Detección de amenazas en Microsoft Sentinel

Después de Configurar Microsoft Sentinel para recopilar datos de toda la organización, debe profundizar constantemente en todos los datos para detectar amenazas de seguridad en su entorno. Para realizar esta tarea, Microsoft Sentinel proporciona reglas de detección de amenazas que se ejecutan periódicamente, consultando los datos recopilados y analizándolos para detectar amenazas. Estas reglas vienen en algunos tipos diferentes y se conocen colectivamente como reglas de análisis.

Estas reglas generan alertas cuando encuentran lo que buscan. Las alertas contienen información sobre los eventos detectados, como las entidades (usuarios, dispositivos, direcciones y otros elementos) implicados. Las alertas se agregan y correlacionan con incidentes(archivos de casos) que puede asignar e investigar para obtener información sobre la extensión completa de la amenaza detectada y responder en consecuencia. También puede crear respuestas predeterminadas y automatizadas en la propia configuración de las reglas.

Puede crear estas reglas desde cero mediante el asistente para reglas de análisis integradas. Sin embargo, Microsoft le recomienda encarecidamente que haga uso de la amplia gama de plantillas de reglas de análisis que tiene disponibles a través de las muchas Soluciones para Microsoft Sentinel que se ofrecen en el centro de contenido. Estas plantillas son prototipos de reglas pregenerados, diseñados por equipos de expertos y analistas de seguridad en función de sus conocimientos sobre amenazas conocidas, vectores de ataque comunes y cadenas de escalación de actividades sospechosas. Activa reglas de estas plantillas para buscar automáticamente en todo el entorno cualquier actividad que parezca sospechosa. Muchas de las plantillas se pueden personalizar para buscar tipos específicos de eventos o filtrarlas según sus necesidades.

Este artículo le ayuda a comprender cómo Microsoft Sentinel detecta amenazas y qué ocurre a continuación.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Tipos de reglas de análisis

Puede ver las reglas y plantillas de análisis disponibles para su uso en la página Análisis del menú Configuración de Microsoft Sentinel. Las reglas activas actualmente están visibles en una pestaña y plantillas para crear nuevas reglas en otra pestaña. En una tercera pestaña se muestran anomalías, un tipo de regla especial descrito más adelante en este artículo.

Para encontrar más plantillas de regla de las que se muestran actualmente, vaya al Centro de contenido en Microsoft Sentinel para instalar las soluciones de producto relacionadas o el contenido independiente. Las plantillas de reglas de análisis están disponibles con casi todas las soluciones de producto del centro de contenido.

Los siguientes tipos de reglas de análisis y plantillas de reglas están disponibles en Microsoft Sentinel:

Además de los tipos de regla anteriores, hay otros tipos de plantilla especializados que pueden crear una instancia de una regla, con opciones de configuración limitadas:

Reglas programadas

El tipo más común de regla de análisis, las reglas Programadas, se basan en Consultas de Kusto configuradas para ejecutarse a intervalos regulares y examinar datos sin procesar de un periodo definido. Si el número de resultados capturados por la consulta supera el umbral configurado en la regla, la regla genera una alerta.

Las consultas de las plantillas de reglas programadas se escribieron por expertos en seguridad y ciencia de datos, ya sea de Microsoft o del proveedor de la solución que proporciona la plantilla. Las consultas pueden realizar operaciones estadísticas complejas en sus datos de destino, mostrando líneas base y valores atípicos en grupos de eventos.

La lógica de consulta se muestra en la configuración de la regla. Puede usar la lógica de consulta y la configuración de programación y búsqueda, tal como se define en la plantilla, o personalizarlas para crear nuevas reglas. Como alternativa, puede crear reglas completamente nuevas desde cero.

Obtenga más información sobre las Reglas de análisis programado en Microsoft Sentinel.

Reglas casi en tiempo real (NRT)

Las reglas de NRT son un subconjunto limitado de reglas programadas. Están diseñados para ejecutarse una vez cada minuto, con el fin de proporcionarle información lo más actualizada posible.

Funcionan principalmente como reglas programadas y se configuran de forma similar, con algunas limitaciones.

Obtenga más información sobre la Detección rápida de amenazas con reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.

Reglas de anomalías

Las reglas de anomalías usan el aprendizaje automático para observar tipos específicos de comportamientos durante un período de tiempo para determinar una línea base. Cada regla tiene sus propios parámetros y umbrales únicos, adecuados para el comportamiento que se está analizando. Una vez completado el período de observación, se establece la línea base. Cuando la regla observa comportamientos que superan los límites establecidos en la línea base, marca esas apariciones como anómalas.

Aunque las configuraciones de las reglas predeterminadas no se pueden cambiar ni ajustar, puede duplicar una regla y, a continuación, cambiar y ajustar el duplicado. En tales casos, ejecute el duplicado en modo Distribución de paquetes piloto y el original de manera simultánea en modo Producción. Luego compare los resultados y cambie el duplicado a Producción siempre que se ajuste a lo que espera.

Las anomalías no indican necesariamente comportamientos malintencionados o incluso sospechosos por sí mismos. Por lo tanto, las reglas de anomalías no generan sus propias alertas. En su lugar, registran los resultados de su análisis (las anomalías detectadas) en la tabla Anomalías. Puede consultar esta tabla para proporcionar contexto que mejore las detecciones, las investigaciones y la búsqueda de amenazas.

Para más información, vea Uso de anomalías personalizables para detectar amenazas en Microsoft Sentinel y Uso de reglas de análisis de detección de anomalías en Microsoft Sentinel.

Reglas de seguridad de Microsoft

Aunque las reglas programadas y NRT crean automáticamente incidentes para las alertas que generan, las alertas generadas en servicios externos e ingeridas en Microsoft Sentinel no crean sus propios incidentes. Las reglas de seguridad de Microsoft crean automáticamente incidentes de Microsoft Sentinel a partir de las alertas generadas en otras soluciones de seguridad de Microsoft, en tiempo real. Puede usar plantillas de seguridad de Microsoft para crear nuevas reglas con lógica similar.

Importante

Las reglas de seguridad de Microsoft no están disponibles si tiene:

En estos escenarios, XDR de Microsoft Defender crea los incidentes en su lugar.

Todas estas reglas que haya definido de antemano se deshabilitan automáticamente.

Para obtener más información sobre las reglas de creación de incidentes de Seguridad de Microsoftconsulte Creación automática de incidentes a partir de alertas de seguridad de Microsoft.

Información sobre amenazas

Aproveche la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes de alta fidelidad con la regla de Análisis de Inteligencia sobre amenazas de Microsoft. Esta regla única no es personalizable, pero cuando está habilitada, coincide automáticamente con los registros del formato de evento común (CEF), los datos de Syslog o los eventos DNS de Windows con indicadores de amenazas de dominio, IP y dirección URL de la inteligencia sobre amenazas de Microsoft. Algunos indicadores contienen información de contexto adicional mediante MDTI (Inteligencia contra amenazas de Microsoft Defender).

Para más información sobre cómo habilitar esta regla, consulte Uso de análisis de coincidencias para detectar amenazas.
Para más información sobre MDTI, consulte Qué es Inteligencia contra amenazas de Microsoft Defender.

Detección avanzada de ataques de varias fases (Fusion)

Microsoft Sentinel usa el Motor de correlación de Fusion, que cuenta con algoritmos de aprendizaje automático escalables con los que detecta ataques avanzados de varias fases. Para ello, correlaciona muchas alertas y eventos de baja fidelidad de varios productos con incidentes útiles y de alta fidelidad. La regla de Detección avanzada de ataques de varias fases está habilitada de manera predeterminada. Dado que la lógica está oculta y por lo tanto, no personalizable, solo puede haber una regla con esta plantilla.

El motor de Fusion también puede correlacionar las alertas generadas por las reglas de análisis programadas con reglas de otros sistemas, lo que da lugar a incidentes de alta fidelidad.

Importante

El tipo de regla Detección de ataques de varias fases avanzada no está disponible si tiene:

En estos escenarios, XDR de Microsoft Defender crea los incidentes en su lugar.

Algunas de las plantillas de detección de Fusion se encuentran actualmente en VERSIÓN PRELIMINAR (consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel para ver cuáles). Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Análisis de comportamiento de Machine Learning (ML)

Aproveche las ventajas de los algoritmos de aprendizaje automático propietarios de Microsoft para generar alertas e incidentes de alta fidelidad con las reglas de Análisis de comportamiento de ML. Estas reglas únicas (actualmente en Versión preliminar) no son personalizables, pero cuando están habilitadas, detectan comportamientos anómalos específicos de inicio de sesión SSH y RDP en función de la información de IP y geolocalización e historial de usuarios.

Permisos de acceso para reglas de análisis

Al crear una regla de análisis, se aplica un token de permisos de acceso a la regla y se guarda junto con ella. Este token garantiza que la regla pueda acceder al área de trabajo que contiene los datos consultados por la regla y que este acceso se mantendrá incluso si el creador de la regla pierde el acceso a esa área de trabajo.

Sin embargo, hay una excepción a este acceso: cuando se crea una regla para acceder a áreas de trabajo de otras suscripciones o inquilinos, como ocurre en el caso de un MSSP, Microsoft Sentinel toma medidas de seguridad adicionales para evitar el acceso no autorizado a los datos de los clientes. Para estos tipos de reglas, las credenciales del usuario que crearon la regla se aplican a la regla en lugar de a un token de acceso independiente, de modo que cuando el usuario ya no tenga acceso a la otra suscripción o inquilino, la regla deja de funcionar.

Si opera Microsoft Sentinel en un escenario entre suscripciones o inquilinos, cuando uno de los analistas o ingenieros pierde el acceso a un área de trabajo determinada, las reglas creadas por ese usuario dejan de funcionar. En esta situación, recibirá un mensaje de seguimiento de estado sobre "acceso insuficiente al recurso" y la regla se deshabilitará automáticamente después de que se haya producido un error un número determinado número de veces.

Exportación de reglas a una plantilla de ARM

Puede exportar fácilmente la regla a una plantilla de Azure Resource Manager (ARM) si desea administrar e implementar las reglas como código. También puede importar reglas de archivos de plantilla para verlos y editarlos en la interfaz de usuario.

Pasos siguientes