Alertas, incidentes y correlación en XDR de Microsoft Defender
En XDR de Microsoft Defender, las alertas son señales de una colección de orígenes que resultan de varias actividades de detección de amenazas. Estas señales indican la aparición de eventos malintencionados o sospechosos en su entorno. Las alertas a menudo pueden formar parte de un caso de ataque más amplio y complejo, y las alertas relacionadas se agregan y correlacionan para formar incidentes que representan estos casos de ataque.
Los incidentes proporcionan la imagen completa de un ataque. Los algoritmos de XDR de Microsoft Defender correlacionan automáticamente las señales (alertas) de todas las soluciones de seguridad y cumplimiento de Microsoft, así como de un gran número de soluciones externas a través de Microsoft Sentinel y Microsoft Defender for Cloud. Defender XDR identifica varias señales como pertenecientes al mismo caso de ataque, mediante la inteligencia artificial para supervisar continuamente sus orígenes de telemetría y agregar más pruebas a incidentes ya abiertos.
Los incidentes también funcionan como "archivos de casos", lo que le proporciona una plataforma para administrar y documentar las investigaciones. Para obtener más información sobre la funcionalidad de los incidentes en este sentido, consulte Respuesta a incidentes en el portal de Microsoft Defender.
Importante
Microsoft Sentinel ya está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Este es un resumen de los principales atributos de incidentes y alertas, y las diferencias entre ellos:
Incidentes:
- Son la principal "unidad de medida" del trabajo del Centro de operaciones de seguridad (SOC).
- Muestra el contexto más amplio de un ataque: la historia del ataque.
- Represente "archivos de casos" de toda la información necesaria para investigar la amenaza y los resultados de la investigación.
- Los crea XDR de Microsoft Defender para contener al menos una alerta y, en muchos casos, contienen muchas alertas.
- Desencadene una serie automática de respuestas a la amenaza mediante reglas de automatización, interrupción de ataques y cuadernos de estrategias.
- Registre toda la actividad relacionada con la amenaza y su investigación y resolución.
Alertas:
- Representa las partes individuales de la historia que son esenciales para comprender e investigar el incidente.
- Los crean muchos orígenes diferentes tanto internos como externos en el portal de Defender.
- Se pueden analizar por sí mismos para agregar valor cuando se requiere un análisis más profundo.
- Puede desencadenar investigaciones y respuestas automáticas en el nivel de alerta para minimizar el posible impacto en la amenaza.
Orígenes de alertas
Muchos orígenes generan alertas XDR de Microsoft Defender:
Soluciones que forman parte de XDR de Microsoft Defender
- Microsoft Defender para punto de conexión
- Microsoft Defender para Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Complemento de gobernanza de aplicaciones para Microsoft Defender for Cloud Apps
- Protección de Microsoft Entra ID
- Prevención de pérdida de datos de Microsoft
Otros servicios que tienen integraciones con el portal de seguridad de Microsoft Defender
- Microsoft Sentinel
- Soluciones de seguridad que no son de Microsoft que pasan sus alertas a Microsoft Sentinel
- Microsoft Defender for Cloud
El propio XDR de Microsoft Defender también crea alertas. Con Microsoft Sentinel incorporado a la plataforma de operaciones de seguridad unificadas, el motor de correlación de XDR de Microsoft Defender ahora tiene acceso a todos los datos sin procesar ingeridos por Microsoft Sentinel. (Puede encontrar estos datos en tablas de búsqueda avanzadas ). Las funcionalidades únicas de correlación de Defender XDR proporcionan otra capa de análisis de datos y detección de amenazas para todas las soluciones que no son de Microsoft en su patrimonio digital. Estas detecciones generan alertas XDR de Defender, además de las alertas ya proporcionadas por las reglas de análisis de Microsoft Sentinel.
Cuando se muestran juntos alertas de orígenes diferentes, el origen de cada alerta se indica mediante conjuntos de caracteres antepuestos al identificador de alerta. La tabla Orígenes de alerta asigna los orígenes de alerta al prefijo de identificador de alerta.
Creación de incidentes y correlación de alertas
Cuando los distintos mecanismos de detección generan alertas en el portal de seguridad de Microsoft Defender, como se describe en la sección anterior, Defender XDR las coloca en incidentes nuevos o existentes según la lógica siguiente:
| Escenario | Decision |
|---|---|
| La alerta es lo suficientemente única en todos los orígenes de alerta dentro de un período de tiempo determinado. | Defender XDR crea un nuevo incidente y le agrega la alerta. |
| La alerta está lo suficientemente relacionada con otras alertas,desde el mismo origen o entre orígenes, dentro de un período de tiempo determinado. | XDR de Defender agrega la alerta a un incidente existente. |
Los criterios que Usa Microsoft Defender para correlacionar alertas en un único incidente forman parte de su lógica de correlación interna y propietaria. Esta lógica también es responsable de proporcionar un nombre adecuado al nuevo incidente.
Correlación y combinación de incidentes
Las actividades de correlación de XDR de Microsoft Defender no se detienen cuando se crean incidentes. XDR de Defender sigue detectando las similitudes y las relaciones entre incidentes y entre alertas entre incidentes. Cuando se determina que dos o más incidentes son lo suficientemente parecidos, Defender XDR combina los incidentes en un único incidente.
¿Cómo hace Defender XDR esa determinación?
El motor de correlación de Defender XDR combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes, en función de su profundo conocimiento de los datos y del comportamiento de ataque. Algunos de estos elementos incluyen:
- Entidades: recursos como usuarios, dispositivos, buzones de correo y otros
- Artefactos: archivos, procesos, remitentes de correo electrónico y otros
- Períodos de tiempo
- Secuencias de eventos que apuntan a ataques de varias fases, por ejemplo, un evento de clic de correo electrónico malintencionado que sigue de cerca una detección de correo electrónico de suplantación de identidad (phishing).
¿Cuándo no se combinan los incidentes?
Incluso cuando la lógica de correlación indica que se deben combinar dos incidentes, Defender XDR no combina los incidentes en las siguientes circunstancias:
- Uno de los incidentes tiene el estado "Cerrado". Los incidentes que se resuelven no se vuelven a abrir.
- Los dos incidentes aptos para la combinación se asignan a dos personas diferentes.
- La combinación de los dos incidentes elevaría el número de entidades del incidente combinado por encima del máximo permitido.
- Los dos incidentes contienen dispositivos en grupos de dispositivos diferentes según lo definido por la organización.
(Esta condición no está en vigor de forma predeterminada; debe estar habilitada).
¿Qué ocurre cuando se combinan los incidentes?
Cuando se combinan dos o más incidentes, no se crea un nuevo incidente para absorberlos. En su lugar, el contenido de un incidente se migra al otro incidente y el incidente abandonado en el proceso se cierra automáticamente. El incidente abandonado ya no está visible ni está disponible en XDR de Microsoft Defender y cualquier referencia a él se redirige al incidente consolidado. El incidente cerrado y abandonado sigue siendo accesible en Microsoft Sentinel en Azure Portal. El contenido de los incidentes se controla de las siguientes maneras:
- Las alertas contenidas en el incidente abandonado se quitan de él y se agregan al incidente consolidado.
- Las etiquetas aplicadas al incidente abandonado se quitan de él y se agregan al incidente consolidado.
- Se agrega una
Redirectedetiqueta al incidente abandonado. - Las entidades (recursos etcetera) siguen las alertas a las que están vinculadas.
- Las reglas de análisis registradas como implicadas en la creación del incidente abandonado se agregan a las reglas registradas en el incidente consolidado.
- Actualmente, los comentarios y las entradas del registro de actividad en el incidente abandonado no se mueven al incidente consolidado.
Para ver los comentarios y el historial de actividad del incidente abandonado, abra el incidente en Microsoft Sentinel en Azure Portal. El historial de actividades incluye el cierre del incidente y la adición y eliminación de alertas, etiquetas y otros elementos relacionados con la combinación de incidentes. Estas actividades se atribuyen a la identidad XDR de Microsoft Defender: correlación de alertas.
Correlación manual
Aunque XDR de Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que quiera decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que puede vincular la alerta a otro incidente existente o a un nuevo incidente que cree en el lugar.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.
Siguientes pasos
Más información sobre incidentes, investigación y respuesta: Respuesta a incidentes en el portal de Microsoft Defender
Vea también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de