Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel

Microsoft Entra ID
Azure Logic Apps
Azure Monitor
Microsoft Sentinel

En este artículo se describe cómo una solución de Administración de eventos e información de seguridad (SIEM) como Microsoft Sentinel puede usar indicadores de amenaza para detectar ciberamenazas existentes o potenciales, proporcionar contexto e informar de las respuestas correspondientes.

Architecture

Diagram that shows Microsoft Sentinel data flow.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

Puede usar Microsoft Sentinel para lo siguiente:

Conectores de datos del indicador de amenazas

Como ocurre con cualquier otro dato de eventos, Microsoft Sentinel usa conectores de datos para importar indicadores de amenazas. Los dos conectores de datos de Microsoft Sentinel para los indicadores de amenazas son:

  • Inteligencia sobre amenazas: TAXII
  • Plataformas de inteligencia sobre amenazas

Puede usar uno o ambos conectores de datos, dependiendo del origen de los datos indicadores de amenazas de la organización. Habilite los conectores de datos en cada área de trabajo en que quiera que se reciban datos.

Conector de datos Inteligencia sobre amenazas: TAXII

El estándar del sector más popular para la transmisión de CTI es el formato de datos STIX y el protocolo TAXII. Las organizaciones que reciben indicadores sobre amenazas de soluciones de la versión 2.x de STIX/TAXII actual, pueden usar el conector de datos Inteligencia sobre amenazas: TAXII para importar los indicadores de amenaza a Microsoft Sentinel. El cliente TAXII integrado de Microsoft Sentinel importa inteligencia sobre amenazas de servidores TAXII 2.x.

Para más información sobre cómo importar datos de indicadores de amenazas STIX/TAXII a Microsoft Sentinel, consulte Importación de indicadores de amenazas con el conector de datos TAXII.

Conector de datos de plataformas de inteligencia sobre amenazas

Muchas organizaciones usan soluciones de TIP como MISP, Anomali ThreatStream, ThreatConnect o Palo Alto Networks MineMeld para agregar fuentes de indicadores de amenazas de diversos orígenes. Las organizaciones usan la TIP para conservar los datos. Después eligen qué indicadores de amenazas aplicar a soluciones de seguridad como dispositivos de red, soluciones de protección contra amenazas avanzadas o SIEM como Microsoft Sentinel. El conector de datos de plataformas de inteligencia sobre amenazas permite a las organizaciones usar su solución de TIP integrada con Microsoft Sentinel.

El conector de datos Plataformas de inteligencia sobre amenazas usa la API Security tiIndicators de Microsoft Graph. Cualquier organización que tenga una TIP personalizada puede usar este conector de datos para aprovechar la API tiIndicators y enviar indicadores a Microsoft Sentinel y a otras soluciones de seguridad de Microsoft, como ATP de Defender.

Para más información sobre cómo importar datos de TIP a Microsoft Sentinel, consulte Importación de indicadores de amenaza con el conector de datos Plataformas.

Registros de indicadores de amenazas

Después de importar indicadores de amenazas en Microsoft Sentinel mediante los conectores de datos Inteligencia sobre amenazas: TAXII o Plataformas de inteligencia sobre amenazas, puede ver los datos importados en la tabla ThreatIntelligenceIndicator de Registros, donde se almacenan todos los datos de eventos de Microsoft Sentinel. Las características de Microsoft Sentinel como Analytics y Libros también usan esta tabla.

Para más información sobre cómo trabajar con el registro de indicadores de amenazas, consulte Uso de los indicadores de amenazas de Microsoft Sentinel.

Análisis de Microsoft Sentinel

El uso más importante de los indicadores de amenazas en las soluciones SIEM es el de facilitar análisis que asocien eventos con indicadores de amenazas a fin de producir alertas de seguridad, incidentes y respuestas automatizadas. El Análisis de Microsoft Sentinel crear reglas de análisis que se desencadenan según la programación para generar alertas. Los parámetros de regla se expresan como consultas. Después se configura la frecuencia con la que se ejecuta la regla, los resultados de la consulta que generan alertas e incidentes de seguridad y las respuestas automatizadas a las alertas.

Puede crear nuevas reglas de análisis desde cero o partir de un conjunto de plantillas de reglas de Microsoft Sentinel que puede usar tal cual o modificar para satisfacer sus necesidades. Las plantillas de reglas de análisis que coinciden con los indicadores de amenaza con los datos de evento se titulan a partir del mapa de TI. Todos funcionan de forma similar.

Las diferencias de la plantilla consisten en qué tipo de indicadores de amenaza usar, como dominio, correo electrónico, hash de archivo, dirección IP o URL, y con qué tipos de eventos comparar. En cada plantilla se muestran los orígenes de datos requeridos para el funcionamiento de la regla, de modo que puede ver si tiene ya importados los eventos necesarios en Microsoft Sentinel.

Para más información sobre cómo crear una regla de análisis a partir de una plantilla, consulte Creación de una regla de análisis a partir de una plantilla.

En Microsoft Sentinel, las reglas de análisis habilitadas están en la pestaña Reglas activas de la sección Análisis. Puede editar, habilitar, deshabilitar, duplicar o eliminar las reglas activas.

Las alertas de seguridad generadas están en la tabla SecurityAlert de la sección Registros de Microsoft Sentinel. Las alertas de seguridad también generan incidentes de seguridad, que se encuentran en la sección Incidentes. Los equipos de operaciones de seguridad seleccionan e investigan los incidentes para determinar las respuestas adecuadas. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.

También puede establecer que se desencadene la automatización cuando las reglas generen alertas de seguridad. La automatización en Microsoft Sentinel usa cuadernos de estrategias con tecnología de Azure Logic Apps. Para más información, consulte Tutorial: Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel.

Libro de inteligencia sobre amenazas de Microsoft Sentinel

Los libros proporcionan paneles interactivos eficaces que proporcionan información sobre todos los aspectos de Microsoft Sentinel. Puede usar un libro de Microsoft Sentinel para visualizar la información de CTI clave. Las plantillas proporcionan un punto de partida y puede personalizarlas fácilmente para sus necesidades empresariales. Puede crear nuevos paneles que combinen muchos orígenes de datos diferentes y visualizar sus datos de formas únicas. Los libros de Microsoft Sentinel se basan en los libros de Azure Monitor, de modo que ya hay una gran cantidad de documentación y plantillas disponibles.

Para más información sobre cómo consultar y editar el cuaderno de trabajo de Inteligencia de amenazas de Microsoft Sentinel, consulte Ver y editar el cuaderno de trabajo de Inteligencia de amenazas.

Alternativas

  • Los indicadores de amenazas proporcionan un contexto útil en otras experiencias de Microsoft Sentinel, como búsquedas y cuadernos. Para más información sobre el uso de CTI en cuadernos, consulte Cuadernos de Jupyter en Sentinel.
  • Cualquier organización que tenga una TIP personalizada puede usar la API Security tiIndicators de Microsoft Graph para enviar indicadores de amenaza a otras soluciones de seguridad de Microsoft, como ATP de Defender.
  • Microsoft Sentinel proporciona muchos otros conectores de datos integrados a soluciones, como Protección contra amenazas de Microsoft, orígenes de Microsoft 365 y Microsoft Defender for Cloud Apps. Además, hay conectores integrados en el amplio ecosistema de seguridad para soluciones que no son de Microsoft. También puede usar el formato de evento común, Syslog o la API de REST para conectar los orígenes de datos con Microsoft Sentinel. Para obtener más información, consulte Conexión con orígenes de datos.

Detalles del escenario

La inteligencia sobre ciberamenazas puede proceder de muchos lugares; por ejemplo, fuentes de distribución de datos de código abierto, comunidades que comparten inteligencia sobre amenazas, fuentes de inteligencia de pago e investigaciones de seguridad dentro de las organizaciones.

La CTI puede abarcar desde informes escritos sobre las motivaciones, la infraestructura y las técnicas de un actor de amenaza hasta observaciones específicas sobre direcciones IP, dominios y hash de archivo. La CTI proporciona un contexto esencial para actividades inusuales a fin de que el personal de seguridad pueda actuar rápidamente para proteger las personas y los recursos.

La CTI más utilizada en soluciones SIEM como Microsoft Sentinel son los datos indicadores de amenazas, a veces denominados indicadores de riesgo (IOC). Los indicadores de amenazas asocian direcciones URL, hash de archivo, direcciones IP y otros datos con una actividad de amenaza conocida, como el phishing, las redes de bots (botnets) o el malware.

Esta forma de inteligencia sobre amenazas suele llamarse inteligencia sobre amenazas táctica porque los productos de seguridad y automatización pueden usarla a gran escala para proteger y detectar posibles amenazas. Microsoft Sentinel puede ayudar a detectar ciberactividades maliciosas, responder a ellas y proporcionar el contexto de CTI.

Posibles casos de uso

  • Conéctese a los datos del indicador de amenazas de código abierto de los servidores públicos para identificar actividades de amenazas, analizarlas y responder a ellas.
  • Use las plataformas de inteligencia sobre amenazas existentes o las soluciones personalizadas con la API tiIndicators de Microsoft Graph conectarse a los datos indicadores de amenazas y controlar el acceso a ellos.
  • Proporcione contexto e informes de CTI para los investigadores de seguridad y las partes interesadas.

Consideraciones

  • Los conectores de datos de inteligencia sobre amenazas de Microsoft Sentinel se encuentran actualmente en versión preliminar pública. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.
  • Microsoft Sentinel usa el control de acceso basado en roles de Azure (RBAC de Azure) para asignar los roles integrados de Colaborador, Lector y Respondedor a usuarios, grupos y servicios de Azure. Estos roles pueden interactuar con los roles de Azure (Propietario, Colaborador, Lector) y los de Log Analytics (lector de Log Analytics, colaborador de Log Analytics). Puede crear roles personalizados y usar RBAC de Azure avanzado en los datos que almacena en Microsoft Sentinel. Para más información, consulte Permisos de Microsoft Sentinel.
  • Microsoft Sentinel es gratuito durante los primeros 31 días de cualquier área de trabajo de Log Analytics de Azure Monitor. Después, puede usar los modelos de reserva de capacidad y pago por uso para los datos que se ingieren y almacenan. Para más información, consulte Precios de Microsoft Sentinel.

Implementación de este escenario

En las siguientes secciones se proporcionan pasos para:

Importar indicadores de amenaza con el conector de datos TAXII

Advertencia

Las siguientes instrucciones usan limo, fuente STIX/TAXII gratuita de Anomali. Esta fuente ha alcanzado el final del ciclo de vida y ya no se está actualizando. Las instrucciones siguientes no se pueden completar como escritas. Puede sustituir esta fuente por otra fuente compatible con la API a la que puede acceder.

Los servidores TAXII 2.x anuncian raíces de API, que son direcciones URL que hospedan colecciones de inteligencia sobre amenazas. Si ya sabe con qué Raíz de API e Id. de colección del servidor TAXII quiere trabajar, puede omitir este paso y habilitar el conector TAXII en Microsoft Sentinel.

Si no tiene la raíz de la API, normalmente puede obtenerla en la página de documentación del proveedor de inteligencia sobre amenazas, pero, a veces, la única información disponible es la dirección URL del punto de conexión de detección. Puede encontrar la raíz de la API mediante el punto de conexión de detección. En el ejemplo siguiente se usa el extremo de detección del servidor TAXII 2.0 de ThreatStream Anomali Limo.

  1. Desde un navegador, vaya al punto de conexión de detección del servidor ThreatStream TAXII 2.0, https://limo.anomali.com/taxii. Acceda usando el nombre de usuario invitado y la contraseña invitado. Después de iniciar sesión, verá la información siguiente:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Para examinar colecciones, especifique la Raíz de API que obtuvo del paso anterior en el explorador: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Verá información como la siguiente:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Ahora tiene la información que necesita para conectar Microsoft Sentinel a una o varias colecciones del servidor TAXII proporcionadas por Anomali Limo. Por ejemplo:

Raíz de API Id. de colección
Phish Tank 107
CyberCrime 41

Para habilitar el conector de datos Inteligencia sobre amenazas: TAXII en Microsoft Sentinel:

  1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

  2. Seleccione el área de trabajo donde quiera importar indicadores de amenazas desde el servicio TAXII.

  3. Seleccione Conectores de datos en el panel izquierdo. Busque y seleccione Inteligencia sobre amenazas: TAXII (versión preliminar) y seleccione Abrir página del conector.

  4. En la página Configuración, escriba un valor de nombre descriptivo (para el servidor), como el título de la colección. Escriba la dirección URL raíz de la API y el identificador de colección que desea importar. Escriba un nombre de usuario y una contraseña si es necesario y seleccione Agregar.

    Screenshot that shows the TAXII configuration page.

Podrá ver la conexión en una lista de servidores TAXII 2.0 configurados. Repita la configuración para cada colección que quiera conectar desde el mismo servidor TAXII o uno distinto.

Importación de indicadores de amenaza con el conector de datos Plataformas

La API tiIndicators necesita el Id. de aplicación (cliente), Id. de directorio (inquilino) y Secreto de cliente de la TIP o solución personalizada para conectarse a indicadores de amenaza y enviarlos a Microsoft Sentinel. Para obtener esta información, registre la TIP o aplicación de solución en Microsoft Entra ID y concédale los permisos necesarios.

Para más información, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.

Creación de una regla de análisis a partir de una plantilla

En este ejemplo se usa la plantilla de regla denominada TI map IP entity to AzureActivity, que compara cualquier indicador de amenaza de tipo dirección IP con todos los eventos de direcciones IP de la actividad de Azure. Cualquier correspondencia genera una alerta de seguridad y el incidente correspondiente para que lo investigue el equipo de operaciones de seguridad.

En este ejemplo se asume que ha usado uno o los dos conectores de datos de inteligencia sobre amenazas o ambos (para importar indicadores de amenazas), y el conector de datos Actividad de Azure (para importar los eventos de nivel de suscripción de Azure). Necesita ambos tipos de datos para usar esta regla de análisis correctamente.

  1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

  2. Seleccione el área de trabajo donde haya importado los indicadores de amenazas con cualquiera de los conectores de datos de inteligencia sobre amenazas.

  3. En el panel izquierdo, seleccione Análisis.

  4. En la pestaña Plantillas de reglas, busque y seleccione la regla (versión preliminar) TI map IP entity to AzureActivity. Seleccione Crear regla.

  5. En la primera página Asistente para reglas de análisis > Crear nueva regla a partir de la plantilla, asegúrese de que la regla Estado esté establecida en Habilitado. Cambie el nombre o la descripción de la regla si lo desea. Seleccione Siguiente: Establecer la lógica de la regla.

    Screenshot that shows creating an Analytic rule.

    La página de la lógica de reglas contiene la consulta de la regla, las entidades que se van a asignar, la programación de reglas y el número de resultados de la consulta que generan una alerta de seguridad. La configuración de la plantilla se ejecuta una vez por hora. Identifican cualquier IoC de dirección IP que coincida con las direcciones IP de los eventos de Azure. También generan alertas de seguridad para todas las coincidencias. Puede conservar esta configuración o cambiarla para satisfacer sus necesidades. Al acabar, seleccione Siguiente: Configuración de incidentes (versión preliminar) .

  6. En Configuración de incidentes (versión preliminar), asegúrese de que la opción Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis esté establecida en Habilitado. Seleccione Siguiente: Respuesta automatizada.

    Este paso le permite configurar la automatización para que se desencadene cuando la regla genere una alerta de seguridad. La automatización en Microsoft Sentinel usa cuadernos de estrategias con tecnología de Azure Logic Apps. Para más información, consulte Tutorial: Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel. En este ejemplo, seleccione Siguiente: Revisar. Revise la configuración y seleccione Crear.

La regla se activa inmediatamente cuando se crea y se desencadena en la programación normal.

Visualización y edición del libro de inteligencia sobre amenazas

  1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

  2. Seleccione el área de trabajo donde haya importado los indicadores de amenazas con cualquiera de los conectores de datos de inteligencia sobre amenazas.

  3. En el panel izquierdo, seleccione Libros.

  4. Busque y seleccione el libro titulado Inteligencia sobre amenazas.

  5. Asegúrese de que tiene los datos y las conexiones necesarios tal y como se muestra. Seleccione Guardar.

    Screenshot that shows a Threat Intelligence Workbook.

    En la ventana emergente, seleccione una ubicación y, a continuación, Aceptar. En este paso se guarda el libro para que pueda modificarlo y guardar los cambios.

  6. Seleccione Ver libro guardado para abrir el libro y ver los gráficos predeterminados que proporciona la plantilla.

Para editar el libro, seleccione Editar. Puede seleccionar Editar junto a cualquier gráfico para editar la consulta y la configuración de dicho gráfico.

Para agregar un nuevo gráfico que muestre los indicadores de amenaza por tipo de amenaza:

  1. Seleccione Editar. Desplácese a la parte inferior de la página y seleccione Agregar>Agregar consulta.

  2. En Log Analytics workspace Logs Query (Consulta de registros del área de trabajo de Log Analytics), escriba la consulta siguiente:

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Seleccione Gráfico de barras en la lista desplegable Visualización y, a continuación, seleccione Edición finalizada.

  4. En la parte superior de la página, seleccione Edición finalizada. Seleccione el icono Guardar para guardar el nuevo gráfico y el libro.

    Screenshot that shows a new workbook chart.

Pasos siguientes

Vaya al repositorio de Microsoft Sentinel en GitHub para consultar las contribuciones de la comunidad en general y de Microsoft. Aquí encontrará nuevas ideas, plantillas y conversaciones sobre todas las áreas destacadas de Microsoft Sentinel.

Los libros de Microsoft Sentinel se basan en los libros de Azure Monitor, de modo que ya hay una gran cantidad de documentación y plantillas disponibles. Un buen punto de partida es el artículo Creación de informes interactivos con los libros de Azure Monitor. En GitHub hay una colección de plantillas de libros de Azure Monitor para descargar controladas por la comunidad.

Para más información sobre las tecnologías destacadas, consulte: