Compartir a través de

Creación de una regla de análisis programada desde cero

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Ha configurado conectores y otros medios para recopilar datos de actividad en su entorno digital. Ahora debe profundizar en todos los datos para detectar patrones de actividad y detectar actividades que no se ajusten a esos patrones y que puedan representar una amenaza de seguridad.

Microsoft Sentinel y sus muchas soluciones proporcionadas en el centro de contenido ofrecen plantillas para los tipos de reglas de análisis más usados y se recomienda encarecidamente que use esas plantillas, personalizándolas para adaptarlas a escenarios específicos. Sin embargo, es posible que necesite algo completamente distinto, por lo que en ese caso puede crear una regla desde cero mediante el Asistente para reglas de Analytics.

Nota:

Si está revisando los detalles de una recomendación de optimización de SOC en la página optimización de SOC y sigue el vínculo Más información a esta página, es posible que busque la lista de reglas de análisis sugeridas. En este caso, desplácese hasta la parte inferior de la pestaña detalles de optimización y seleccione Ir al centro de contenido para buscar e instalar las reglas recomendadas específicas de esa recomendación. Para obtener más información, consulte Flujo de uso de optimización de SOC.

En este artículo se describe el proceso de creación de una regla de análisis desde cero, incluido el asistente para reglas de análisis. Va acompañado de capturas de pantalla e instrucciones para acceder al asistente tanto en Azure Portal como en el portal de Defender.

Importante

Microsoft Sentinel está disponible de manera general en el portal de Microsoft Defender, incluso para clientes que no cuentan con XDR de Microsoft Defender o una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

  • Debe tener el rol de colaborador de Microsoft Sentinel o cualquier otro rol o conjunto de permisos que incluya permisos de escritura en el área de trabajo de Log Analytics y su grupo de recursos.

  • Debe tener al menos conocimientos básicos sobre ciencia y análisis de datos, y el lenguaje de consulta Kusto.

  • Debe familiarizarse con el Asistente para reglas de análisis y todas las opciones de configuración disponibles. Para obtener más información, consulte Reglas de análisis programadas en Microsoft Sentinel.

Diseño y compilación de la consulta

Antes de hacer nada, debe diseñar y compilar una consulta en el Lenguaje de consulta Kusto (KQL), que la regla usará para consultar una o varias tablas en el área de trabajo de Log Analytics.

  1. Determine un origen de datos, o un conjunto de orígenes de datos, en el que quiera buscar para detectar actividades inusuales o sospechosas. Busque el nombre de la tabla de Log Analytics en la que se ingieren los datos desde esos orígenes. Encontrará el nombre de la tabla en la página del conector de datos de ese origen. Use el nombre de esa tabla (o una función basada en ella) como base para la consulta.

  2. Decida qué tipo de análisis debe realizar la consulta en la tabla. Esta decisión determinará qué comandos y funciones se deben usar en la consulta.

  3. Decida qué elementos de datos (campos o columnas) se deben obtener de los resultados de la consulta. Esta decisión determinará cómo se estructurará el resultado de la consulta.

  4. Compile y pruebe las consultas en la pantalla Registros . Cuando esté conforme, guarde la consulta para usarla en la regla.

Para más información, vea:

Creación de una regla de análisis

En esta sección se describe cómo crear una regla mediante los portales de Azure o Defender.

Introducción a la creación de una regla de consulta programada

Para empezar, vaya a la página Análisis de Microsoft Sentinel para crear una regla de análisis programada.

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>, Configuración> y Análisis. Para Microsoft Sentinel en Azure Portal, en Configuración, seleccione Análisis.

  2. Seleccione +Crear y seleccione Regla de consulta programada.

Asignación de un nombre a la regla y definición de la información general

En Azure Portal, las fases se representan visualmente como pestañas. En el portal de Defender, se representan visualmente como hitos en una escala de tiempo.

  1. Escriba la siguiente información para la regla.

    Campo Descripción
    Nombre Un nombre único para la regla. Este campo solo admite texto sin formato.
    Descripción Una descripción en texto libre para la regla.
    Si Microsoft Sentinel se incorpora al portal de Defender, este campo solo admite texto sin formato.
    Severidad Equipare el impacto que podría tener la actividad que desencadena la regla en el entorno de destino, si la regla es un verdadero positivo.

    Informativo: no afecta al sistema, pero la información podría ser indicativa de los pasos futuros planeados por un actor de amenazas.
    Bajo: el impacto inmediato sería mínimo. Es probable que un actor de amenazas tenga que llevar a cabo varios pasos antes de lograr un impacto en un entorno.
    Medio: el actor de amenazas podría tener algún impacto en el entorno con esta actividad, pero sería limitado en el ámbito o requerir actividad adicional.
    Alta: la actividad identificada proporciona al actor de amenazas acceso amplio para realizar acciones en el entorno o se desencadena mediante el impacto en el entorno.
    MITRE ATT&CK Elija las actividades de amenaza que se aplican a la regla. Seleccione entre las tácticas y técnicas de MITRE ATT&CK presentadas en la lista desplegable. Puede hacer selecciones múltiples.

    Para obtener más información sobre cómo maximizar su cobertura del panorama de amenazas de MITRE ATT&CK, consulte Descripción de la cobertura de seguridad por el marco MITRE ATT&CK®.
    Estado Habilitado: la regla se ejecuta inmediatamente después de la creación, o en la fecha y hora específicas que elija programar (actualmente en versión preliminar).
    Deshabilitado: se crea la regla, pero no se ejecuta. Habilite más adelante desde la pestaña Reglas activas cuando lo necesite.

  2. Seleccione Siguiente: Establecer lógica de regla.

Definición de la lógica de la regla

El siguiente paso consiste en establecer la lógica de regla que incluye agregar la consulta Kusto que ha creado.

  1. Ingrese la consulta de la regla y la configuración de mejora de alertas.

    Configuración Descripción
    Consulta de reglas Pegue la consulta que ha diseñado, compilado y probado en la ventana Consulta de regla . Cada cambio que realice en esta ventana se valida al instante, por lo que si hay algún error, verá una indicación justo debajo de la ventana.
    Asignar entidades Expanda Asignación de entidades y defina hasta 10 tipos de entidad reconocidos por Microsoft Sentinel en los campos de los resultados de la consulta. Esta asignación integra las entidades identificadas en el campo Entidades del esquema de alertas.

    Para obtener instrucciones completas sobre la asignación de entidades, consulte Asignación de campos de datos a entidades en Microsoft Sentinel.
    Destaca detalles personalizados en tus alertas Expanda Detalles personalizados y defina los campos de los resultados de la consulta que quiera exponer en las alertas como detalles personalizados. Estos campos también aparecen en los incidentes resultantes.

    Para obtener instrucciones completas sobre cómo mostrar detalles personalizados, consulta Mostrar detalles de eventos personalizados en alertas en Microsoft Sentinel.
    Personalización de los detalles de la alerta Expanden los detalles de la alerta y personalicen de manera diferente las propiedades estándar de la alerta según el contenido de varios campos en cada alerta individual. Por ejemplo, personalice el nombre o la descripción de la alerta para incluir en ella un nombre de usuario o una dirección IP.

    Para obtener instrucciones completas sobre cómo personalizar los detalles de las alertas, consulte Personalización de los detalles de alertas en Microsoft Sentinel.

  2. Programar y definir el ámbito de la consulta. Establezca los parámetros siguientes en la sección Programación de consultas :

    Configuración Descripción / Opciones
    Ejecutar consulta cada Controla el intervalo de consulta: con qué frecuencia se ejecuta la consulta.
    Intervalo permitido: de 5 minutos a 14 días.
    Buscar datos del último Determina el período de búsqueda: el período de tiempo cubierto por la consulta.
    Intervalo permitido: de 5 minutos a 14 días.
    Debe ser mayor o igual que el intervalo de consulta.
    Empezar a ejecutarse Automáticamente: la regla se ejecutará por primera vez después de crearse y después de eso en el intervalo de consulta.
    En una hora específica (versión preliminar): establezca una fecha y hora para que la regla se ejecute por primera vez, después de lo cual se ejecutará en el intervalo de consulta.
    Intervalo permitido: de 10 minutos a 30 días después de la hora de creación (o habilitación) de la regla.

  3. Establezca el umbral para crear alertas.

    Use la sección Umbral de alerta para definir el nivel de confidencialidad de la regla. Por ejemplo, establezca un umbral mínimo de 100:

    Configuración Descripción
    Generar alerta cuando el número de resultados de consulta Es mayor que
    Cantidad de eventos 100

    Si no quiere establecer un umbral, escriba 0 en el campo de número.

  4. Establezca la configuración de agrupación de eventos.

    En Agrupación de eventos, elija una de las dos maneras de controlar la agrupación de eventos en alertas:

    Configuración Comportamiento
    Agrupar todos los eventos en una sola alerta
    (predeterminado).    		 La regla genera una sola alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados que el umbral de alerta especificado por encima. Esta única alerta resume todos los eventos devueltos en los resultados de la consulta.
    Desencadenar una alerta para cada evento La regla genera una alerta única para cada evento devuelto por la consulta. Esto resulta útil si quiere que los eventos se muestren individualmente, o si quiere agruparlos según determinados parámetros (por ejemplo, por usuario, nombre de host o cualquier otro elemento). Puede definir estos parámetros en la consulta.

  5. Suprima temporalmente la regla después de generar una alerta.

    Para suprimir una regla más allá de su próxima ejecución si se genera una alerta, active la opción Detener la ejecución de la consulta después de generar la alerta. Si activa esta opción, establezca Detener la ejecución de la consulta en la cantidad de tiempo que la consulta debe dejar de ejecutarse, hasta 24 horas.

  6. Simulación de los resultados de la consulta y la configuración lógica.

    En el área Simulación de resultados, seleccione Probar con datos actuales para ver cómo se verían los resultados de su regla si se hubiera ejecutado en los datos actuales. Microsoft Sentinel simula la ejecución de la regla 50 veces sobre los datos actuales, mediante la programación definida y muestra un gráfico de los resultados (eventos de registro). Si modifica la consulta, seleccione Probar con los datos actuales de nuevo para actualizar el gráfico. El gráfico muestra el número de resultados durante el período de tiempo definido por la configuración de la sección Programación de consultas.

  7. Seleccione Siguiente: Configuración del incidente.

Configuración de la creación de incidentes

En la pestaña Configuración de incidentes , elija si Microsoft Sentinel convierte las alertas en incidentes accionables y si y cómo se agrupan las alertas en incidentes.

  1. Habilite la creación de incidentes.

    En la sección Configuración de incidentes , crear incidentes a partir de alertas desencadenadas por esta regla de análisis se establece de forma predeterminada en Habilitado, lo que significa que Microsoft Sentinel creará un único incidente independiente de cada alerta desencadenada por la regla.

    • Si no desea que esta regla genere incidentes (por ejemplo, si esta regla es solo para recopilar información para el análisis posterior), establézcala en Deshabilitado.

      Importante

      Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, deje esta opción Habilitada.

      • En este escenario, Microsoft Defender XDR crea incidentes, no Microsoft Sentinel.
      • Estos incidentes aparecen en la cola de incidentes en los portales de Azure y Defender.
      • En Azure Portal, los nuevos incidentes se muestran con "Microsoft XDR" como nombre del proveedor de incidentes.

    • Si desea que se cree un solo incidente a partir de un grupo de alertas, en lugar de uno para cada alerta, consulte el paso siguiente.

  2. Establezca la configuración de agrupación de alertas.

    En la sección Agrupación de alertas, si desea que se genere un único incidente a partir de un grupo de hasta 150 alertas similares o periódicas (consulte la nota), establezca Alertas relacionadas con el grupo, desencadenadas por esta regla de análisis, en incidentes en Habilitado y establezca los parámetros siguientes.

    1. Limitar el grupo a las alertas creadas dentro del período de tiempo seleccionado: establezca el período de tiempo en el que se agrupan las alertas similares o periódicas. Las alertas fuera de este periodo de tiempo generan un incidente, o conjunto de incidentes, independientes.

    2. Agrupar alertas desencadenadas por esta regla de análisis en un único incidente: elija cómo se agrupan las alertas:

      Opción Descripción
      Agrupa las alertas en un único incidente si todas las entidades coinciden Las alertas se agrupan si comparten valores idénticos para cada una de las entidades asignadas (definidas en la pestaña Establecer lógica de regla anterior). Esta es la configuración recomendada.
      Agrupar todas las alertas desencadenadas por esta regla en un único incidente Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos.
      Agrupa las alertas en un único incidente si las entidades seleccionadas y los detalles coinciden Las alertas se agrupan si comparten valores idénticos para todas las entidades asignadas, los detalles de las alertas y los detalles personalizados seleccionados en las listas desplegables correspondientes.

    3. Volver a abrir incidentes coincidentes cerrados: si se ha resuelto y cerrado un incidente y, más adelante, se genera otra alerta que debe pertenecer a ese incidente, establezca esta opción en Habilitado si desea que el incidente cerrado se vuelva a abrir y deje como Deshabilitado si desea que la alerta cree un nuevo incidente.

      Esta opción no está disponible cuando Microsoft Sentinel se incorpora al portal de Microsoft Defender.

    Importante

    Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, la configuración de agrupación de alertas solo surte efecto en el momento en que se crea el incidente.

    Dado que el motor de correlación del portal de Defender es responsable de la correlación de alertas en este escenario, acepta esta configuración como instrucciones iniciales, pero también puede tomar decisiones sobre la correlación de alertas que no tienen en cuenta esta configuración.

    Por lo tanto, la forma en que las alertas se agrupan en incidentes pueden ser a menudo diferentes de las que cabría esperar en función de esta configuración.

    Nota:

    Se pueden agrupar hasta 150 alertas en un único incidente.

    • El incidente solo se creará después de que se hayan generado todas las alertas. Todas las alertas se agregarán al incidente inmediatamente después de su creación.

    • Si hay más de 150 alertas generadas por una regla que las agrupa en un solo incidente, se generará un nuevo incidente con los mismos detalles del incidente que el original, y las alertas sobrantes se agruparán en el nuevo incidente.

  3. Seleccione Siguiente: Respuesta automatizada.

Revisión o adición de respuestas automatizadas

  1. En la pestaña Respuestas automatizadas , consulte las reglas de automatización que se muestran en la lista. Si quiere agregar respuestas que aún no estén cubiertas por las reglas existentes, tiene dos opciones:

    • Edite una regla existente si quiere que la respuesta agregada se aplique a muchas reglas o a todas.
    • Seleccione Agregar nuevo para crear una nueva regla de automatización que solo se aplicará a esta regla de análisis.

    Para más información sobre lo que puede usar las reglas de automatización, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

    • En Automatización de alertas (clásico) en la parte inferior de la pantalla, verá los cuadernos de estrategias que haya configurado para ejecutarse automáticamente cuando se genere una alerta mediante el método anterior.

      • A partir de junio de 2023, ya no puede agregar cuadernos de estrategias a esta lista. Los cuadernos de estrategias que ya aparecen aquí seguirán ejecutándose hasta que este método esté en desuso , a partir de marzo de 2026.

      • Si sigue teniendo alguno de los cuadernos de estrategias enumerados aquí, debe crear una regla de automatización basada en el desencadenador creado por la alerta e invocar el cuaderno de estrategias desde la regla de automatización. Una vez hecho esto, seleccione los puntos suspensivos al final de la línea del cuaderno de estrategias que se muestra aquí y seleccione Quitar. Consulte Migración de cuadernos de estrategias de desencadenamiento de alertas de Microsoft Sentinel a reglas de automatización para ver las instrucciones completas.

  2. Seleccione Siguiente: Revisar y crear para revisar toda la configuración de la nueva regla de análisis.

Validación de la configuración y creación de la regla

  1. Cuando aparezca el mensaje "Validación pasada", seleccione Crear.

  2. Si en su lugar aparece un error, busque y seleccione la X de color rojo en la pestaña del asistente donde se ha producido el error.

  3. Corrija el error y vuelva a la pestaña Revisar y crear para volver a ejecutar la validación.

Visualización de la regla y su salida

Visualización de la definición de la regla

Puede encontrar la regla personalizada recién creada (de tipo "Programado") en la tabla en la pestaña Reglas activas de la pantalla principal de Análisis . Desde esta lista puede habilitar, deshabilitar o eliminar cada regla.

Visualización de los resultados de la regla

Para ver los resultados de las reglas de análisis que cree en el portal de Defender, expanda Investigación y respuesta en el menú de navegación y, a continuación, Incidentes y alertas. Vea los incidentes en la página Incidentes , donde puede evaluar los incidentes, investigarlos y corregir las amenazas. Vea alertas individuales en la página Alertas .

Captura de pantalla de la página incidentes en Azure Portal.

Ajuste de la regla

Nota:

Las alertas generadas en Microsoft Sentinel están disponibles a través de Microsoft Graph Security. Para obtener más información, consulte la documentación de alertas de Microsoft Graph Security.

Exportación de la regla a una plantilla de ARM

Si desea empaquetar la regla para que se administre e implemente como código, puede exportar fácilmente la regla a una plantilla de Azure Resource Manager (ARM). También puede importar reglas de archivos de plantilla para verlos y editarlos en la interfaz de usuario.

Pasos siguientes

Al usar reglas de análisis para detectar amenazas de Microsoft Sentinel, asegúrese de habilitar todas las reglas asociadas a los orígenes de datos conectados para garantizar la cobertura de seguridad completa para su entorno.

Para automatizar la activación de reglas, impulsarlas a Microsoft Sentinel a través de la API y PowerShell requiere un esfuerzo adicional. Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden ser útiles al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.

Para más información, vea:

Además, obtenga información sobre el uso de reglas de análisis personalizadas al supervisar Zoom con un conector personalizado.