Compartir a través de


Uso de indicadores de amenazas en reglas de análisis

Potencie las reglas de análisis con sus indicadores de amenazas para generar automáticamente alertas en función de la inteligencia sobre amenazas integrada.

Requisitos previos

  • Indicadores de amenazas. Estos indicadores pueden ser de fuentes de inteligencia sobre amenazas, plataformas de inteligencia sobre amenazas, importación masiva desde un archivo plano o una entrada manual.
  • Orígenes de datos. Los eventos de los conectores de datos deben fluir al área de trabajo de Microsoft Sentinel.
  • Una regla de análisis del formato TI map.... Debe usar este formato para que pueda asignar los indicadores de amenazas que tenga con los eventos que ingerió.

Configuración de una regla para generar alertas de seguridad

En el ejemplo siguiente se muestra cómo habilitar y configurar una regla para generar alertas de seguridad mediante los indicadores de amenazas que importó en Microsoft Sentinel. En este ejemplo, se ysa la plantilla de regla llamada TI map IP entity to AzureActivity. Esta regla coincide con cualquier indicador de amenazas de tipo de dirección IP con todos los eventos de actividad de Azure. Cuando se encuentra una coincidencia, se genera una alerta junto con un incidente correspondiente para la investigación por parte del equipo de operaciones de seguridad.

Esta regla de análisis concreta requiere el conector de datos de actividad de Azure (para importar los eventos de nivel de suscripción de Azure). También requiere uno o ambos conectores de datos de Inteligencia sobre amenazas (para importar indicadores de amenazas). Esta regla también se desencadena a partir de indicadores importados o de los creados manualmente.

  1. En el Portal de Azure, vaya a Microsoft Sentinel.

  2. Elija el área de trabajo a la que importó los indicadores de amenazas mediante los conectores de datos de inteligencia sobre amenazas y los datos de actividad de Azure mediante el conector de datos de actividad de Azure.

  3. En el menú de Microsoft Sentinel, en la sección Configuración, seleccione Analytics.

  4. Seleccione la pestaña Plantillas de reglas para ver la lista de plantillas de reglas de análisis disponibles.

  5. Busque la regla titulada Entidad IP de asignación de TI a AzureActivityy asegúrese de que ha conectado todos los orígenes de datos necesarios.

    Captura de pantalla que muestra los orígenes de datos necesarios para la entidad IP de asignación de TI a la regla de análisis AzureActivity.

  6. Seleccione la regla entidad IP de asignación de TI a AzureActivity. A continuación, seleccione Crear regla para abrir un asistente para configuración de reglas. Configure los valores en el asistente y, después, seleccione Siguiente: Establecer la lógica de la regla >.

    Captura de pantalla que muestra el Asistente para crear configuración de reglas de análisis.

  7. La parte lógica de regla del asistente se rellena previamente con los siguientes elementos:

    • Consulta que se usa en la regla.
    • Asignaciones de entidades, que indican a Microsoft Sentinel cómo reconocer entidades como cuentas, direcciones IP y direcciones URL. Los incidentes y las investigaciones pueden comprender cómo trabajar con los datos en las alertas de seguridad generadas por esta regla.
    • La programación para ejecutar esta regla.
    • El número de resultados de la consulta necesarios antes de que se genere una alerta de seguridad.

    La configuración predeterminada de la plantilla es:

    • Ejecute una vez por hora.
    • Coincide con los indicadores de amenazas de dirección IP de la tabla ThreatIntelligenceIndicator con cualquier dirección IP que se encuentre en la última hora de eventos de la tabla AzureActivity.
    • Genere una alerta de seguridad si los resultados de la consulta son mayores que cero para indicar que se encontraron coincidencias.
    • Asegúrese de que la regla está habilitada.

    Puede dejar la configuración predeterminada o cambiarla para cumplir sus requisitos. Puede definir la configuración de generación de incidentes en la pestaña Configuración de incidentes. Para obtener más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas. Cuando haya terminado, seleccione la pestaña Respuesta automatizada.

  8. Configure cualquier automatización que desee desencadenar cuando se genere una alerta de seguridad a partir de esta regla de análisis. La automatización en Microsoft Sentinel usa combinaciones de reglas de automatización y cuadernos de estrategias con tecnología de Azure Logic Apps. Para obtener más información, consulte Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel. Cuando haya terminado, seleccione Siguiente: Revisar > para continuar.

  9. Cuando vea un mensaje que indica que se ha superado la validación de la regla, seleccione Crear.

Revisión de las reglas

Busque la regla habilitada en la pestaña Reglas activas de la sección Análisis de Microsoft Sentinel. Edite, habilite, deshabilite, duplique o elimine la regla activa desde allí. La nueva regla se ejecuta inmediatamente después de la activación y, a continuación, se ejecuta en su programación definida.

Según la configuración predeterminada, cada vez que la regla se ejecuta según su programación, los resultados encontrados generan una alerta de seguridad. Para ver las alertas de seguridad en Microsoft Sentinel en la sección Registros de Microsoft Sentinel, en el grupo Microsoft Sentinel, consulte la tabla SecurityAlert.

En Microsoft Sentinel, las alertas generadas a partir de reglas de análisis también generan incidentes de seguridad. En el menú de Microsoft Sentinel, en Administración de amenazas, seleccione Incidentes. Los incidentes son aquello que los equipos de operaciones de seguridad investigarán y cuyas prioridades evaluarán para determinar las acciones de respuesta adecuadas. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.

Nota:

Dado que las reglas de análisis limitan búsqueda después de catorce días, Microsoft Sentinel actualiza los indicadores cada doce días para asegurar su disponibilidad para las coincidencias a través de las reglas de análisis.

En este artículo, se le ha ofrecido información sobre cómo se usan los indicadores de inteligencia sobre amenazas para detectar amenazas. Para más información sobre la inteligencia sobre amenazas en Microsoft Sentinel, consulte los siguientes artículos: