Detección de amenazas integrada

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Después de conectar los orígenes de datos a Microsoft Sentinel, puede recibir una notificación cuando suceda algo sospechoso. Por este motivo, Microsoft Sentinel proporciona plantillas integradas predefinidas para ayudarle a crear reglas de detección de amenazas.

Las plantillas de reglas las ha diseñado un equipo de expertos y analistas en seguridad de Microsoft a partir de amenazas conocidas, vectores de ataque habituales y cadenas de escalado de actividades sospechosas. Las reglas creadas a partir de estas plantillas buscarán automáticamente en el entorno las actividades que parezcan sospechosas. Muchas de las plantillas se pueden personalizar para buscar o filtrar actividades, según sus necesidades. Las alertas generadas por estas reglas crearán incidentes que puede asignar e investigar en su entorno.

Este artículo le ayuda a comprender cómo detectar amenazas con Microsoft Sentinel:

  • Uso de detecciones de amenazas predefinidas
  • Automatizar las respuestas frente a amenazas

Visualización de detecciones integradas

Para ver todas las detecciones y reglas de análisis de Microsoft Sentinel, vaya a Análisis>Plantillas de regla. Esta pestaña contiene todas las reglas integradas de Microsoft Sentinel, así como el tipo de regla de inteligencia sobre amenazas.

Captura de pantalla de las reglas de detección integradas para buscar amenazas con Microsoft Sentinel.

Entre las detecciones integradas, se incluyen las siguientes:

Tipo de regla Descripción
Seguridad de Microsoft Las plantillas de seguridad de Microsoft crean automáticamente incidentes de Microsoft Sentinel a partir de las alertas generadas en otras soluciones de seguridad de Microsoft, en tiempo real. Puede usar las reglas de seguridad de Microsoft como plantilla para crear nuevas reglas con una lógica parecida.

Para más información sobre las reglas de seguridad, consulte Creación automática de incidentes a partir de alertas de seguridad de Microsoft.
Fusion
(algunas detecciones en versión preliminar)
Microsoft Sentinel usa el motor de correlación de Fusion, que cuenta con algoritmos de aprendizaje automático escalables con los que detecta ataques avanzados de varias fases. Para ello, correlaciona muchas alertas y eventos de baja fidelidad de varios productos con incidentes útiles y de alta fidelidad. La fusión está habilitada de manera predeterminada. Dado que la lógica está oculta y, por lo tanto, no se puede personalizar, solo puede crear una regla con esta plantilla.

El motor de Fusion también puede correlacionar las alertas generadas por las reglas de análisis programadas con las de otros sistemas, lo que da lugar a incidentes de alta fidelidad.
Análisis de comportamiento de aprendizaje automático (ML) Las plantillas de análisis de comportamiento de aprendizaje automático se basan en algoritmos de aprendizaje automático de Microsoft, por lo que no puede ver la lógica interna de cómo funcionan ni cuándo se ejecutan.

Dado que la lógica está oculta y, por lo tanto, no se puede personalizar, solo puede crear una regla con cada plantilla de este tipo.
Inteligencia sobre amenazas Aproveche la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes de alta fidelidad con la regla de Análisis de Inteligencia sobre amenazas de Microsoft. Esta regla única no es personalizable, pero cuando está habilitada, coincide automáticamente con los registros del formato de evento común (CEF), los datos de Syslog o los eventos DNS de Windows con indicadores de amenazas de dominio, IP y dirección URL de la inteligencia sobre amenazas de Microsoft. Algunos indicadores contendrán información de contexto adicional mediante MDTI (Inteligencia contra amenazas de Microsoft Defender).

Para más información sobre cómo habilitar esta regla, consulte Uso de análisis de coincidencias para detectar amenazas.
Para más información sobre MDTI, consulte ¿Qué es Inteligencia contra amenazas de Microsoft Defender (Defender TI)?
Anomalía Las plantillas de reglas de anomalías usan el aprendizaje automático para detectar tipos específicos de comportamiento anómalo. Cada regla tiene sus propios parámetros y umbrales únicos, adecuados para el comportamiento que se está analizando.

Aunque las configuraciones de las reglas predeterminadas no se pueden cambiar ni ajustar, puede duplicar una regla y, a continuación, cambiar y ajustar el duplicado. En tales casos, ejecute el duplicado en modo Distribución de paquetes piloto y el original de manera simultánea en modo Producción. Luego compare los resultados y cambie el duplicado a Producción siempre que se ajuste a lo que espera.

Para más información, vea Uso de anomalías personalizables para detectar amenazas en Microsoft Sentinel y Uso de reglas de análisis de detección de anomalías en Microsoft Sentinel.
Programadas Las reglas de análisis programado se basan en consultas integradas escritas por expertos de seguridad de Microsoft. Puede ver la lógica de consulta y realizar cambios en ella. Puede usar la plantilla de reglas programadas y personalizar la lógica de consulta y la configuración de programación para crear otras reglas.

Varias plantillas de reglas de análisis programadas nuevas generan alertas correlacionadas por el motor de Fusion con alertas de otros sistemas para generar incidentes de alta fidelidad. Para obtener más información, consulte Detección avanzada de ataques de varias fases.

Sugerencia: Las opciones de programación de reglas incluyen configurar la regla para que se ejecute cada número especificado de minutos, horas o días, y el tiempo empezará a correr al habilitar la regla.

Recomendamos tener en cuenta cuándo se activa una regla de análisis nueva o editada para garantizar que las reglas reciban la nueva pila de incidentes a tiempo. Por ejemplo, es posible que desee ejecutar una regla en sincronización con el momento en que sus analistas SOC comienzan su jornada laboral, y activar las reglas en ese momento.
Casi en tiempo real (NRT)
(versión preliminar)
Las reglas NRT son un conjunto limitado de reglas programadas, diseñadas para ejecutarse una vez al minuto, con el fin de proporcionar información lo más actualizada posible.

Funcionan principalmente como reglas programadas y se configuran de forma similar, con algunas limitaciones. Para obtener más información, vea Detección rápida de amenazas con reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.

Importante

Las plantillas de regla indicadas anteriormente se encuentran actualmente en VERSIÓN PRELIMINAR, al igual que algunas de las plantillas de detección de Fusión (consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel par adeterminar cuáles). Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Uso de reglas de análisis integradas

En este procedimiento se describe cómo usar plantillas de reglas de análisis integradas.

Para usar reglas de análisis integradas:

  1. En la página Microsoft Sentinel >Análisis>Plantillas de regla, seleccione un nombre de plantilla y, luego, el botón Crear regla en el panel de detalles a fin de crear una regla activa basada en esa plantilla.

    Cada plantilla tiene una lista de orígenes de datos necesarios. Al abrir la plantilla, se comprueba automáticamente la disponibilidad de los orígenes de datos. Si hay un problema de disponibilidad, es posible que el botón Crear regla esté deshabilitado, o puede que vea una advertencia a tal efecto.

    Panel de vista previa de reglas de detección

  2. Al seleccionar Crear regla, se abrirá el Asistente para la creación de reglas basado en la plantilla seleccionada. Todos los detalles se rellenan automáticamente y, con las plantillas Programado o Microsoft security (Seguridad de Microsoft), puede personalizar la lógica y otras configuraciones de reglas para satisfacer mejor sus necesidades específicas. Este proceso puede repetirse para crear reglas adicionales en función de la plantilla integrada. Después de seguir los pasos del Asistente para la creación de reglas hasta el final, habrá terminado de crear una regla basada en la plantilla. Las nuevas reglas aparecerán en la pestaña Active rules (Reglas activas).

    Para obtener más detalles sobre cómo personalizar las reglas en el Asistente para la creación de reglas, consulte Creación de reglas de análisis personalizadas para detectar amenazas.

Sugerencia

  • Asegúrese de habilitar todas las reglas asociadas con los orígenes de datos conectados a fin de garantizar una cobertura de seguridad completa para el entorno. La manera más eficaz de habilitar las reglas de análisis es hacerlo directamente en la página del conector de datos, que enumera las reglas relacionadas. Para obtener más información, consulte Conexión con orígenes de datos.

  • También puede insertar reglas en Microsoft Sentinel mediante API y PowerShell , aunque para ello es necesario un trabajo adicional.

    Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden ser útiles al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.

Exportación de reglas a una plantilla de ARM

Puede exportar fácilmente la regla a una plantilla de Azure Resource Manager (ARM) si desea administrar e implementar las reglas como código. También puede importar reglas de archivos de plantilla para verlos y editarlos en la interfaz de usuario.

Pasos siguientes