Uso de los indicadores de amenazas de Microsoft Sentinel

Integre la inteligencia sobre amenazas en Microsoft Sentinel a través de las actividades siguientes:

  • Importe inteligencia sobre amenazas a Microsoft Sentinel habilitando conectores de datos en varias plataformas y fuentes de inteligencia sobre amenazas.
  • Ver y administrar la inteligencia sobre amenazas importada en Registros y en la página de Inteligencia sobre amenazas de Microsoft Sentinel.
  • Detecte las amenazas y genere alertas e incidentes de seguridad utilizando las plantillas de reglas incorporadas de Análisis basadas en la inteligencia de amenazas importada.
  • Visualice información clave sobre la inteligencia de amenazas importada en Microsoft Sentinel con el libro de inteligencia sobre amenazas.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Visualización de los indicadores de amenazas de Microsoft Sentinel

Obtenga información sobre cómo trabajar con indicadores de inteligencia sobre amenazas en Microsoft Sentinel.

Buscar y ver los indicadores en la página Inteligencia sobre amenazas

En este procedimiento se describe cómo ver y administrar los indicadores en la nueva página Inteligencia sobre amenazas, accesible desde el menú principal de Microsoft Sentinel. Use la página Inteligencia sobre amenazas para ordenar, filtrar y buscar los indicadores de amenazas importados sin escribir una consulta de Log Analytics.

Para ver los indicadores de inteligencia sobre amenazas en la página Inteligencia sobre amenazas:

  1. Para Microsoft Sentinel en Azure portal, en Administración de amenazas, seleccione Inteligencia de amenazas.

    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Inteligencia de amenazas.

  2. En la cuadrícula, seleccione el indicador para el que desea ver más información. La información del indicador incluye niveles de confianza, etiquetas y tipos de amenazas.

Microsoft Sentinel solo muestra la versión más reciente de los indicadores en esta vista. Para obtener más información sobre cómo se actualizan los indicadores, consulte Descripción de la inteligencia sobre amenazas.

Los indicadores de IP y nombre de dominio se enriquecen con datos adicionales GeoLocation y WhoIs. Estos datos proporcionan más contexto para las investigaciones en las que se encuentra el indicador seleccionado.

Este es un ejemplo.

Captura de pantalla que muestra la página Inteligencia sobre amenazas con un indicador que muestra los datos de GeoLocation y WhoIs.

Importante

GeoLocation y WhoIs el enriquecimiento se encuentra actualmente en versión preliminar. Los Términos complementarios de la versión preliminar de Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o aún no se han publicado en disponibilidad general.

Búsqueda y visualización de indicadores en Registros

En este procedimiento se describe cómo ver los indicadores de amenazas importados en el área Registros de Microsoft Sentinel, junto con otros datos de eventos de Microsoft Sentinel, independientemente de la fuente de origen o del conector que usó.

Los indicadores de amenazas importados se enumeran en la tabla ThreatIntelligenceIndicator de Microsoft Sentinel. Esta tabla es la base para las consultas de inteligencia sobre amenazas que se ejecutan en otra parte de Microsoft Sentinel, como en Analytics o Libros.

Para ver los indicadores de inteligencia sobre amenazas en Registros:

  1. Para Microsoft Sentinel en Azure portal, en General, seleccione Registros.

    Para Microsoft Sentinel en el Portal de Defender, seleccione Investigación y respuesta>Búsqueda>Búsqueda avanzada.

  2. La tabla ThreatIntelligenceIndicator se encuentra en el grupo de Microsoft Sentinel.

  3. Seleccione el icono Vista previa de datos (el ojo) junto al nombre de la tabla. Seleccione Ver en el editor de consultas para ejecutar una consulta que muestre los registros de esta tabla.

    Los resultados deben tener un aspecto similar al indicador de amenaza de ejemplo que se muestra aquí.

    Captura de pantalla que muestra los resultados de la tabla ThreatIntelligenceIndicator de ejemplo con los detalles expandidos.

Crear e etiquetar indicadores

Use la página de Inteligencia sobre amenazas para crear indicadores de amenazas directamente dentro de la interfaz de Microsoft Sentinel y realizar dos tareas administrativas comunes de inteligencia sobre amenazas: etiquetado de indicadores y creación de nuevos indicadores relacionados con las investigaciones de seguridad.

Creación de un nuevo indicador

  1. Para Microsoft Sentinel en el Azure portal, en Administración de amenazas, seleccione Inteligencia de amenazas.

    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Inteligencia de amenazas.

  2. En la barra de menús de la parte superior de la página, seleccione Agregar nuevo.

    Captura de pantalla que muestra cómo agregar un nuevo indicador de amenazas.

  3. Elija el tipo de indicador y, a continuación, rellene el formulario en el panel Nuevo indicador. Los campos obligatorios se marcan con un asterisco (*).

  4. Seleccione Aplicar. El indicador se agrega a la lista de indicadores y también se envía a la tabla de ThreatIntelligenceIndicator en Registros.

Etiquetado y edición de indicadores de amenazas

El etiquetado de indicadores de amenazas es una forma sencilla de agruparlos para que sean más fáciles de encontrar. Normalmente, puede aplicar etiquetas a un indicador relacionado con un incidente determinado o si el indicador representa amenazas de un actor conocido determinado o una campaña de ataque conocida. Después de buscar los indicadores con los que desea trabajar, etiquete individualmente. Seleccione varios indicadores y etiquételos todos a la vez con una o varias etiquetas. Dado que el etiquetado es libre, se recomienda crear convenciones de nomenclatura estándar para las etiquetas de indicador de amenazas.

Captura de pantalla que muestra la aplicación de etiquetas a indicadores de amenazas.

Con Microsoft Sentinel, también puede editar indicadores, tanto si se crearon directamente en Microsoft Sentinel como si proceden de orígenes de asociados, como los servidores TIP y TAXII. En el caso de los indicadores creados en Microsoft Sentinel, todos los campos son editables. En el caso de los indicadores procedentes de orígenes de asociados, solo se pueden editar campos específicos, incluidas las etiquetas, Fecha de expiración, Confianza, y Revocada. En cualquier caso, solo aparece la versión más reciente del indicador en la página Inteligencia sobre amenazas. Para obtener más información sobre cómo se actualizan los indicadores, consulte Descripción de la inteligencia sobre amenazas.

Obtenga información sobre la inteligencia sobre amenazas con libros

Use un libro de Microsoft Sentinel especialmente diseñado para visualizar información clave sobre la inteligencia sobre amenazas en Microsoft Sentinel y personalice los libros según sus necesidades empresariales.

Aquí puede saber cómo buscar el libro de inteligencia sobre amenazas proporcionado en Microsoft Sentinel y un ejemplo de cómo realizar ediciones en el libro para personalizarlo.

  1. EnAzure portal vaya a Microsoft Sentinel.

  2. Elija el área de trabajo a la que importó los indicadores de amenazas mediante cualquiera de los conectores de datos de inteligencia sobre amenazas.

  3. En la sección Administración de amenazas del menú de Microsoft Sentinel, seleccione Libros.

  4. Busque el libro titulado Inteligencia sobre amenazas. Compruebe que tiene datos en la tabla ThreatIntelligenceIndicator.

    Captura de pantalla que muestra la comprobación de que tiene datos.

  5. Seleccione Guardar, y elija una ubicación de Azure en la que almacenar el libro. Este paso es necesario si piensa modificar el libro de cualquier manera y guardar los cambios.

  6. Ahora seleccione Ver libro guardado para abrir el libro para ver y editar.

  7. Ahora debería ver los gráficos predeterminados proporcionados por la plantilla. Para modificar un gráfico, seleccione Editar en la parte superior de la página para iniciar el modo de edición del libro.

  8. Agregue un nuevo gráfico de indicadores de amenazas por tipo de amenaza. Desplácese a la parte inferior de la página y seleccione Agregar consulta.

  9. Agregue el siguiente texto al cuadro de texto Consulta de registro del área de trabajo de Log Analytics:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  10. En el menú desplegable Visualización, seleccione Gráfico de barras.

  11. Seleccione Edición finalizada, y vea el nuevo gráfico del libro.

    Captura de pantalla que muestra un gráfico de barras para el libro.

Los libros proporcionan paneles interactivos eficaces que proporcionan información sobre todos los aspectos de Microsoft Sentinel. Puede realizar muchas tareas con libros y las plantillas proporcionadas son un excelente punto de partida. Personalice las plantillas o cree paneles mediante la combinación de muchos orígenes de datos para que pueda visualizar los datos de maneras únicas.

Los libros de Microsoft Sentinel se basan en libros de Azure Monitor, por lo que hay una amplia documentación y muchas más plantillas disponibles. Para más información, consulte Creación de informes interactivos con libros de Azure Monitor.

También hay un recurso enriquecido para libros de Azure Monitor en GitHub, donde puede descargar más plantillas y contribuir con las suyas propias.

En este artículo, ha aprendido a trabajar con indicadores de inteligencia sobre amenazas en Microsoft Sentinel. Para más información sobre la inteligencia sobre amenazas en Microsoft Sentinel, consulte los siguientes artículos: