puts various entities as victims, perpetrators, or pivot points in the kill chain; Azure Sentinel focuses specifically on the most valuable logs each data source can provide.

  • Orígenes de datos: Si bien ante todo se admiten orígenes de datos de Azure, Azure Sentinel selecciona cuidadosamente los orígenes de datos de terceros para proporcionar datos que coincidan con nuestros escenarios de amenazas.Data Sources: While first and foremost supporting Azure data sources, Azure Sentinel thoughtfully selects third-party data sources to provide data that matches our threat scenarios.

  • Análisis: a través de varios algoritmos de aprendizaje automático (ML), Azure Sentinel identifica las actividades anómalas y presenta las pruebas de manera clara y concisa en forma de enriquecimientos contextuales, algunos ejemplos de los cuales aparecen a continuación.Analytics: Using various machine learning (ML) algorithms, Azure Sentinel identifies anomalous activities and presents evidence clearly and concisely in the form of contextual enrichments, some examples of which appear below.

    Enfoque "outside-in" para el análisis del comportamiento

Azure Sentinel presenta artefactos que ayudan a los analistas de seguridad a comprender claramente las actividades anómalas en su contexto y en comparación con el perfil de línea base del usuario.Azure Sentinel presents artifacts that help your security analysts get a clear understanding of anomalous activities in context, and in comparison with the user's baseline profile. Las acciones realizadas por un usuario (o un host o una dirección) se evalúan en contexto, donde un resultado "verdadero" indica una anomalía identificada:Actions performed by a user (or a host, or an address) are evaluated contextually, where a "true" outcome indicates an identified anomaly:

  • entre ubicaciones geográficas, dispositivos y entornos;across geographical locations, devices, and environments.

  • entre los horizontes de tiempo y frecuencia (en comparación con el propio historial del usuario);across time and frequency horizons (compared to user's own history).

  • en comparación con el comportamiento de homólogos;as compared to peers' behavior.

  • en comparación con el comportamiento de la organización.as compared to organization's behavior.

    Contexto de la entidad

PuntuacionesScoring

Cada actividad se puntúa con una "puntuación de prioridad de la investigación", que determina la probabilidad de que un usuario específico realice una actividad específica, en función del aprendizaje del comportamiento del usuario y de sus homólogos.Each activity is scored with “Investigation Priority Score” – which determine the probability of a specific user performing a specific activity, based on behavioral learning of the user and their peers. Las actividades identificadas como las más anómalas reciben las puntuaciones más altas (en una escala del 0 al 10).Activities identified as the most abnormal receive the highest scores (on a scale of 0-10).

Consulte cómo se usa el análisis de comportamiento en Microsoft Cloud App Security para ver un ejemplo de cómo funciona.See how behavior analytics is used in Microsoft Cloud App Security for an example of how this works.

Entidades en Azure SentinelEntities in Azure Sentinel

Identificadores de entidadEntity identifiers

Cuando se envían alertas a Azure Sentinel, incluyen elementos de datos que Azure Sentinel identifica y clasifica como entidades, como las cuentas de usuario, los hosts y las direcciones IP, entre otras.When alerts are sent to Azure Sentinel, they include data elements that Azure Sentinel identifies and classifies as entities, such as user accounts, hosts, IP addresses and others. En ocasiones, esta identificación supone un reto si la alerta no contiene información suficiente sobre la entidad.On occasion, this identification can be a challenge, if the alert does not contain sufficient information about the entity.

Por ejemplo, las cuentas de usuario se pueden identificar de varias maneras: mediante el identificador único (GUID) de una cuenta de Azure AD o el valor de su nombre principal de usuario (UPN), o bien, mediante una combinación del nombre de usuario y el nombre de dominio NT.For example, user accounts can be identified in more than one way: using an Azure AD account’s numeric identifier (GUID), or its User Principal Name (UPN) value, or alternatively, using a combination of its username and its NT domain name. Distintos orígenes de datos pueden identificar al mismo usuario de maneras diferentes.Different data sources can identify the same user in different ways. Por lo tanto, siempre que sea posible, Azure Sentinel combina esos identificadores en una sola entidad para que se pueda identificar correctamente.Therefore, whenever possible, Azure Sentinel merges those identifiers into a single entity, so that it can be properly identified.

Sin embargo, puede suceder que uno de los proveedores de recursos cree una alerta en la que una entidad no esté lo suficientemente identificada (por ejemplo, un nombre de usuario sin contexto de nombre de dominio).It can happen, though, that one of your resource providers creates an alert in which an entity is not sufficiently identified - for example, a user name without the domain name context. En este caso, la entidad de usuario no se puede combinar con otras instancias de la misma cuenta de usuario, que se identificaría como entidad independiente, y esas dos entidades permanecerían independientes en lugar de unificarse.In such a case, the user entity cannot be merged with other instances of the same user account, which would be identified as a separate entity, and those two entities would remain separate instead of unified.

Con el fin de minimizar el riesgo de que esto suceda, debe comprobar que todos los proveedores de alertas identifican correctamente las entidades en las alertas que producen.In order to minimize the risk of this happening, you should verify that all of your alert providers properly identify the entities in the alerts they produce. Además, la sincronización de entidades de cuenta de usuario con Azure Active Directory puede crear un directorio unificador que podrá combinar entidades de cuenta de usuario.Additionally, synchronizing user account entities with Azure Active Directory may create a unifying directory, which will be able to merge user account entities.

En Azure Sentinel se identifican actualmente los siguientes tipos de entidades:The following types of entities are currently identified in Azure Sentinel:

  • Cuenta de usuario (Account)User account (Account)
  • HostHost
  • Dirección IP (IP)IP address (IP)
  • MalwareMalware
  • ArchivoFile
  • ProcesoProcess
  • Aplicación en la nube (CloudApplication)Cloud application (CloudApplication)
  • Nombre de dominio (DNS)Domain name (DNS)
  • Recurso de AzureAzure resource
  • Archivo (FileHash)File (FileHash)
  • Clave del RegistroRegistry key
  • Valor del RegistroRegistry value
  • Grupo de seguridadSecurity group
  • Dirección URLURL
  • Dispositivo IoTIoT device
  • MailboxMailbox
  • Clúster de correoMail cluster
  • Mensaje de correoMail message
  • Correo de envíoSubmission mail

Páginas de entidadEntity pages

Cuando se encuentra cualquier entidad (actualmente limitada a usuarios y hosts) en una búsqueda, una alerta o una investigación, puede seleccionar la entidad y llevarla a una página de entidad, una hoja de datos llena de información útil sobre esa entidad.When you encounter any entity (currently limited to users and hosts) in a search, an alert, or an investigation, you can select the entity and be taken to an entity page, a datasheet full of useful information about that entity. Entre los tipos de información que encontrará en esta página se incluyen datos básicos sobre la entidad, una escala de tiempo de eventos importantes relacionados con esta entidad y conclusiones sobre el comportamiento de la entidad.The types of information you will find on this page include basic facts about the entity, a timeline of notable events related to this entity and insights about the entity's behavior.

Las páginas de entidad constan de tres partes:Entity pages consist of three parts:

  • El panel de la izquierda contiene la información de identificación de la entidad, recopilada de los orígenes de datos, como Azure Active Directory, Azure Monitor, Azure Security Center y Microsoft Defender.The left-side panel contains the entity's identifying information, collected from data sources like Azure Active Directory, Azure Monitor, Azure Security Center, and Microsoft Defender.

  • En el panel central se muestra una escala de tiempo gráfica y textual de eventos importantes relacionados con la entidad, como alertas, marcadores y actividades.The center panel shows a graphical and textual timeline of notable events related to the entity, such as alerts, bookmarks, and activities. Las actividades son agregaciones de eventos importantes desde Log Analytics.Activities are aggregations of notable events from Log Analytics. Los equipos de investigación de seguridad de Microsoft desarrollan las consultas que detectan esas actividades.The queries that detect those activities are developed by Microsoft security research teams.

  • En el panel derecho se muestran conclusiones de comportamiento sobre la entidad.The right-side panel presents behavioral insights on the entity. Estas conclusiones ayudan a detectar rápidamente las anomalías y las amenazas de seguridad.These insights help to quickly identify anomalies and security threats. Los equipos de investigación de seguridad de Microsoft desarrollan las conclusiones, que se basan en los modelos de detección de anomalías.The insights are developed by Microsoft security research teams, and are based on anomaly detection models.

Escala de tiempoThe timeline

Escala de tiempo de las páginas de entidad

La escala de tiempo es una parte importante de la contribución de la página de entidad al análisis del comportamiento en Azure Sentinel.The timeline is a major part of the entity page's contribution to behavior analytics in Azure Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.It presents a story about entity-related events, helping you understand the entity's activity within a specific time frame.

Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como últimas 24 horas) o establecerlo en cualquier período de tiempo definido de forma personalizada.You can choose the time range from among several preset options (such as last 24 hours), or set it to any custom-defined time frame. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.Additionally, you can set filters that limit the information in the timeline to specific types of events or alerts.

En la escala de tiempo se incluyen los siguientes tipos de elementos:The following types of items are included in the timeline:

  • Alertas: alertas en las que la entidad se define como entidad asignada.Alerts - any alerts in which the entity is defined as a mapped entity. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realice correctamente.Note that if your organization has created custom alerts using analytics rules, you should make sure that the rules' entity mapping is done properly.

  • Marcadores: marcadores que incluyen la entidad específica que se muestra en la página.Bookmarks - any bookmarks that include the specific entity shown on the page.

  • Actividades: agregación de eventos importantes relacionados con la entidad.Activities - aggregation of notable events relating to the entity.

Conclusiones sobre la entidadEntity Insights

Las conclusiones sobre la entidad son consultas definidas por los investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de manera más eficiente y eficaz.Entity insights are queries defined by Microsoft security researchers to help your analysts investigate more efficiently and effectively. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre los hosts y los usuarios, en forma de gráficos y datos tabulares.The insights are presented as part of the entity page, and provide valuable security information on hosts and users, in the form of tabular data and charts. Disponer aquí de la información significa que no tiene que desplazarse a Log Analytics.Having the information here means you don't have to detour to Log Analytics. Las conclusiones incluyen datos sobre inicios de sesión, adiciones a grupos, eventos anómalos, etc., e incluyen algoritmos avanzados de aprendizaje automático para detectar comportamientos anómalos.The insights include data regarding Sign-Ins, Group Additions, Anomalous Events and more, and include advanced ML algorithms to detect anomalous behavior. Las conclusiones se basan en los siguientes tipos de datos:The insights are based on the following data types:

  • syslogSyslog
  • SecurityEventSecurityEvent
  • Registros de auditoríaAudit Logs
  • Registros de inicio de sesiónSign-in Logs
  • Actividad de OfficeOffice Activity
  • BehaviorAnalytics (UEBA)BehaviorAnalytics (UEBA)

Cómo usar páginas de entidadHow to use entity pages

Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el gráfico de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Análisis de comportamiento de entidades en el menú principal de Azure Sentinel.Entity pages are designed to be part of multiple usage scenarios, and can be accessed from incident management, the investigation graph, bookmarks, or directly from the entity search page under Entity behavior analytics in the Azure Sentinel main menu.

