Detección avanzada de ataques de varias fases en Microsoft Sentinel

Importante

Las detecciones personalizadas ahora son la mejor manera de crear nuevas reglas en Microsoft Sentinel Microsoft Defender XDR SIEM. Con las detecciones personalizadas, puede reducir los costos de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración sin problemas con Defender XDR datos, funciones y acciones de corrección con la asignación automática de entidades. Para obtener más información, lea este blog.

Microsoft Sentinel usa Fusion, un motor de correlación basado en algoritmos de aprendizaje automático escalables, para detectar automáticamente ataques de varias fases (también conocidos como amenazas persistentes avanzadas o APT) mediante la identificación de combinaciones de comportamientos anómalo y actividades sospechosas que se observan en varias fases de la cadena de eliminación. En función de estas detecciones, Microsoft Sentinel genera incidentes que, de lo contrario, serían difíciles de detectar. Estos incidentes constan de dos o más alertas o actividades. Por diseño, estos incidentes son de bajo volumen, alta fidelidad y gravedad alta.

Esta tecnología de detección, personalizada para su entorno, no solo reduce las tasas de falsos positivos , sino que también puede detectar ataques con información limitada o que falta.

Dado que Fusion correlaciona varias señales de diversos productos para detectar ataques avanzados de varias fases, las detecciones de Fusion correctas se presentan como incidentes de Fusion en la página incidentes de Microsoft Sentinel y no como alertas, y se almacenan en la tabla SecurityIncident de registros y no en la tabla SecurityAlert.

Configuración de Fusion

Fusion está habilitado de forma predeterminada en Microsoft Sentinel, como una regla de análisis denominada Advanced multistage attack detection (Detección avanzada de ataques de varias fases). Puede ver y cambiar el estado de la regla, configurar las señales de origen para que se incluyan en el modelo de Fusion ML o excluir patrones de detección específicos que pueden no ser aplicables a su entorno de la detección de Fusion. Obtenga información sobre cómo configurar la regla de Fusion.

Nota:

Microsoft Sentinel actualmente usa 30 días de datos históricos para entrenar los algoritmos de aprendizaje automático del motor de Fusion. Estos datos siempre se cifran mediante las claves de Microsoft a medida que pasan por la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante claves administradas por el cliente (CMK) si ha habilitado CMK en el área de trabajo de Microsoft Sentinel. Para no participar en Fusion, vaya a Microsoft Sentinel>Reglas activas de Configuration>Analytics>, haga clic con el botón derecho en la regla Detección avanzada de ataques de varias fases y seleccione Deshabilitar.

Para Microsoft Sentinel áreas de trabajo que se incorporan al portal de Microsoft Defender, Fusion está deshabilitada. Su funcionalidad se reemplaza por el motor de correlación de Microsoft Defender XDR.

Fusión para amenazas emergentes

Importante

Las detecciones de Fusion indicadas están actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Configuración de Fusion

Fusion está habilitado de forma predeterminada en Microsoft Sentinel, como una regla de análisis denominada Advanced multistage attack detection (Detección avanzada de ataques de varias fases). Puede ver y cambiar el estado de la regla, configurar las señales de origen para que se incluyan en el modelo de Fusion ML o excluir patrones de detección específicos que podrían no ser aplicables a su entorno de la detección de Fusion. Obtenga información sobre cómo configurar la regla de Fusion.

Es posible que quiera no participar en Fusion si ha habilitado claves administradas por el cliente (CMK) en el área de trabajo. Microsoft Sentinel actualmente usa 30 días de datos históricos para entrenar los algoritmos de aprendizaje automático del motor de Fusion, y estos datos siempre se cifran mediante las claves de Microsoft a medida que pasan por la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante CMK. Para no participar en Fusion, deshabilite la regla Análisis avanzado de detección de ataques multiestage en Microsoft Sentinel. Para obtener más información, vea Configurar reglas de Fusion.

Fusion se deshabilita cuando Microsoft Sentinel se incorpora al portal de Defender. En su lugar, al trabajar en el portal de Defender, la funcionalidad proporcionada por Fusion se reemplaza por el motor de correlación de Microsoft Defender XDR.

Fusion para amenazas emergentes (versión preliminar)

El volumen de eventos de seguridad sigue creciendo y el ámbito y la sofisticación de los ataques aumentan cada vez más. Podemos definir los escenarios de ataque conocidos, pero ¿qué tal las amenazas emergentes y desconocidas en su entorno?

el motor fusionado con tecnología ml de Microsoft Sentinel puede ayudarle a encontrar las amenazas emergentes y desconocidas en su entorno mediante la aplicación de análisis de ML extendido y la correlación de un ámbito más amplio de señales anómalas, a la vez que mantiene baja la fatiga de alertas.

Los algoritmos de aprendizaje automático del motor de Fusion aprenden constantemente de los ataques existentes y aplican análisis basados en cómo piensan los analistas de seguridad. Por lo tanto, puede detectar amenazas no detectadas anteriormente de millones de comportamientos anómalos en toda la cadena de eliminación en todo el entorno, lo que le ayuda a mantenerse un paso por delante de los atacantes.

Fusion para amenazas emergentes admite la recopilación y el análisis de datos de los orígenes siguientes:

• Detecciones de anomalías integradas

• Alertas de servicios de Microsoft:

  • Protección de Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender para IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365

• Alertas de reglas de análisis programadas. Las reglas de análisis deben contener información sobre la cadena de eliminación (tácticas) y la asignación de entidades para que Fusion la use.

No es necesario que haya conectado todos los orígenes de datos enumerados anteriormente para que Fusion para las amenazas emergentes funcione. Sin embargo, cuantos más orígenes de datos haya conectado, más amplia será la cobertura y más amenazas encontrará Fusion.

Cuando las correlaciones del motor de Fusion dan lugar a la detección de una amenaza emergente, Microsoft Sentinel genera un incidente de gravedad alta titulado Posibles actividades de ataque de varias fases detectadas por Fusion.

Fusión para ransomware

el motor de Fusion de Microsoft Sentinel genera un incidente cuando detecta varias alertas de diferentes tipos de los siguientes orígenes de datos y determina que podrían estar relacionadas con la actividad de ransomware:

• Microsoft Defender for Cloud
• Microsoft Defender para punto de conexión
• conector de Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Sentinel reglas de análisis programadas. Fusion solo tiene en cuenta las reglas de análisis programadas con información de tácticas y entidades asignadas.

Estos incidentes de Fusion se denominan Varias alertas posiblemente relacionadas con la actividad ransomware detectada y se generan cuando se detectan alertas pertinentes durante un período de tiempo específico y se asocian con las fases de ejecución y evasión de defensa de un ataque.

Por ejemplo, Microsoft Sentinel generaría un incidente para posibles actividades de ransomware si se desencadenan las siguientes alertas en el mismo host dentro de un período de tiempo específico:

Alerta	Origen	Severity
Eventos de error y advertencia de Windows	Microsoft Sentinel reglas de análisis programadas	informativo
'GandCrab' ransomware se impidió	Microsoft Defender for Cloud	medium
Se detectó malware 'Emotet'	Microsoft Defender para punto de conexión	informativo
Se detectó la puerta trasera "Tofsee"	Microsoft Defender for Cloud	Bajo
Se detectó malware 'Parite'	Microsoft Defender para punto de conexión	informativo

Detecciones de Fusion basadas en escenarios

En la sección siguiente se enumeran los tipos de ataques de varias fases basados en escenarios, agrupados por clasificación de amenazas, que Microsoft Sentinel detecta mediante el motor de correlación de Fusion.

Para habilitar estos escenarios de detección de ataques con tecnología de Fusion, sus orígenes de datos asociados se deben ingerir en el área de trabajo de Log Analytics. Seleccione los vínculos de la tabla siguiente para obtener información sobre cada escenario y sus orígenes de datos asociados.

Clasificación de amenazas	Escenarios
Abuso de recursos de proceso	(VERSIÓN PRELIMINAR) Varias actividades de creación de máquinas virtuales después de un inicio de sesión sospechoso Microsoft Entra
Acceso a credenciales	(VERSIÓN PRELIMINAR) Varias contraseñas restablecidas por el usuario después del inicio de sesión sospechoso (VERSIÓN PRELIMINAR) Inicio de sesión sospechoso que coincide con el inicio de sesión correcto en Palo Alto VPN por IP con varios inicios de sesión de Microsoft Entra con errores
Recopilación de credenciales	Ejecución de herramientas de robo de credenciales malintencionadas tras un inicio de sesión sospechoso Sospecha de actividad de robo de credenciales después de un inicio de sesión sospechoso
Minería criptográfica	Actividad de minería de datos criptográfica tras un inicio de sesión sospechoso
Destrucción de datos	Eliminación masiva de archivos después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Eliminación masiva de archivos después de Microsoft Entra inicio de sesión correcto desde IP bloqueada por un dispositivo de firewall de Cisco (VERSIÓN PRELIMINAR) Eliminación masiva de archivos después de iniciar sesión correctamente en Palo Alto VPN por IP con varios inicios de sesión de Microsoft Entra con errores (VERSIÓN PRELIMINAR) Actividad de eliminación de correo electrónico sospechosa después de un inicio de sesión Microsoft Entra sospechoso
Filtración de datos	(VERSIÓN PRELIMINAR) Actividades de reenvío de correo después de la nueva actividad de cuenta de administrador que no se ha visto recientemente Descarga masiva de archivos después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Descarga masiva de archivos después de Microsoft Entra inicio de sesión correcto desde IP bloqueada por un dispositivo de firewall de Cisco (VERSIÓN PRELIMINAR) Descarga masiva de archivos que coincide con la operación de archivo de SharePoint desde una dirección IP no vista anteriormente Uso compartido masivo de archivos después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Varias actividades de uso compartido de informes de Power BI después de un inicio de sesión sospechoso Microsoft Entra Office 365 filtración de buzones después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Operación de archivo de SharePoint desde una dirección IP no vista anteriormente después de la detección de malware (VERSIÓN PRELIMINAR) Reglas de manipulación de bandeja de entrada sospechosas establecidas después del inicio de sesión Microsoft Entra sospechoso (VERSIÓN PRELIMINAR) Uso compartido de informes sospechosos de Power BI después del inicio de sesión sospechoso Microsoft Entra
Denegación de servicio	(VERSIÓN PRELIMINAR) Varias actividades de eliminación de máquinas virtuales después de un inicio de sesión sospechoso Microsoft Entra
Movimiento lateral	Office 365 suplantación después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Reglas de manipulación de bandeja de entrada sospechosas establecidas después del inicio de sesión Microsoft Entra sospechoso
Actividad administrativa malintencionada	Actividad administrativa sospechosa de la aplicación en la nube después del inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Actividades de reenvío de correo después de la nueva actividad de cuenta de administrador que no se ha visto recientemente
Ejecución malintencionada con un proceso legítimo	(VERSIÓN PRELIMINAR) PowerShell realizó una conexión de red sospechosa, seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks (VERSIÓN PRELIMINAR) Ejecución de WMI remota sospechosa seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks Línea de comandos de PowerShell sospechosa después del inicio de sesión sospechoso
Malware C2 o descarga	(VERSIÓN PRELIMINAR) Patrón de baliza detectado por Fortinet después de varios inicios de sesión de usuario con errores en un servicio (VERSIÓN PRELIMINAR) Patrón de baliza detectado por Fortinet después de un inicio de sesión sospechoso Microsoft Entra (VERSIÓN PRELIMINAR) Solicitud de red al servicio de anonimización de TOR seguida de tráfico anómalo marcado por el firewall de Palo Alto Networks (VERSIÓN PRELIMINAR) Conexión saliente a IP con un historial de intentos de acceso no autorizado seguidos de tráfico anómalo marcado por el firewall de Palo Alto Networks
Persistencia	(VERSIÓN PRELIMINAR) Consentimiento poco frecuente de la aplicación después del inicio de sesión sospechoso
Ransomware	Ejecución de ransomware después de un inicio de sesión Microsoft Entra sospechoso
Explotación remota	(VERSIÓN PRELIMINAR) Sospecha de uso del marco de ataque seguido de tráfico anómalo marcado por el firewall de Palo Alto Networks
Secuestro de recursos	(VERSIÓN PRELIMINAR) Implementación sospechosa de recursos o grupos de recursos por parte de un llamador que no se ha detectado previamente después de un inicio de sesión sospechoso Microsoft Entra

Contenido relacionado

Para más información, vea:

• Escenarios detectados por el motor Microsoft Sentinel Fusion
• Configuración de reglas de detección de ataques de varias fases (Fusion) en Microsoft Sentinel