Descripción de las funcionalidades de investigación de incidentes y administración de casos de Microsoft Sentinel
Microsoft Sentinel le proporciona una plataforma de administración de casos completa y con todas las funciones para investigar y administrar incidentes de seguridad. Incidentes es el nombre que Microsoft Sentinel da a los archivos de casos que contienen una cronología completa y constantemente actualizada de una amenaza de seguridad, ya sean pruebas individuales (alertas), sospechosos y partes interesadas (entidades), información recopilada y mantenida por expertos de seguridad y modelos de inteligencia artificial y Machine Learning, o comentarios y registros de todas las acciones realizadas en el curso de la investigación.
La experiencia de investigación de incidentes en Microsoft Sentinel comienza con la página Incidentes: una nueva experiencia diseñada para proporcionarle todo lo que necesita para la investigación en un solo lugar. El objetivo clave de esta nueva experiencia es aumentar la eficacia y eficiencia del SOC, lo que reduce su tiempo medio de reparación (MTTR).
En este artículo se muestran las fases de una investigación de incidentes típica y todas las pantallas y herramientas disponibles para ayudarle.
Microsoft Sentinel proporciona las herramientas para ayudar a aumentar el nivel de madurez de las operaciones de seguridad (SecOps).
Las tareas de incidentes son listas de flujo de trabajo de tareas que los analistas deben seguir para garantizar un nivel de atención uniforme y evitar que se pasen por alto pasos cruciales. Los administradores e ingenieros de SOC pueden desarrollar estas listas de tareas y hacer que se apliquen automáticamente a diferentes grupos de incidentes según corresponda, o a través de la junta. Después, los analistas de SOC pueden acceder a las tareas asignadas dentro de cada incidente y marcarlas a medida que se completan. Los analistas también pueden agregar manualmente tareas a los incidentes abiertos, ya sea como recordatorios propios o para beneficiar a otros analistas que pueden colaborar en el incidente (por ejemplo, debido a un cambio de turno o a una escalación).
Obtenga más información sobre las tareas de incidentes.
El registro de actividad de incidente supervisa las acciones realizadas en un incidente, hayan sido iniciadas por humanos o por procesos automatizados, y las muestra con todos los comentarios del incidente. También puede agregar sus propios comentarios. Ofrece un registro completo de todo lo que ha sucedido, lo que garantiza minuciosidad y responsabilidad.
Lo primero es lo primero: como analista, la pregunta más básica a la que hay que responder es: ¿por qué se me informa de este incidente? Al entrar en la página de detalles de un incidente, encontrará la respuesta a esa pregunta: justo en el centro de la pantalla, verá el widget Escala de tiempo del incidente. La escala de tiempo es el diario de las alertas que representan todos los eventos registrados que son relevantes para la investigación en el orden en el que se produjeron. La escala de tiempo también muestra marcadores, instantáneas de evidencias recopiladas durante la búsqueda y agregadas al incidente. Para ver los detalles completos de cualquier elemento de esta lista, selecciónelo. Muchos de estos detalles (como la alerta original, la regla de análisis que la creó y los marcadores) aparecen como vínculos que puede seleccionar para profundizar y obtener más información.
Obtenga más información sobre lo que puede hacer desde la escala de tiempo del incidente.
Si algo de lo que ha visto hasta ahora en el incidente le resulta familiar, puede haber una buena razón. Microsoft Sentinel va un paso por delante mostrándole los incidentes más similares a los abiertos. El widget Incidentes similares muestra la información más relevante sobre los incidentes que se consideran similares, incluida la fecha y hora de su última actualización, su último propietario, su último estado (incluyendo, si están cerrados, el motivo por el que se cerraron) y el motivo de la similitud.
Esto puede beneficiar la investigación de varias maneras:
- Detectando incidentes simultáneos que pueden formar parte de una estrategia de ataque más grande.
- Usando incidentes similares como puntos de referencia para la investigación actual; vea cómo se trataron.
- Identificando a los propietarios de incidentes anteriores similares para beneficiarse de sus conocimientos.
El widget muestra los 20 incidentes más similares. Microsoft Sentinel decide qué incidentes son similares en función de elementos comunes, incluidas las entidades, la regla de análisis de origen y los detalles de las alertas. Desde este widget puede saltar directamente a cualquiera de las páginas de detalles completos de incidentes, a la vez que mantiene intacta la conexión con el incidente actual.
Obtenga más información sobre lo que puede hacer con incidentes similares.
A continuación, al tener los esquemas generales de lo sucedido (o de lo que está sucediendo) y comprender mejor el contexto, tendrá curiosidad por la información tan interesante que Microsoft Sentinel ya ha descubierto por usted. Automáticamente formula las grandes preguntas sobre las entidades del incidente y muestra las respuestas principales en el widget Información más relevante, visible en el lado derecho de la página de detalles del incidente. Este widget muestra una colección de información basada tanto en un análisis de aprendizaje automático como en una selección de los principales equipos de expertos en seguridad.
Se trata de un subconjunto especialmente seleccionado de la información que aparece en las páginas de las entidades, pero en este contexto, la información de todas las entidades del incidente se presenta de forma conjunta, lo que le proporciona una imagen más completa de lo que sucede. El conjunto de toda la información aparece en la pestaña Entidades para cada entidad por separado, consulte a continuación.
El widget Información más relevante responde a preguntas sobre la entidad relacionadas con su comportamiento en comparación con elementos del mismo nivel y su propio historial, con su presencia en las listas de seguimiento o en inteligencia sobre amenazas, o con cualquier otro tipo de suceso inusual relacionado con ella.
La mayor parte de esta información contiene vínculos a más información. Estos vínculos abren el panel Registros en contexto, donde verá la consulta de origen para esa información junto con sus resultados.
Ahora que conoce el contexto y las respuestas a algunas preguntas básicas, querrá indagar más en los principales protagonistas de esta historia. Los nombres de usuario, los nombres de host, las direcciones IP, los nombres de archivo y otros tipos de entidades pueden ser "personas de interés" en la investigación. Microsoft Sentinel lo averigua todo por usted y lo muestra en primer plano en el widget Entidades, junto con la escala de tiempo. Al seleccionar una entidad de este widget, se le dirigirá a la lista de esa entidad en la pestaña Entidades de la misma página de incidentes.
La pestaña Entidades muestra una lista de todas las entidades en el incidente. Cuando se selecciona una entidad de la lista, se abre un panel lateral que contiene una pantalla basada en la página de entidad. El panel lateral contiene tres tarjetas:
- Info contiene información básica sobre la entidad. Para una entidad de cuenta de usuario, esto podría ser cosas como el nombre de usuario, el nombre de dominio, el identificador de seguridad (SID), la información de la organización, la información de seguridad, etc.
- Escala de tiempo contiene una lista de las alertas que presenta esta entidad y las actividades que ha realizado, tal y como se ha recopilado de los registros en los que aparece.
- Información contiene respuestas a preguntas sobre la entidad relacionadas con su comportamiento en comparación con sus elementos del mismo nivel y su propio historial, con su presencia en las listas de seguimiento o en inteligencia sobre amenazas, o cualquier otro tipo de suceso inusual relacionado con ella. Estas respuestas son los resultados de las consultas definidas por los investigadores de seguridad de Microsoft que proporcionan información de seguridad valiosa y contextual sobre las entidades, en función de los datos de una colección de orígenes.
En función del tipo de entidad, puede realizar varias acciones adicionales en este panel lateral:
- Dirigirse a la página de entidad completa para obtener aún más detalles durante un intervalo de tiempo más largo o iniciar la herramienta de investigación gráfica centrada en esa entidad.
- Ejecutar un cuaderno de estrategias para realizar acciones específicas de respuesta o corrección en la entidad (en versión preliminar).
- Clasificar la entidad como un indicador de peligro (IOC) y agregarla a la lista de inteligencia sobre amenazas.
Actualmente, cada una de estas acciones se admite solo en determinados tipos de entidad. En la siguiente tabla se muestra qué acciones son admitidas en cada tipo de entidad:
Acciones disponibles ▶ Tipos de entidad ▼ |
Ver detalles completos (en la página de entidad) |
Agregar a IT * | Ejecutar cuaderno de estrategias * (versión preliminar) |
---|---|---|---|
Cuenta de usuario | ✔ | ✔ | |
Host | ✔ | ✔ | |
Dirección IP | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
Nombre de dominio | ✔ | ✔ | |
Archivo (hash) | ✔ | ✔ | |
Recurso de Azure | ✔ | ||
Dispositivo IoT | ✔ |
* Para las entidades para las cuales las acciones Agregar a TI o Ejecutar cuaderno de estrategias están disponibles, puede realizar esas acciones directamente desde el widget Entidades en la pestaña Descripción general, sin salir nunca de la página del incidente.
Ahora querrá ahondar en los detalles para saber ¿qué ha ocurrido exactamente? Desde casi cualquiera de los lugares mencionados anteriormente, puede explorar en profundidad las alertas individuales, las entidades, información y otros elementos contenidos en el incidente, ver la consulta original y sus resultados. Estos resultados se muestran en la pantalla Registros (análisis de registros) que aparece como una extensión de panel de la página de detalles del incidente, para que no salga del contexto de la investigación.
Por último, en interés de la transparencia, la rendición de cuentas y la continuidad, querrá un registro de todas las acciones que se han realizado en el incidente, ya sea por procesos automatizados o por personas. El registro de actividad del incidente muestra todas esas actividades. También puede ver los comentarios que se han realizado y agregar los suyos propios. El registro de actividad se actualiza automáticamente, incluso mientras está abierto, por lo que puede ver los cambios en él en tiempo real.
En este documento, ha aprendido cómo la experiencia de investigación de incidentes en Microsoft Sentinel le ayuda a llevar a cabo una investigación en un solo contexto. Para más información sobre cómo administrar e investigar incidentes, consulte los siguientes artículos:
- Uso de tareas para administrar incidentes en Microsoft Sentinel
- Investigación de entidades con páginas de entidad en Microsoft Sentinel.
- Automatización del control de incidentes en Microsoft Sentinel con reglas de automatización.
- Identificación de amenazas avanzadas con el Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Búsqueda de amenazas de seguridad