Casos de uso de páginas de entidad

Esquema de datosData schema

Tabla de análisis de comportamientoBehavior analytics table

CampoField DescripciónDescription
TenantIdTenantId Número de id. único del inquilinounique ID number of the tenant
SourceRecordIdSourceRecordId Número de id. único del evento de EBAunique ID number of the EBA event
TimeGeneratedTimeGenerated Marca de tiempo de la repetición de la actividadtimestamp of the activity's occurrence
TimeProcessedTimeProcessed Marca de tiempo del procesamiento de la actividad por parte del motor de EBAtimestamp of the activity's processing by the EBA engine
ActivityTypeActivityType Categoría de alto nivel de la actividadhigh-level category of the activity
ActionTypeActionType Nombre normalizado de la actividadnormalized name of the activity
UserNameUserName Nombre de usuario del usuario que inició la actividadusername of the user that initiated the activity
UserPrincipalNameUserPrincipalName Nombre de usuario completo del usuario que inició la actividadfull username of the user that initiated the activity
EventSourceEventSource Origen de datos que proporcionó el evento originaldata source that provided the original event
SourceIPAddressSourceIPAddress Dirección IP desde la que se inició la actividadIP address from which activity was initiated
SourceIPLocationSourceIPLocation País desde el que se inició la actividad, enriquecido a partir de la dirección IPcountry from which activity was initiated, enriched from IP address
SourceDeviceSourceDevice Nombre de host del dispositivo que inició la actividadhostname of the device that initiated the activity
DestinationIPAddressDestinationIPAddress Dirección IP del destino de la actividadIP address of the target of the activity
DestinationIPLocationDestinationIPLocation País del destino de la actividad, enriquecido a partir de la dirección IPcountry of the target of the activity, enriched from IP address
DestinationDeviceDestinationDevice Nombre del dispositivo de destinoname of the target device
UsersInsightsUsersInsights Enriquecimientos contextuales de usuarios implicadoscontextual enrichments of involved users
DevicesInsightsDevicesInsights Enriquecimientos contextuales de dispositivos implicadoscontextual enrichments of involved devices
ActivityInsightsActivityInsights Análisis contextual de la actividad basada en la generación de perfilescontextual analysis of activity based on our profiling
InvestigationPriorityInvestigationPriority Puntuación de anomalías, entre 0 y 10 (0=benigno, 10=muy anómalo)anomaly score, between 0-10 (0=benign, 10=highly anomalous)

Puede ver el conjunto completo de características enriquecidas contextuales a las que se hace referencia en la información de usuarios, dispositivos y actividades en el documento de referencia de características enriquecidas con UEBA.You can see the full set of contextual enrichments referenced in UsersInsights, DevicesInsights, and ActivityInsights in the UEBA enrichments reference document.

Consulta de datos de análisis de comportamientoQuerying behavior analytics data

Mediante KQL, se puede consultar la tabla de análisis de comportamiento.Using KQL, we can query the Behavioral Analytics Table.

Por ejemplo, si queremos encontrar todos los casos en los que un usuario no pudo iniciar sesión en un recurso de Azure, donde era el primer intento de conexión del usuario desde un país determinado, y las conexiones desde ese país son poco frecuentes incluso para los homólogos de ese usuario, podemos usar la siguiente consulta:For example – if we want to find all the cases of a user that failed to sign in to an Azure resource, where it was the user's first attempt to connect from a given country, and connections from that country are uncommon even for the user's peers, we can use the following query:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where FirstTimeUserConnectedFromCountry == True
| where CountryUncommonlyConnectedFromAmongPeers == True

Metadatos de homólogos del usuario: tabla y cuadernoUser peers metadata - table and notebook

Los metadatos de los homólogos del usuario proporcionan un contexto importante en las detecciones de amenazas, en la investigación de un incidente y en la búsqueda de una amenaza potencial.User peers' metadata provides important context in threat detections, in investigating an incident, and in hunting for a potential threat. Los analistas de seguridad pueden observar las actividades normales de los homólogos del usuario para determinar si las actividades del usuario son inusuales en comparación con las de sus homólogos.Security analysts can observe the normal activities of a user's peers to determine if the user's activities are unusual as compared to those of his or her peers.

Azure Sentinel calcula y clasifica los homólogos de un usuario en función de la pertenencia a grupos de seguridad de Azure AD del usuario, la lista de distribución de correo, etc., y almacena los homólogos clasificados de 1 a 20 en la tabla UserPeerAnalytics.Azure Sentinel calculates and ranks a user's peers, based on the user’s Azure AD security group membership, mailing list, et cetera, and stores the peers ranked 1-20 in the UserPeerAnalytics table. En la captura de pantalla siguiente se muestra el esquema de la tabla UserPeerAnalytics, y se muestran los ocho homólogos mejor clasificados del usuario Kendall Collins.The screenshot below shows the schema of the UserPeerAnalytics table, and displays the top eight-ranked peers of the user Kendall Collins. Azure Sentinel usa el algoritmo TF-IDF ( frecuencia de término – frecuencia inversa de documento) para normalizar la ponderación para calcular la clasificación: cuanto menor sea el grupo, mayor será la ponderación.Azure Sentinel uses the term frequency-inverse document frequency (TF-IDF) algorithm to normalize the weighing for calculating the rank: the smaller the group, the higher the weight.

Captura de pantalla de la tabla de metadatos de homólogos del usuario

Puede usar el cuaderno de Jupyter Notebook proporcionado en el repositorio de GitHub de Azure Sentinel para visualizar los metadatos de los homólogos del usuario.You can use the Jupyter notebook provided in the Azure Sentinel GitHub repository to visualize the user peers metadata. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.For detailed instructions on how to use the notebook, see the Guided Analysis - User Security Metadata notebook.

Análisis de permisos: tabla y cuadernoPermission analytics - table and notebook

El análisis de permisos ayuda a determinar el impacto potencial de que un atacante ponga en peligro un recurso de la organización.Permission analytics helps determine the potential impact of the compromising of an organizational asset by an attacker. Este impacto también se conoce como "radio de explosión" del recurso.This impact is also known as the asset's "blast radius." Los analistas de seguridad pueden usar esta información para clasificar las investigaciones y el control de incidentes.Security analysts can use this information to prioritize investigations and incident handling.

Azure Sentinel determina los derechos de acceso directo y transitivo que mantiene un usuario determinado en los recursos de Azure, mediante la evaluación de las suscripciones de Azure a las que el usuario puede tener acceso directamente o a través de grupos o entidades de servicio.Azure Sentinel determines the direct and transitive access rights held by a given user to Azure resources, by evaluating the Azure subscriptions the user can access directly or via groups or service principals. Esta información, así como la lista completa de la pertenencia a grupos de seguridad Azure AD del usuario, se almacena en la tabla UserAccessAnalytics.This information, as well as the full list of the user's Azure AD security group membership, is then stored in the UserAccessAnalytics table. En la captura de pantalla siguiente se muestra una fila de ejemplo de la tabla UserAccessAnalytics para el usuario Alex Johnson.The screenshot below shows a sample row in the UserAccessAnalytics table, for the user Alex Johnson. La entidad de origen es la cuenta de usuario o de entidad de servicio, y la entidad de destino es el recurso al que tiene acceso la entidad de origen.Source entity is the user or service principal account, and target entity is the resource that the source entity has access to. Los valores de nivel de acceso y tipo de acceso dependen del modelo de control de acceso de la entidad de destino.The values of access level and access type depend on the access-control model of the target entity. Puede ver que Alex tiene acceso de colaborador a la suscripción de Azure Contoso Hotels Tenant.You can see that Alex has Contributor access to the Azure subscription Contoso Hotels Tenant. El modelo de control de acceso de la suscripción es Azure RBAC.The access control model of the subscription is Azure RBAC.

Captura de pantalla de la tabla de análisis de acceso de usuario

Puede usar el cuaderno de Jupyter Notebook (el mismo cuaderno mencionado anteriormente) del repositorio de GitHub de Azure Sentinel para visualizar los datos de análisis de permisos.You can use the Jupyter notebook (the same notebook mentioned above) from the Azure Sentinel GitHub repository to visualize the permission analytics data. Para obtener instrucciones detalladas sobre cómo usar el cuaderno, consulte el cuaderno Análisis guiado: metadatos de seguridad de usuario.For detailed instructions on how to use the notebook, see the Guided Analysis - User Security Metadata notebook.

Consultas de búsqueda y consultas de exploraciónHunting queries and exploration queries

Azure Sentinel proporciona de serie un conjunto de consultas de búsqueda, consultas de exploración y un libro, en función de la tabla BehaviorAnalytics.Azure Sentinel provides out-of-the-box a set of hunting queries, exploration queries, and a workbook, based on the BehaviorAnalytics table. Estas herramientas presentan datos enriquecidos, centrados en casos de uso específicos, que indican un comportamiento anómalo.These tools present enriched data, focused on specific use cases, that indicate anomalous behavior.

Obtenga más información sobre la búsqueda y el gráfico de investigación en Azure Sentinel.Learn more about hunting and the investigation graph in Azure Sentinel.

Pasos siguientesNext steps

En este documento, ha aprendido acerca de las funcionalidades de análisis de comportamiento de entidades de Azure Sentinel.In this document, you learned about Azure Sentinel's entity behavior analytics capabilities. Para obtener instrucciones prácticas sobre la implementación y para usar las conclusiones obtenidas, consulte los siguientes artículos:For practical guidance on implementation, and to use the insights you've gained, see the following articles: