Realizar la búsqueda proactiva de amenazas de un extremo a otro en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La búsqueda proactiva de amenazas es un proceso en el que los analistas de seguridad buscan amenazas no detectadas y comportamientos malintencionados. Mediante la creación de una hipótesis, la búsqueda a través de datos y la validación de esa hipótesis, determinan sobre qué actuar. Las acciones pueden incluir la creación de nuevas detecciones, la nueva inteligencia sobre amenazas o la creación de un nuevo incidente.

Use la experiencia de búsqueda de un extremo a otro dentro de Microsoft Sentinel para:

  • Búsqueda proactiva basada en técnicas específicas de MITRE, actividad potencialmente malintencionada, amenazas recientes o su propia hipótesis personalizada.
  • Use consultas de búsqueda generadas por investigadores de seguridad o consultas de búsqueda personalizadas para investigar el comportamiento malintencionado.
  • Realice las búsquedas mediante varias pestañas de consulta persistente que le permiten mantener el contexto a lo largo del tiempo.
  • Recopile pruebas, investigue los orígenes de UEBA y anote sus hallazgos mediante marcadores específicos de búsqueda.
  • Colabore y documente sus conclusiones con comentarios.
  • Actúe sobre los resultados mediante la creación de nuevas reglas de análisis, nuevos incidentes, nuevos indicadores de amenazas y cuadernos de estrategias en ejecución.
  • Realice un seguimiento de sus nuevas búsquedas, activas y cerradas en un solo lugar.
  • Ver métricas basadas en hipótesis validadas y resultados tangibles.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Para usar la característica de búsquedas, debe tener asignado un rol de Microsoft Sentinel integrado o un rol RBAC de Azure personalizado. Estas son las opciones que tiene:

Para obtener más información, consulte Roles y permisos en la plataforma de Microsoft Sentinel.

Definición de la hipótesis

Definir una hipótesis es un proceso abierto y flexible y puede incluir cualquier idea que quiera validar. Entre las hipótesis comunes se incluyen las siguientes:

  • Comportamiento sospechoso: investigue la actividad potencialmente malintencionada visible en su entorno para determinar si se está produciendo un ataque.
  • Nueva campaña de amenazas: busque tipos de actividad malintencionada basada en actores, técnicas o vulnerabilidades de amenazas recién detectados. Esto podría ser algo de lo que ha oído en un artículo de noticias de seguridad.
  • Brechas de detección: aumente la cobertura de detección mediante el mapa MITRE ATT&CK para identificar brechas.

Microsoft Sentinel proporciona flexibilidad a medida que se pone cero en el conjunto correcto de consultas de búsqueda para investigar la hipótesis. Cuando cree una búsqueda, inscréela con consultas de búsqueda preseleccionadas o agregue consultas a medida que avanza. Estas son recomendaciones para consultas preseleccionadas basadas en las hipótesis más comunes.

Hipótesis: comportamiento sospechoso

  1. Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Búsqueda de administración de>azure.

  2. Seleccione la pestaña Consultas . Para identificar comportamientos potencialmente malintencionados, ejecute todas las consultas.

  3. Seleccione Ejecutar todas las consultas> y espere a que se ejecuten las consultas. Este proceso puede tardar un tiempo.

  4. Seleccione Agregarresultados> de filtro> y anule la selección de las casillas "!", "N/A", "-" y "0" Los valores >aplicarcaptura de pantalla muestra el filtro descrito en el paso 3.

  5. Ordene estos resultados por la columna Delta de resultados para ver qué ha cambiado más recientemente. Estos resultados proporcionan instrucciones iniciales sobre la búsqueda.

Hipótesis: nueva campaña de amenazas

El centro de contenido ofrece soluciones basadas en dominios y campañas de amenazas para buscar ataques específicos. En los pasos siguientes, instalará uno de estos tipos de soluciones.

  1. Vaya al Centro de contenido.

  2. Instale una campaña de amenazas o una solución basada en dominio, como La detección de vulnerabilidades de Log4J o Apache Tomcat.

    Captura de pantalla que muestra el centro de contenido en la vista de cuadrícula con las soluciones Log4J y Apache seleccionadas.

  3. Una vez instalada la solución, en Microsoft Sentinel, vaya a Búsqueda.

  4. Seleccione la pestaña Consultas .

  5. Busque por nombre de la solución o filtre por nombre de origen de la solución.

  6. Seleccione la consulta y Ejecutar consulta.

Hipótesis: brechas de detección

El mapa MITRE ATT&CK le ayuda a identificar brechas específicas en la cobertura de detección. Use consultas de búsqueda predefinidas para técnicas específicas de MITRE ATT&CK como punto de partida para desarrollar una nueva lógica de detección.

  1. Vaya a la página MITRE ATT&CK (versión preliminar).

  2. Anule la selección de elementos en el menú desplegable Activo.

  3. Seleccione Consultas de búsqueda en el filtro Simulado para ver qué técnicas tienen consultas de búsqueda asociadas a ellas.

    Captura de pantalla que muestra la página MITRE ATT&CK con la opción para las consultas de búsqueda simuladas seleccionadas.

  4. Seleccione la tarjeta con la técnica deseada.

  5. Seleccione el vínculo Ver situado junto a Consultas de búsqueda en la parte inferior del panel de detalles. Este vínculo le lleva a una vista filtrada de la pestaña Consultas de la página Búsqueda en función de la técnica seleccionada.

    Captura de pantalla que muestra la vista de tarjeta MITRE ATT&CK con el vínculo Vista de consultas de búsqueda.

  6. Seleccione todas las consultas para esa técnica.

Creación de una búsqueda

Hay dos maneras principales de crear una búsqueda.

  1. Si comenzó con una hipótesis en la que seleccionó consultas, seleccione el menú > desplegable Acciones de búsquedaCrear nueva búsqueda. Todas las consultas seleccionadas se clonan para esta nueva búsqueda.

    Captura de pantalla que muestra las consultas seleccionadas y la opción de menú Crear nueva búsqueda seleccionada.

  2. Si aún no ha decidido las consultas, seleccione la pestaña >Búsquedas (versión preliminar)Nueva búsqueda para crear una búsqueda en blanco.

    Captura de pantalla que muestra el menú para crear una búsqueda en blanco sin consultas preseleccionadas.

  3. Rellene el nombre de la búsqueda y los campos opcionales. La descripción es un buen lugar para verbalizar su hipótesis. El menú desplegable Hipótesis es donde se establece el estado de la hipótesis de trabajo.

  4. Seleccione Crear para empezar.

    Captura de pantalla que muestra la página de creación de la búsqueda con el nombre, la descripción, el propietario, el estado y el estado de la hipótesis de la búsqueda.

Ver detalles de la búsqueda

  1. Seleccione la pestaña Búsquedas (versión preliminar) para ver la nueva búsqueda.

  2. Seleccione el vínculo de búsqueda por nombre para ver los detalles y realizar acciones.

    Captura de pantalla que muestra una nueva búsqueda en la pestaña Búsqueda.

  3. Vea el panel de detalles con el nombre de la búsqueda, la descripción, el contenido, la hora de la última actualización y la hora de creación.

  4. Anote las pestañas de Consultas, Marcadores y Entidades.

    Captura de pantalla que muestra los detalles de la búsqueda.

Pestaña Consultas

La pestaña Consultas contiene consultas de búsqueda específicas de esta búsqueda. Estas consultas son clones de los originales, independientes del resto del área de trabajo. Actualícelas o elimínelas sin afectar al conjunto general de consultas o consultas de búsqueda en otras búsquedas.

Adición de una consulta a la búsqueda

  1. Seleccione Acciones> de consultaagregar consultas para buscar
  2. Seleccione las consultas que desea agregar. Captura de pantalla que muestra el menú Acciones de consulta en la página de la pestaña Consultas.

Ejecución de consultas

  1. Seleccione Ejecutar todas las consultas o elija consultas específicas y seleccione Ejecutar consultas seleccionadas.
  2. Seleccione Cancelar para cancelar la ejecución de consultas en cualquier momento.

Administración de consultas

  1. Haga clic con el botón derecho en una consulta y seleccione una de las siguientes opciones en el menú contextual:

    • Run
    • Edit
    • Clone
    • Delete
    • Creación de una regla de análisis

    Captura de pantalla que muestra las opciones del menú contextual con el botón derecho en la pestaña Consultas de una búsqueda.

    Estas opciones se comportan igual que la tabla de consultas existente en la página Búsqueda , excepto que las acciones solo se aplican dentro de esta búsqueda. Cuando decide crear una regla de análisis, el nombre, la descripción y la consulta KQL se rellenan previamente en la creación de la nueva regla. Se crea un vínculo para ver la nueva regla de análisis que se encuentra en Reglas de análisis relacionadas.

    Captura de pantalla que muestra los detalles de la búsqueda con la regla de análisis relacionada.

Visualización de resultados

Esta característica le permite ver los resultados de la consulta de búsqueda en la experiencia de búsqueda de Log Analytics. Desde aquí, analice los resultados, refine las consultas y cree marcadores para registrar información e investigar aún más los resultados de fila individuales.

  1. Seleccione el botón Ver resultados .
  2. Si se pivota a otra parte del portal de Microsoft Sentinel, vuelva a la experiencia de búsqueda de registros de LA desde la página de búsqueda, todas las pestañas de consulta de LA permanecerán.
  3. Estas pestañas de consulta de LA se pierden si cierra la pestaña del explorador. Si desea conservar las consultas a largo plazo, debe guardar la consulta, crear una nueva consulta de búsqueda o copiarla en un comentario para su uso posterior dentro de la búsqueda.

Agregar un marcador

Cuando encuentre resultados interesantes o filas importantes de datos, agregue esos resultados a la búsqueda mediante la creación de un marcador. Para obtener más información, consulte Uso de marcadores de búsqueda para investigaciones de datos.

  1. Seleccione la fila o filas deseadas.

  2. Encima de la tabla de resultados, seleccione Agregar marcador. Captura de pantalla que muestra el panel Agregar marcador con campos opcionales rellenados.

  3. Asigne al marcador el nombre .

  4. Establezca la columna de hora del evento.

  5. Asignar identificadores de entidad.

  6. Establezca tácticas y técnicas de MITRE.

  7. Agregue etiquetas y agregue notas.

    Los marcadores conservan los resultados de fila específicos, la consulta KQL y el intervalo de tiempo que generaron el resultado.

  8. Seleccione Crear para agregar el marcador a la búsqueda.

Ver marcadores

  1. Vaya a la pestaña marcador de la búsqueda para ver los marcadores.

    Captura de pantalla que muestra un marcador con todos sus detalles y el menú de acción de búsquedas abierto.

  2. Seleccione un marcador deseado y realice las siguientes acciones:

    • Seleccione vínculos de entidad para ver la página de entidad de UEBA correspondiente.
    • Vea los resultados sin procesar, las etiquetas y las notas.
    • Seleccione Ver consulta de origen para ver la consulta de origen en Log Analytics.
    • Seleccione Ver registros de marcadores para ver el contenido del marcador en la tabla de marcadores de búsqueda de Log Analytics.
    • Seleccione el botón Investigar para ver el marcador y las entidades relacionadas en el gráfico de investigación.
    • Seleccione el botón Editar para actualizar las etiquetas, las tácticas y técnicas de MITRE y las notas.

Interacción con entidades

  1. Vaya a la pestaña Entidades de la búsqueda para ver, buscar y filtrar las entidades contenidas en la búsqueda. Esta lista se genera a partir de la lista de entidades de los marcadores. La pestaña Entidades resuelve automáticamente las entradas duplicadas.

  2. Seleccione los nombres de entidad para visitar la página de entidad de UEBA correspondiente.

  3. Haga clic con el botón derecho en la entidad para realizar las acciones adecuadas para los tipos de entidad, como agregar una dirección IP a TI o ejecutar un cuaderno de estrategias específico del tipo de entidad.

    Captura de pantalla que muestra el menú contextual de las entidades.

Agregar comentarios

Los comentarios son un excelente lugar para colaborar con compañeros, conservar notas y documentar conclusiones.

  1. Seleccionar

  2. Escriba y dé formato al comentario en el cuadro de edición.

  3. Agregue un resultado de consulta como vínculo para que los colaboradores comprendan rápidamente el contexto.

  4. Seleccione el botón Comentario para aplicar los comentarios.

    Captura de pantalla que muestra el cuadro de edición de comentarios con la consulta LA como vínculo.

Creación de incidentes

Hay dos opciones para la creación de incidentes durante la búsqueda.

Opción 1: Usar marcadores.

  1. Seleccione un marcador o marcadores.

  2. Seleccione el botón Acciones de incidente.

  3. Seleccione Create new incident (Crear nuevo incidente) o Add to existing incident (Agregar a un incidente existente).

    Captura de pantalla que muestra el menú acciones de incidente desde la ventana de marcadores.

    • Para Crear nuevo incidente, siga los pasos guiados. La pestaña marcadores se rellena previamente con los marcadores seleccionados.
    • En Agregar a un incidente existente, seleccione el incidente y seleccione el botón Aceptar .

Opción 2: Use las acciones de búsqueda.

  1. Seleccione el menú >Acciones de búsqueda Crear incidente y siga los pasos guiados.

    Captura de pantalla que muestra el menú de acciones de búsqueda desde la ventana de marcadores.

  2. Durante el paso Agregar marcadores , use la acción Agregar marcador para elegir marcadores de la búsqueda que se van a agregar al incidente. Está limitado a los marcadores que no están asignados a un incidente.

  3. Una vez creado el incidente, se vinculará en la lista Incidentes relacionados para esa búsqueda.

Estado de actualización

  1. Cuando haya capturado suficiente evidencia para validar o invalidar la hipótesis, actualice el estado de la hipótesis.

    Captura de pantalla que muestra la selección del menú de estado de hipótesis.

  2. Cuando se completen todas las acciones asociadas a la búsqueda, como la creación de reglas de análisis, incidentes o la adición de indicadores de riesgo (IOC) a TI, cierre la búsqueda.

    Captura de pantalla que muestra la selección del menú Estado de búsqueda.

Estas actualizaciones de estado son visibles en la página de búsqueda principal y se usan para realizar un seguimiento de las métricas.

Seguimiento de métricas

Realice un seguimiento de los resultados tangibles de la actividad de búsqueda mediante la barra de métricas de la pestaña Búsquedas . Las métricas muestran el número de hipótesis validadas, los nuevos incidentes creados y las nuevas reglas de análisis creadas. Use estos resultados para establecer objetivos o celebrar hitos de su programa de búsqueda.

Captura de pantalla que muestra las métricas de búsqueda.

Pasos siguientes

En este artículo, ha aprendido a ejecutar una investigación de búsqueda con la característica de búsquedas en Microsoft Sentinel.

Para más información, vea:

  • Last updated on