Alertas e incidentes de seguridad

Este artículo describe las alertas de seguridad y las notificaciones en Microsoft Defender for Cloud.

¿Qué son las alertas de seguridad?

Las alertas de seguridad son las notificaciones generadas por los planes de protección de cargas de trabajo de Defender for Cloud cuando se identifican amenazas en los entornos de Azure, híbridos o multinube.

  • Las alertas de seguridad se desencadenan mediante detecciones avanzadas disponibles al habilitar los planes de Defender para tipos de recursos concretos.
  • Cada alerta proporciona detalles de los recursos afectados, los problemas y los pasos de corrección.
  • Defender for Cloud clasifica las alertas y las prioriza por gravedad.
  • Las alertas se muestran en el portal durante 90 días, incluso si el recurso relacionado con la alerta se eliminó durante ese intervalo de tiempo. Esto se debe a que la alerta podría indicar una posible infracción de seguridad en la organización que debe investigarse más a fondo.
  • Las alertas se pueden exportar en formato CSV.
  • Las alertas también se pueden transmitir directamente a una solución de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel, de respuesta automatizada de orquestación de seguridad (SOAR) o de administración de servicios de TI (ITSM).
  • Defender for Cloud utiliza la matriz de ataque MITRE para asociar alertas con su intención percibida, lo que ayuda a formalizar el conocimiento de dominios de seguridad.

¿Cómo se clasifican las alertas?

Las alertas tienen asignado un nivel de gravedad para ayudar a priorizar cómo atender cada alerta. La gravedad se basa en:

  • El desencadenador específico.
  • El nivel de confianza de que hubo intención malintencionada detrás de la actividad que condujo a la alerta.
severity Respuesta recomendada
Alta hay una probabilidad elevada de que el recurso esté en peligro. Debe investigarse de inmediato. El grado de certeza de Defender for Cloud sobre la mala intención de la acción y los hallazgos utilizados para emitir la alerta es elevado. Una alerta de este tipo sería podría detectar la ejecución de una herramienta malintencionada conocida; por ejemplo, Mimikatz, una herramienta que se usa habitualmente para robar credenciales.
Media es probable que sea una actividad sospechosa que podría indicar que un recurso está en peligro. El grado de certeza de Defender for Cloud sobre el análisis o los hallazgos es medio, mientras que el grado de certeza sobre la mala intención es medio o alto. Normalmente, se trata de detecciones basadas en anomalías o aprendizaje automático, por ejemplo, un intento de inicio de sesión desde una ubicación inusual.
Baja podría tratarse de un hallazgo benigno o de un ataque bloqueado. Defender for Cloud no tiene la certeza suficiente de que la intención fuera mala y la actividad pudiera ser inofensiva. Por ejemplo, borrar un registro es una acción que podría producirse si un atacante intenta ocultar sus huellas, pero en muchos casos es una operación rutinaria que realizan los administradores. Por lo general, Defender for Cloud no avisa cuando se bloquean ataques a menos que se considere un caso interesante que convenga examinar.
Informational (Informativo) Normalmente, las incidencias se componen de varias alertas, algunas de las cuales podrían parecer meramente informativas, aunque a tenor de otras alertas podría ser conveniente investigarlas.

¿Qué son los incidentes de seguridad?

Un incidente de seguridad es una recopilación de alertas relacionadas.

Los incidentes proporcionan una vista única de un ataque y sus alertas relacionadas, de modo que pueda comprender rápidamente las acciones que realizó un atacante y los recursos afectados.

A medida que aumenta la cobertura de amenazas, así lo hace la necesidad de detectar incluso el menor riesgo. Es difícil que los analistas de seguridad evalúen diferentes alertas e identifiquen un ataque real. Al correlacionar alertas y señales de baja fidelidad en incidentes de seguridad, Defender for Cloud ayuda a los analistas a afrontar esta fatiga de alertas.

En la nube los ataques se producen a menudo a través de distintos inquilinos, por o que Defender for Cloud puede combinar algoritmos de inteligencia artificial para analizar las secuencias de ataque que se notifican en cada suscripción. Esta técnica identifica las secuencias de ataque como patrones de alerta más frecuentes, en lugar de asociarse simplemente entre sí.

Durante la investigación de un incidente, los analistas a menudo necesitan más contexto para llegar a un veredicto sobre la naturaleza de la amenaza y cómo mitigarla. Por ejemplo, incluso cuando se detecta una anomalía de red, sin saber qué más sucede en la red o con respecto al recurso objetivo, es difícil determinar las medidas que se deben tomar a continuación. En estos casos, pueden ser de utilidad los artefactos, los eventos relacionados y la información que un incidente de seguridad puede incluir. La información adicional disponible de los incidentes de seguridad variará según el tipo de amenaza detectada y la configuración de su entorno.

Correlación de alertas en incidentes

Defender for Cloud correlaciona las alertas y las señales contextuales en incidentes.

  • La correlación examina diferentes señales entre los recursos y combina el conocimiento de seguridad y la inteligencia artificial para analizar alertas, detectando nuevos patrones de ataque a medida que se producen.
  • Además, mediante el uso de la información recopilada para cada paso de un ataque, Defender for Cloud puede descartar actividades que parecen ser pasos de un ataque, pero en realidad no lo son.

Sugerencia

En la referencia de incidentes, revise la lista de incidentes de seguridad que se pueden producir mediante correlación de incidentes.

¿Cómo detecta Defender for Cloud las amenazas?

Para detectar amenazas reales y reducir falsos positivos, Defender for Cloud supervisa los recursos, recopila y analiza los datos de amenazas, a menudo correlacionando datos de varios orígenes.

Presentación y recopilación de datos de Defender for Cloud.

Iniciativas de Microsoft

Microsoft Defender for Cloud se beneficia de la existencia de equipos de científicos de datos e investigadores de seguridad de Microsoft que supervisan sin descanso los cambios que se registran en el terreno de las amenazas. Estos son algunas de las iniciativas que llevan a cabo:

  • Especialistas en seguridad de Microsoft colaboración continua con equipos de Microsoft que trabajan en campos de seguridad especializados, como análisis forense y detección de ataques web.

  • Estudios de seguridad de Microsoft: nuestros investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Dada nuestra presencia global en la nube y en sistemas locales, tenemos acceso a un amplio conjunto de recursos de telemetría. La amplitud y diversidad de estos conjuntos de datos nos permite detectar nuevos patrones y tendencias de ataque tanto en nuestros productos locales, destinados a particulares y empresas, como en nuestros servicios en línea. Como resultado, Defender for Cloud es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevas y más sofisticadas vulnerabilidades de seguridad. Este enfoque le ayuda a mantenerse al día en entornos llenos de amenazas que cambian continuamente.

  • Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y notificaciones para las amenazas nuevas o existentes. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de orígenes internos y externos.

  • Uso compartido de señales: la información que recopilan los equipos de seguridad en la amplia cartera de servicios tanto locales como en la nube, de servidores y de dispositivos cliente de punto de conexión de Microsoft se comparte y se analiza.

  • Ajuste de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan en conjunción con los clientes para validar los resultados. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.

Toda esta combinación de esfuerzos culmina en nuevas y mejoradas técnicas de detección, de las que puede beneficiarse al instante sin ninguna acción por su parte.

Análisis de seguridad

Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques basados en firmas. Los grandes avances registrados en las tecnologías de macrodatos y aprendizaje automático se utilizan para evaluar eventos en todo el tejido de la nube, lo que permite detectar amenazas que no se podrían identificar mediante enfoques manuales, así como predecir la evolución de los ataques. Estas técnicas de análisis son:

Información integrada sobre amenazas

Microsoft dispone de una ingente cantidad de información sobre amenazas globales. Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC). Los investigadores también reciben información sobre amenazas que comparten con los principales proveedores de servicios en la nube y que procede de fuentes de otros terceros. Microsoft Defender for Cloud puede usar todos estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos.

Análisis del comportamiento

El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos. No obstante, estos patrones no son simples firmas, sino que están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos. También se determinan por medio de un análisis cuidadoso, llevado a cabo por analistas expertos, de los comportamientos malintencionados. Microsoft Defender for Cloud puede utilizar el análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos y otros orígenes.

Detección de anomalías

Defender for Cloud también usa la detección de anomalías para identificar amenazas. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más "personalizada" y se basa en referencias que son específicas de las implementaciones. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones. A partir de ahí, se generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de seguridad.

Exportación de alertas

Tiene una variedad de opciones para ver las alertas fuera de Defender for Cloud, entre ellas:

  • La descarga del informe de CSV en el panel de alertas proporciona una exportación única a CSV.
  • La exportación continua de la configuración del entorno permite configurar flujos de alertas de seguridad y recomendaciones a áreas de trabajo de Log Analytics y a Event Hubs. Más información.
  • El conector de Microsoft Sentinel transmite las alertas de seguridad de Microsoft Defender for Cloud a Microsoft Sentinel. Más información.

Obtenga información sobre cómo transmitir alertas a una solución siEM, SOAR o administración de servicios de TI y cómo exportar datos continuamente.

Pasos siguientes

En este artículo, ha aprendido obtenido información sobre los distintos tipos de alertas disponibles en Defender for Cloud. Para más información, consulte: