Agregación de entidades a la inteligencia sobre amenazas en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal

Durante una investigación, se examinan las entidades y su contexto como parte importante de la comprensión del ámbito y la naturaleza de un incidente. Al detectar una entidad como un nombre de dominio malintencionado, una dirección URL, un archivo o una dirección IP en el incidente, se debe etiquetar y realizar un seguimiento como un indicador de peligro (IOC) en la inteligencia sobre amenazas.

Por ejemplo, detecta una dirección IP que realiza exámenes de puerto a través de la red o funciona como un nodo de comando y control, enviando o recibiendo transmisiones de un gran número de nodos de la red.

Microsoft Sentinel le permite marcar estos tipos de entidades directamente desde la investigación de incidentes y agregarlo a la inteligencia sobre amenazas. Puede ver los indicadores agregados en Registros y inteligencia sobre amenazas, y usarlos en el área de trabajo de Microsoft Sentinel.

Adición de una entidad a la inteligencia sobre amenazas

La nueva página de detalles del incidente proporciona otra manera de agregar entidades a la inteligencia sobre amenazas, además del gráfico de investigación. A continuación se muestran los dos modos.

Página de detalles del incidente

1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

2. Seleccione un incidente para investigar. En el panel de detalles del incidente, seleccione Ver detalles completos para abrir la página de detalles del incidente.

   

3. Seleccione la entidad del widget Entidades que quiera agregar como indicador de amenaza. (Puede filtrar la lista o escribir una cadena de búsqueda para ayudarle a localizarla).

4. Seleccione los tres puntos a la derecha de la entidad y seleccione Agregar a TI en el menú emergente.

   Solo se pueden agregar los siguientes tipos de entidades como indicadores de amenazas:

   • Nombre de dominio
   • Dirección IP (IPv4 e IPv6)
   • URL
   • Archivo (hash)

   

Grafo de investigación

El gráfico de investigación es una herramienta visual e intuitiva que presenta conexiones y patrones y permite a los analistas formular las preguntas adecuadas y seguir a los clientes potenciales. Puede usarlo para agregar entidades a las listas de indicadores de inteligencia sobre amenazas, lo que hace que estén disponibles en el área de trabajo.

1. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

2. Seleccione un incidente para investigar. En el panel de detalles del incidente, seleccione el botón Acciones y elija Investigar en el menú emergente. Se abrirá el gráfico de investigación.

   

3. Seleccione la entidad del gráfico que quiera agregar como indicador de amenaza. Se abrirá un panel lateral a la derecha. Seleccione Agregar a TI.

   Solo se pueden agregar los siguientes tipos de entidades como indicadores de amenazas:

   • Nombre de dominio
   • Dirección IP (IPv4 e IPv6)
   • URL
   • Archivo (hash)

   

Sea cual sea la interfaz que elija, acabará aquí:

1. Se abrirá el panel lateral Nuevo indicador. Los campos siguientes se rellenarán automáticamente:

   • Tipo

     • Tipo de indicador representado por la entidad que va a agregar.
       Lista desplegable con valores posibles: ipv4-addr, ipv6-addr, URL, file, domain-name
     • Obligatorio; rellenado automáticamente en función del tipo de entidad.

   • Valor

     • El nombre de este campo cambia dinámicamente al tipo de indicador seleccionado.
     • Valor del indicador propiamente.
     • Obligatorio; rellenado automáticamente por el valor de la entidad.

   • Etiquetas

     • Etiquetas de texto libre que puede agregar al indicador.
     • Opcional; rellenado automáticamente por el identificador de incidente. Puede añadir otros.

   • Nombre

     • Nombre del indicador: esto es lo que se mostrará en la lista de indicadores.
     • Opcional; rellenado automáticamente por el nombre de incidente.

   • Creado por

     • Creador del indicador.
     • Opcional; rellenado automáticamente por el usuario que ha iniciado sesión en Microsoft Sentinel.

   Rellene los campos restantes en consecuencia.

   • Tipo de amenaza

     • Tipo de amenaza representado por el indicador.
     • Opcional; texto libre.

   • Descripción

     • Descripción del indicador.
     • Opcional; texto libre.

   • Revocada

     • Estado revocado del indicador. Marque la casilla para revocar el indicador o no la marque para activarlo.
     • Opcional; booleano.

   • Confidence

     • Puntuación que refleja la confianza en la exactitud de los datos, en porcentaje.
     • Opcional; entero, 1-100

   • Cadena de eliminación

     • Fases de Cyber Kill Chain de Kockheed Martin a las que corresponde el indicador.
     • Opcional; texto libre

   • Válido desde

     • Hora a partir de la cual este indicador se considera válido.
     • Obligatorio; fecha/hora

   • Válido hasta

     • Hora a partir de la cual este indicador ya no debe considerarse válido.
     • Opcional; fecha/hora

   

2. Cuando todos los campos estén rellenados como quiera, seleccione Aplicar. Verá un mensaje de confirmación en la esquina superior derecha indicando que se creó el indicador.

3. La entidad se agregará como indicador de amenaza en el área de trabajo. Puede encontrarlo en la lista de indicadores de la página Inteligencia sobre amenazas y también en la tabla ThreatIntelligenceIndicators de Registros.

Contenido relacionado

En este artículo, ha aprendido a agregar entidades a las listas de indicadores de amenazas. Para más información, consulte:

• Investigación de incidentes con Microsoft Sentinel
• Descripción de la inteligencia sobre amenazas en Microsoft Azure Sentinel
• Trabajo con los indicadores de amenazas en Microsoft Sentinel