Security

{{Microsoft Sentinel UEBA amplía detección en AWS}}

3 min de lectura

Resumen

{{Microsoft Sentinel UEBA ahora agrega análisis de comportamiento más completos para datos de AWS CloudTrail, lo que ofrece a los equipos de seguridad contexto integrado como primera geografía observada, ISP poco común, acciones inusuales y volumen anómalo de operaciones. La actualización ayuda a los defensores a detectar actividad sospechosa en AWS más rápido y reduce la necesidad de líneas base KQL complejas y enriquecimiento manual.}}

¿Necesita ayuda con Security?Hablar con un experto

{{## Introducción

Microsoft está ampliando Microsoft Sentinel UEBA para reforzar la detección de amenazas en AWS con análisis de comportamiento más completos. Para los equipos de operaciones de seguridad que administran entornos híbridos y multi-cloud, esto es importante porque los eventos de AWS CloudTrail ahora llegan con contexto integrado que puede acelerar las investigaciones y mejorar la calidad de la detección.

En lugar de depender de consultas KQL complejas, umbrales estáticos o líneas base mantenidas manualmente, los defensores pueden usar información de UEBA precalculada para identificar comportamientos sospechosos en la actividad de AWS con mayor rapidez.

Novedades en Microsoft Sentinel UEBA para AWS

Microsoft ha agregado un soporte más amplio de UEBA en fuentes de datos multi-cloud y de identidad, incluidos AWS, GCP, Okta y más registros de autenticación. En el caso específico de AWS, las mejoras clave incluyen:

  • Más enriquecimientos de comportamiento de AWS para eventos de CloudTrail en el momento de la ingesta
  • Información binaria como:
    • Primera geografía observada
    • ISP poco común
    • Acción inusual
    • Volumen anómalo de operaciones
  • Compatibilidad de la tabla BehaviorAnalytics para la actividad de AWS, con exposición de información sobre usuario, dispositivo y actividad
  • Tabla Anomalies con seis detecciones de anomalías integradas para AWS a partir de los modelos de machine learning de Microsoft
  • Integración con Defender portal para mostrar anomalías de UEBA en las páginas de entidad de usuario y en los gráficos de incidentes

Microsoft se refiere a este enfoque como binary feature stacking, donde los analistas combinan indicadores de comportamiento simples de verdadero/falso para detectar rápidamente actividad de atacantes que, de otro modo, podría mezclarse con las operaciones normales de AWS.

Por qué esto importa para los equipos de seguridad

Las investigaciones en AWS a menudo dependen de registros sin procesar de CloudTrail y lógica personalizada para determinar si un comportamiento es realmente sospechoso. Ese proceso puede consumir mucho tiempo y resultar costoso, especialmente en entornos cloud que cambian con rapidez.

Con Sentinel UEBA, los administradores y analistas obtienen:

  • Triage más rápido de las alertas de AWS
  • Menor dependencia de líneas base KQL diseñadas manualmente
  • Mejor contexto tanto para identidades humanas como no humanas
  • Detección de anomalías más coherente en entornos híbridos y multi-cloud

La actualización es especialmente útil para equipos SOC que quieren reducir la fatiga por alertas mientras mejoran la visibilidad sobre acciones riesgosas en AWS, como inicios de sesión inusuales, cambios de privilegios en IAM o agentes de usuario nunca antes vistos.

Detalles clave de implementación

El contexto de comportamiento de AWS aparece en dos tablas principales:

BehaviorAnalytics

Esta es la principal superficie de investigación para la actividad de AWS enriquecida con UEBA. Incluye campos como EventSource, ActivityType y ActionType, además de campos de información dinámica como UserInsights, DeviceInsights y ActivityInsights.

Anomalies

Esta tabla contiene las detecciones de anomalías preentrenadas de Microsoft para AWS. Los registros incluyen:

  • Asignaciones a MITRE ATT&CK
  • AnomalyScore
  • AnomalyReasons
  • Enriquecimientos de comportamiento relacionados

Qué deben hacer ahora los administradores de TI y seguridad

  • Revisar las detecciones actuales de AWS CloudTrail en Sentinel
  • Identificar reglas de análisis que dependan de lógica de línea base compleja
  • Probar los enriquecimientos de UEBA en las tablas BehaviorAnalytics y Anomalies
  • Usar los flujos de hunting en Defender portal para investigar anomalías de usuario más rápido
  • Actualizar los playbooks del SOC para aprovechar el contexto de comportamiento de AWS precalculado

Para las organizaciones que protegen AWS junto con entornos de Microsoft, esta actualización puede simplificar la ingeniería de detección y mejorar la eficiencia de respuesta.}}

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Microsoft SentinelUEBAAWSCloudTrailthreat detection

Artículos relacionados

Security

Defensa con IA de Microsoft ante amenazas emergentes

Microsoft afirma que la IA está acelerando la forma en que se detectan y explotan las vulnerabilidades, reduciendo el tiempo de respuesta de los defensores. En respuesta, la compañía está ampliando el descubrimiento de vulnerabilidades impulsado por IA, la gestión de exposición y las protecciones basadas en Defender, además de adelantar una nueva solución de escaneo multimodelo para clientes en junio de 2026.

Security

Detección de IT workers infiltrados con Defender

Microsoft ha detallado estrategias de detección para identificar actores de amenazas alineados con Corea del Norte que se hacen pasar por contrataciones remotas de IT para infiltrarse en las organizaciones. La guía se centra en correlacionar señales de HR SaaS, identidad, correo electrónico, conferencias y Microsoft 365 para que los equipos de seguridad y RR. HH. detecten candidatos sospechosos antes y después de la incorporación.

Security

Prevenir cyberattacks oportunistas: guía de Microsoft

Microsoft insta a las organizaciones a dificultar los cyberattacks oportunistas eliminando credenciales, reduciendo las superficies de ataque públicas y estandarizando patrones seguros de plataforma. La guía es especialmente relevante para equipos que ejecutan cargas de trabajo de Azure, Dynamics 365 y Power Platform a escala, donde las arquitecturas inconsistentes y los secretos expuestos pueden facilitar el movimiento lateral de los atacantes.

Security

Ataque de suplantación en Teams entre tenants

Microsoft ha detallado una cadena de intrusión operada por humanos en la que los atacantes usan chats cross-tenant de Microsoft Teams para suplantar al personal de helpdesk y engañar a los usuarios para que concedan acceso remoto mediante herramientas como Quick Assist. La campaña es relevante porque combina colaboración legítima, soporte remoto y herramientas administrativas para facilitar movimiento lateral, persistencia y exfiltración de datos mientras aparenta ser actividad normal de TI.

Security

Microsoft Defender predictive shielding frena ataques AD

Microsoft detalló cómo el predictive shielding de Defender puede contener el compromiso de dominios de Active Directory al restringir cuentas expuestas con altos privilegios antes de que los atacantes reutilicen credenciales robadas. Esta capacidad ayuda a los equipos de seguridad a reducir el movimiento lateral y cerrar la brecha de respuesta durante ataques de identidad que avanzan rápidamente.

Security

Intrusión macOS de Sapphire Sleet: claves

Microsoft Threat Intelligence detalló una campaña centrada en macOS de Sapphire Sleet que utiliza ingeniería social y falsas actualizaciones de software en lugar de explotar vulnerabilidades. La cadena de ataque se basa en la ejecución iniciada por el usuario de AppleScript y Terminal para eludir las protecciones nativas de macOS, lo que hace especialmente importantes las defensas en capas, la concienciación del usuario y la detección en endpoints.