Los equipos de seguridad se enfrentan hoy a un desafío abrumador: cada punto de datos es ahora una posible señal de seguridad y los SOCs están abrumados por logs complejos, tratando de encontrar la aguja en el pajar. Microsoft Sentinel User and Entity Behavior Analytics (UEBA) aporta el poder de la IA para detectar automáticamente comportamientos anómalos, ayudando a los analistas a filtrar el ruido, ahorrar tiempo y centrarse en lo que realmente importa.
La UEBA de Microsoft Sentinel ya ha ayudado a los SOCs a descubrir amenazas internas, detectar cuentas comprometidas y revelar señales de ataque sutiles que los métodos tradicionales basados en reglas suelen pasar por alto. Estas capacidades estaban previamente habilitadas por un conjunto básico de fuentes de datos de alto valor, como la actividad de inicio de sesión, logs de auditoría y señales de identidad, que proporcionaban contexto enriquecido y detecciones precisas.
Microsoft anuncia una gran expansión: la UEBA de Sentinel ahora admite seis nuevas fuentes de datos, incluyendo plataformas propias y de terceros de Microsoft como Azure, AWS, GCP y Okta, ofreciendo mayor visibilidad, contexto más amplio y detección de anomalías más poderosa, adaptada a tu entorno. Esto no se trata solo de ingresar más logs, sino de transformar la manera en que los SOCs entienden el comportamiento, detectan amenazas y priorizan la respuesta.
Con esta evolución, los analistas obtienen una visión unificada y multiplataforma del comportamiento de usuarios y entidades, permitiéndoles correlacionar señales, descubrir riesgos ocultos y actuar más rápido con mayor confianza.
Nuevas fuentes de datos diseñadas para casos de uso reales de seguridad:
Actividades de autenticación
- MDE DeviceLogonEvents – Ideal para detectar movimientos laterales y accesos inusuales.
- AADManagedIdentitySignInLogs – Fundamental para detectar el abuso sigiloso de identidades no humanas.
- AADServicePrincipalSignInLogs – Identifica anomalías en el uso de service principals, como robo de tokens o automatizaciones sobreprivilegiadas.
Plataformas en la nube y gestión de identidades
- AWS CloudTrail Login Events – Expone actividades riesgosas en cuentas AWS basadas en los eventos de AWS CloudTrail ConsoleLogin y atributos relacionados con el inicio de sesión.
- GCP Audit Logs – Failed IAM Access – Captura intentos de acceso denegados que indican reconocimiento, fuerza bruta o uso indebido de privilegios en GCP.
- Okta MFA & Auth Security Change Events – Señala desafíos MFA, restablecimientos y modificaciones de políticas que podrían revelar fatiga MFA, secuestro de sesión o manipulación de políticas (actualmente soporta la tabla Okta_CL, integración unificada de Okta próximamente).
Estas fuentes alimentan directamente los perfiles y líneas base de entidades de UEBA, enriqueciendo usuarios, dispositivos e identidades de servicio con contexto y anomalías de comportamiento, que de otro modo estarían fragmentadas en distintas plataformas. Esto complementa las fuentes de logs ya soportadas: logs de inicio de sesión de Entra ID, logs de actividad de Azure y eventos de seguridad de Windows. Gracias al esquema unificado entre fuentes de datos, UEBA habilita la investigación avanzada y la capacidad de correlacionar insights, anomalías e identidades o dispositivos multiplataforma.
UEBA potenciado por IA que entiende tu entorno
Microsoft Sentinel UEBA va más allá de la simple recolección de logs — aprende continuamente de tu entorno. Mediante modelos de IA entrenados con los datos de comportamiento de tu organización, UEBA construye líneas base dinámicas y grupos de pares, permitiendo detectar actividades verdaderamente anómalas. La UBEA construye líneas base desde 10 días (para actividades poco comunes) hasta 6 meses, tanto del usuario como de sus pares calculados dinámicamente. Luego, los insights se muestran sobre actividades/logs, como una actividad poco común o primera vez, tanto para el usuario como entre sus pares. Esos insights son utilizados por un modelo de IA avanzado para identificar anomalías de alta confianza. Así, si un usuario inicia sesión por primera vez desde una ubicación poco común (un patrón común en entornos con proveedores globales), esto no se marcará como anomalía, reduciendo el ruido. Sin embargo, en un entorno altamente controlado, este mismo comportamiento puede indicar un ataque y se mostrará en la tabla de Anomalías. Incluir esas señales en detecciones personalizadas puede afectar la severidad de una alerta. Así, mientras se mantiene la lógica, el SOC se enfoca en las prioridades correctas.
Cómo usar UEBA para el máximo impacto
Los equipos de seguridad pueden aprovechar la UEBA de varias formas clave. Todos los ejemplos a continuación aprovechan las líneas base dinámicas de UEBA hasta 6 meses atrás. Los equipos también pueden usar las consultas de hunting de la solución «UEBA essentials» en el Content Hub de Microsoft Sentinel.
Análisis de comportamiento: Detecta horas de inicio de sesión inusuales, fatiga MFA o mal uso de service principals en entornos híbridos. Obtén visibilidad sobre la geolocalización de los eventos e insights de inteligencia de amenazas. Ejemplo de cómo descubrir cuentas autenticadas sin MFA y desde países poco comunes usando la tabla behaviorAnalytics de UEBA:
BehaviorAnalytics
| where TimeGenerated > ago(7d)
| where EventSource == "AwsConsoleSignIn"
| where ActionType == "ConsoleLogin" and ActivityType == "signin.amazonaws.com"
| where ActivityInsights.IsMfaUsed == "No"
| where ActivityInsights.CountryUncommonlyConnectedFromInTenant == True
| evaluate bag_unpack(UsersInsights, "AWS_")
| where InvestigationPriority > 0 // Filtrar ruido - descomenta si deseas ver ruido de baja fidelidad
| project TimeGenerated, _WorkspaceId, ActionType, ActivityType, InvestigationPriority, SourceIPAddress, SourceIPLocation, AWS_UserIdentityType, AWS_UserIdentityAccountId, AWS_UserIdentityArn
Detección de anomalías: Identifica movimientos laterales, reactivación de cuentas inactivas o intentos de fuerza bruta, incluso cuando abarcan varias plataformas en la nube. Abajo ejemplos para descubrir anomalías AWS CloudTrail vía atributos de activity insights o device insights de UEBA:
Anomalies
| where AnomalyTemplateName in (
"UEBA Anomalous Logon in AwsCloudTrail", // Anomalías AWS CloudTrail
"UEBA Anomalous MFA Failures in Okta_CL", "UEBA Anomalous Activity in Okta_CL", // Anomalías Okta
"UEBA Anomalous Activity in GCP Audit Logs", // Anomalías GCP acceso IAM fallido
"UEBA Anomalous Authentication" // Anomalías autenticación
)
| project TimeGenerated, _WorkspaceId, AnomalyTemplateName, AnomalyScore, Description, AnomalyDetails, ActivityInsights, DeviceInsights, UserInsights, Tactics, Techniques
Optimización de alertas: Utiliza señales de UEBA para ajustar dinámicamente la severidad de alertas en tus detecciones personalizadas, convirtiendo alertas ruidosas en detecciones de alta fidelidad.
Ejemplo que muestra todos los usuarios con patrones de inicio de sesión anómalo según UEBA. Unir estos resultados con alertas AWS de la misma identidad aumenta la fidelidad:
BehaviorAnalytics
| where TimeGenerated > ago(7d)
| where EventSource == "AwsConsoleSignIn"
| where ActionType == "ConsoleLogin" and ActivityType == "signin.amazonaws.com"
| where ActivityInsights.FirstTimeConnectionViaISPInTenant == True or ActivityInsights.FirstTimeUserConnectedFromCountry == True
| evaluate bag_unpack(UsersInsights, "AWS_")
| where InvestigationPriority > 0 // Filtrar ruido
| project TimeGenerated, _WorkspaceId, ActionType, ActivityType, InvestigationPriority, SourceIPAddress, SourceIPLocation, AWS_UserIdentityType, AWS_UserIdentityAccountId, AWS_UserIdentityArn, ActivityInsights
| evaluate bag_unpack(ActivityInsights)
Otro ejemplo muestra acceso anómalo a key vault desde service principal con origen poco común. Unir esta actividad a otras alertas del mismo service principal aumenta la fidelidad. También puedes unir la anomalía UEBA Anomalous Authentication con otras alertas de la misma identidad para potenciar tus detecciones con UEBA.
BehaviorAnalytics
| where TimeGenerated > ago(1d)
| where EventSource == "Authentication" and SourceSystem == "AAD"
| evaluate bag_unpack(ActivityInsights)
| where LogonMethod == "Service Principal" and Resource == "Azure Key Vault"
| where ActionUncommonlyPerformedByUser == "True" and CountryUncommonlyConnectedFromByUser == "True"
| where InvestigationPriority > 0
Reflexiones finales
Este lanzamiento marca una nueva etapa para Sentinel UEBA—unificando IA, análisis de comportamiento y visibilidad cross-cloud e identidad para ayudar a los defensores a adelantarse a las amenazas.
Si aún no has explorado UEBA, ahora es el momento. Actívalo en la configuración de tu workspace, y habilita también las anomalías (en Anomalies settings). Si ya lo usas, estas nuevas fuentes te ayudarán a desbloquear aún más valor.
