Compartir a través de

Uso de análisis de coincidencias para detectar amenazas

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aproveche la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes de alta fidelidad con la regla Análisis de inteligencia sobre amenazas de Microsoft Defender. Esta regla integrada de Microsoft Sentinel hace coincidir indicadores con registros de formato de evento común (CEF), eventos DNS de Windows con indicadores de amenazas de dominio e IPv4, datos de syslog, etc.

Importante

El análisis de coincidencias está actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer más términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

Debe instalar uno o varios de los conectores de datos admitidos para generar alertas e incidentes de alta fidelidad. No se requiere una licencia premium de Inteligencia contra amenazas de Microsoft Defender. Instale las soluciones adecuadas desde elCentro de contenido para conectar estos orígenes de datos:

  • Formato de evento común
  • DNS (versión preliminar)
  • syslog
  • Registros de actividad de Office
  • Registros de actividad de Azure
  • Registros DNS de ASIM
  • Sesiones de red de ASIM

Captura de pantalla que muestra las conexiones del origen de datos de la regla de análisis de Inteligencia contra amenazas de Microsoft Defender.

Por ejemplo, en función del origen de datos, puede usar las siguientes soluciones y conectores de datos:

Solución Conector de datos
Solución de formato de evento común para Sentinel Conector de formato de evento común (CEF) para Microsoft Sentinel
DNS de Windows Server Conector DNS para Microsoft Sentinel
Solución syslog para Sentinel Conector Syslog para Microsoft Sentinel
Solución de Microsoft 365 para Sentinel Conector de Office 365 para Microsoft Sentinel
Solución de actividad de Azure para Sentinel Conector Azure Activity para Microsoft Sentinel

Configuración de la regla de análisis de coincidencias

El análisis de coincidencias se configura al habilitar la regla Análisis de inteligencia sobre amenazas de Microsoft Defender.

  1. En la sección Configuración, seleccione el menú de Análisis.

  2. Seleccione la pestañaPlantillas de regla .

  3. En la ventana de búsqueda, escriba inteligencia sobre amenazas.

  4. Seleccione la plantilla de la regla Análisis de inteligencia sobre amenazas de Microsoft Defender.

  5. Seleccione Crear regla. Los detalles de la regla son de solo lectura y el estado predeterminado de la regla es habilitado.

  6. Seleccione Revisar>Crear.

Captura de pantalla que muestra la regla análisis de Inteligencia contra amenazas de Microsoft Defender habilitada en la pestaña Reglas activas.

Orígenes de datos e indicadores

Análisis de Inteligencia contra amenazas de Microsoft Defender coincide con los registros con los indicadores de dominio, IP y dirección URL de las maneras siguientes:

  • Registros CEF ingeridos en la tabla Log Analytics CommonSecurityLog coinciden con la dirección URL y los indicadores de dominio si se rellenan en el campo RequestURL, e indicadores IPv4 del campo DestinationIP.
  • Registros DNS de Windows, donde SubType == "LookupQuery" ingeridos en la tabla DnsEvents coincide con los indicadores de dominio rellenados en el campo Name, e IPv4 en el campo IPAddresses.
  • Eventos de Syslog, donde Facility == "cron" ingeridos en la tabla Syslog coincide con los indicadores de dominio e IPv4 directamente desde el campo SyslogMessage.
  • Registros de actividad de Office ingeridos en la tabla OfficeActivity coinciden con indicadores IPv4 directamente desde el campo ClientIP.
  • Registros de actividad de Azure ingeridos en la tabla AzureActivity coinciden con indicadores IPv4 directamente desde el campo CallerIpAddress.
  • Los registros DNS de ASIM ingresados ​​en la tabla ASimDnsActivityLogs coinciden con los indicadores de dominio si se completan en el campo DnsQuery y con los indicadores de IPv4 en el campo DnsResponseName.
  • Las sesiones de red ASIM ingresadas en la tabla ASimNetworkSessionLogs coinciden con los indicadores IPv4 si se completan en uno o más de los siguientes campos: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Priorizar un incidente generado por análisis de coincidencias

Si el análisis de Microsoft encuentra una coincidencia, las alertas generadas se agrupan en incidentes.

Use los pasos siguientes para realizar una evaluación de prioridades de los incidentes generados por la regla Análisis de inteligencia sobre amenazas de Microsoft Defender:

  1. En el área de trabajo de Microsoft Sentinel donde ha habilitado la regla Análisis de Inteligencia contra amenazas de Microsoft Defender, seleccione Incidentes y busque Análisis de inteligencia sobre amenazas de Microsoft Defender.

    Los incidentes que se encuentran aparecen en la cuadrícula.

  2. Seleccione Ver detalles completos para ver las entidades y otros detalles sobre el incidente, como las alertas específicas.

    Este es un ejemplo.

    Captura de pantalla del incidente generado por el análisis coincidente con el panel de detalles.

  3. Observe la gravedad asignada a las alertas y al incidente. Dependiendo de cómo coincida el indicador, se asigna una gravedad adecuada a una alerta de Informational a High. Por ejemplo, si el indicador coincide con los registros de firewall que permitían el tráfico, se genera una alerta de gravedad alta. Si el mismo indicador coincide con los registros de firewall que bloquean el tráfico, la alerta generada es baja o media.

    A continuación, las alertas se agrupan según la observación del indicador. Por ejemplo, todas las alertas generadas en un período de tiempo de 24 horas que coinciden con el dominio contoso.com se agrupan en un único incidente con una gravedad asignada en función de la gravedad de alerta máxima.

  4. Observe la información del indicador. Cuando se encuentra una coincidencia, el indicador se publica en la tabla ThreatIntelligenceIndicators de Log Analytics y aparece en la página Inteligencia sobre amenazas . Para los indicadores publicados a partir de esta regla, el origen se define como Análisis de inteligencia sobre amenazas de Microsoft Defender.

Este es un ejemplo de la tabla ThreatIntelligenceIndicators.

Captura de pantalla que muestra la tabla ThreatIntelligenceIndicator que muestra el indicador con SourceSystem de Microsoft Threat Intelligence Analytics.

Este es un ejemplo de la página Inteligencia sobre amenazas.

Captura de pantalla que muestra la información general sobre inteligencia sobre amenazas con el indicador seleccionado que muestra el origen como Análisis de inteligencia sobre amenazas de Microsoft.

Obtener más contexto de Inteligencia sobre amenazas de Microsoft Defender

Junto con alertas e incidentes de alta fidelidad, algunos indicadores de inteligencia sobre amenazas de Microsoft Defender incluyen un vínculo a un artículo de referencia en el portal de la comunidad de inteligencia sobre amenazas de Microsoft Defender.

Captura de pantalla que muestra un incidente con un vínculo al artículo de referencia de Inteligencia sobre amenazas de Microsoft Defender.

Para obtener más información, consulte ¿Qué es la inteligencia contra amenazas de Microsoft Defender?.

Contenido relacionado

En este artículo ha aprendido a conectar la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes. Para más información sobre la inteligencia sobre amenazas en Microsoft Sentinel, consulte los siguientes artículos: