Leer en inglés

Compartir a través de


Investigación de incidentes de Microsoft Sentinel en Azure Portal

Microsoft Sentinel le proporciona una plataforma de administración de casos completa y con todas las funciones para investigar y administrar incidentes de seguridad. Incidentes son el nombre de Microsoft Sentinel para los archivos que contienen una cronología completa y actualizada constantemente de una amenaza de seguridad, ya sea piezas individuales de evidencia (alertas), sospechosos y partes de interés (entidades), información recopilada y mantenida por expertos en seguridad y modelos de inteligencia artificial y aprendizaje automático, o comentarios y registros de todas las acciones realizadas en el curso de la investigación.

La experiencia de investigación de incidentes en Microsoft Sentinel comienza con la página Incidentes: una experiencia diseñada para proporcionarle todo lo que necesita para la investigación en un solo lugar. El objetivo clave de esta experiencia es aumentar la eficacia y la eficiencia del SOC, lo que reduce su tiempo medio para resolver (MTTR).

En este artículo se describen las funcionalidades y características de investigación de incidentes y administración de casos de Microsoft Sentinel en Azure Portal, mostrando las fases de una investigación de incidentes típica y todas las pantallas y herramientas disponibles para ayudarle.

Requisitos previos

  • La asignación del rol Respondedor de Microsoft Sentinel es necesaria para poder investigar incidentes.

    Obtenga más información sobre los roles en Microsoft Sentinel.

  • Si tiene un usuario invitado que necesita asignar incidentes, al usuario se le debe asignar el rol Lector de directorio en el inquilino de Microsoft Entra. Los usuarios normales (nonguest) tienen asignado este rol de forma predeterminada.

Aumento de la madurez del SOC

Los incidentes de Microsoft Sentinel proporcionan herramientas para ayudar al nivel de madurez de las operaciones de seguridad (SecOps) mediante la estandarización de los procesos y la auditoría de la administración de incidentes.

Estandarización de los procesos

Tareas de incidentes son listas de tareas de flujo de trabajo que los analistas deben seguir para garantizar un estándar uniforme de atención y evitar que se pierdan los pasos cruciales:

  • Administradores e ingenieros de SOC pueden desarrollar estas listas de tareas y hacer que se apliquen automáticamente a diferentes grupos de incidentes según corresponda o a través de la junta.

  • Analistas de SOC pueden acceder a las tareas asignadas dentro de cada incidente, lo que las marca cuando se completan.

    Los analistas también pueden agregar manualmente tareas a los incidentes abiertos, ya sea como recordatorios propios o para beneficiar a otros analistas que pueden colaborar en el incidente (por ejemplo, debido a un cambio de turno o a una escalación).

Para obtener más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel en Azure Portal.

Auditar la administración de incidentes

El registro de actividad de incidente supervisa las acciones realizadas en un incidente, hayan sido iniciadas por humanos o por procesos automatizados, y las muestra con todos los comentarios del incidente.

También puede agregar sus propios comentarios. Para más información, consulte Investigar incidentes de Microsoft Sentinel en profundidad en Azure Portal.

Investigar de forma eficaz y eficiente

Lo primero es lo primero: como analista, la pregunta más básica a la que hay que responder es: ¿por qué se me informa de este incidente? Al entrar en la página de detalles de un incidente, encontrará la respuesta a esa pregunta: justo en el centro de la pantalla, verá el widget Escala de tiempo del incidente.

Use incidentes de Microsoft Sentinel para investigar incidentes de seguridad de forma eficaz y eficiente mediante la escala de tiempo de incidentes, aprender de incidentes similares, examinar información superior, ver entidades y explorar registros.

Escalas de tiempo de incidentes

La escala de tiempo del incidente es el diario de todas las alertas que representan todos los eventos registrados que son relevantes para la investigación, en el orden en que se produjeron. La escala de tiempo también muestra marcadores, instantáneas de evidencias recopiladas durante la búsqueda y agregadas al incidente.

Busque en la lista de alertas y marcadores, o filtre la lista por gravedad, tácticas o tipo de contenido (alerta o marcador) para ayudarle a encontrar el elemento que desea seguir. La presentación inicial de la escala de tiempo le indica inmediatamente varias cosas importantes sobre cada elemento, ya sea una alerta o un marcador:

  • La fecha y hora de creación de la alerta o el marcador.
  • El tipo de elemento (alerta o marcador), indicado por un icono y una información sobre herramientas al mantener el puntero sobre el icono.
  • El nombre de la alerta o del marcador, indicado en negrita en la primera línea del elemento.
  • La gravedad de la alerta, indicada por una banda de color a lo largo del borde izquierdo, y con una palabra al principio del "subtítulo" de tres partes de la alerta.
  • El proveedor de la alerta, en la segunda parte del subtítulo. En el caso de los marcadores, el creador del marcador.
  • Las tácticas de MITRE ATT&CK asociadas a la alerta, indicadas mediante iconos e información sobre herramientas en la tercera parte del subtítulo.

Para obtener más información, vea Reconstruir la escala de tiempo del caso de ataque.

Listas de incidentes similares

Si algo de lo que ha visto hasta ahora en el incidente le resulta familiar, puede haber una buena razón. Microsoft Sentinel va un paso por delante mostrándole los incidentes más similares a los abiertos.

El widget Incidentes similares muestra la información más relevante sobre los incidentes que se consideran similares, incluida la fecha y hora de su última actualización, su último propietario, su último estado (incluyendo, si están cerrados, el motivo por el que se cerraron) y el motivo de la similitud.

Esto puede beneficiar la investigación de varias maneras:

  • Detectando incidentes simultáneos que pueden formar parte de una estrategia de ataque más grande.
  • Usando incidentes similares como puntos de referencia para la investigación actual; vea cómo se trataron.
  • Identificando a los propietarios de incidentes anteriores similares para beneficiarse de sus conocimientos.

Por ejemplo, quiere ver si se han producido otros incidentes como este antes o ahora.

  • Es posible que quiera identificar incidentes simultáneos que podrían formar parte de la misma estrategia de ataque más grande.
  • Es posible que quiera identificar incidentes similares en el pasado para usarlos como puntos de referencia para la investigación actual.
  • Es posible que quiera identificar a los propietarios de incidentes similares anteriores para encontrar a las personas de su SOC que pueden proporcionar más contexto o a quienes puede escalar la investigación.

El widget muestra los 20 incidentes más similares. Microsoft Sentinel decide qué incidentes son similares en función de elementos comunes, incluidas las entidades, la regla de análisis de origen y los detalles de las alertas. Desde este widget puede saltar directamente a cualquiera de las páginas de detalles completos de incidentes, a la vez que mantiene intacta la conexión con el incidente actual.

Captura de pantalla de la visualización de incidentes similares.

La similitud se determina en función de los criterios siguientes:

Criterios Descripción
Entidades similares Un incidente se considera similar a otro incidente si ambos incluyen las mismas entidades. Cuantos más entidades tienen dos incidentes en común, más similares se consideran.
Regla similar Un incidente se considera similar a otro incidente si ambos se crearon mediante la misma regla de análisis.
Detalles de alertas similares Un incidente se considera similar a otro incidente si comparten el mismo título, nombre del producto o [detalles personalizados(surface-custom-details-in-alerts.md).

La similitud de incidentes se calcula en función de los datos de los 14 días anteriores a la última actividad del incidente, que es la hora de finalización de la alerta más reciente del incidente. La similitud de incidentes también se vuelve a calcular cada vez que escribe la página de detalles del incidente, por lo que los resultados pueden variar entre sesiones si se crearon o actualizaron nuevos incidentes.

Para obtener más información, consulte Comprobación de incidentes similares en el entorno.

Información de incidentes principales

A continuación, al tener los esquemas generales de lo sucedido (o de lo que está sucediendo) y comprender mejor el contexto, tendrá curiosidad por la información tan interesante que Microsoft Sentinel ya ha descubierto por usted.

Microsoft Sentinel formula automáticamente las grandes preguntas sobre las entidades del incidente y muestra las principales respuestas en el widget Información superior, visible en el lado derecho de la página de detalles del incidente. Este widget muestra una colección de información basada tanto en un análisis de aprendizaje automático como en una selección de los principales equipos de expertos en seguridad.

Se trata de un subconjunto especialmente seleccionado de la información que aparece en las páginas de las entidades, pero en este contexto, la información de todas las entidades del incidente se presenta de forma conjunta, lo que le proporciona una imagen más completa de lo que sucede. El conjunto de toda la información aparece en la pestaña Entidades para cada entidad por separado, consulte a continuación.

El widget Información más relevante responde a preguntas sobre la entidad relacionadas con su comportamiento en comparación con elementos del mismo nivel y su propio historial, con su presencia en las listas de seguimiento o en inteligencia sobre amenazas, o con cualquier otro tipo de suceso inusual relacionado con ella.

La mayor parte de esta información contiene vínculos a más información. Estos vínculos abren el panel Registros en contexto, donde verá la consulta de origen para esa información junto con sus resultados.

Ahora que conoce el contexto y las respuestas a algunas preguntas básicas, querrá indagar más en los principales protagonistas de esta historia.

Los nombres de usuario, los nombres de host, las direcciones IP, los nombres de archivo y otros tipos de entidades pueden ser "personas de interés" en la investigación. Microsoft Sentinel lo averigua todo por usted y lo muestra en primer plano en el widget Entidades, junto con la escala de tiempo.

Seleccione una entidad de este widget para dinamizar la lista de esa entidad en la pestaña Entidades de la misma página de incidentes, que contiene una lista de todas las entidades del incidente.

Seleccione una entidad de la lista para abrir un panel lateral con información basada en la página de entidad, incluidos los detalles siguientes:

  • Info contiene información básica sobre la entidad. Para una entidad de cuenta de usuario, esto podría ser cosas como el nombre de usuario, el nombre de dominio, el identificador de seguridad (SID), la información de la organización, la información de seguridad, etc.

  • Escala de tiempo contiene una lista de las alertas que presenta esta entidad y las actividades que ha realizado, tal y como se ha recopilado de los registros en los que aparece.

  • Información contiene respuestas a preguntas sobre la entidad relacionadas con su comportamiento en comparación con sus elementos del mismo nivel y su propio historial, con su presencia en las listas de seguimiento o en inteligencia sobre amenazas, o cualquier otro tipo de suceso inusual relacionado con ella.

    Estas respuestas son los resultados de las consultas definidas por los investigadores de seguridad de Microsoft que proporcionan información de seguridad valiosa y contextual sobre las entidades, en función de los datos de una colección de orígenes.

En función del tipo de entidad, puede realizar varias acciones adicionales desde este panel lateral, entre las que se incluyen:

  • Dinamizar a la página de la entidad completa de la entidad para obtener aún más detalles durante un intervalo de tiempo más largo o iniciar la herramienta de investigación gráfica centrada en esa entidad.

  • Ejecutar uncuaderno de estrategias para realizar acciones específicas de respuesta o corrección en la entidad (en versión preliminar).

  • Clasificar la entidad como un indicador de riesgo (IOC) y agregarla a la lista de inteligencia sobre amenazas.

Cada una de estas acciones se admite actualmente para determinados tipos de entidad y no para otros. En la tabla siguiente se muestran las acciones admitidas para cada tipo de entidad:

Acciones disponibles ▶
Tipos de entidad ▼
Ver detalles completos
(en la página de entidad)
Agregar a IT * Ejecutar cuaderno de estrategias *
(versión preliminar)
Cuenta de usuario
Host
Dirección IP
URL
Nombre de dominio
Archivo (hash)
Recurso de Azure
Dispositivo IoT

* Para las entidades para las cuales las acciones Agregar a TI o Ejecutar cuaderno de estrategias están disponibles, puede realizar esas acciones directamente desde el widget Entidades en la pestaña Descripción general, sin salir nunca de la página del incidente.

Registros de incidentes

Explore los registros de incidentes para entrar en los detalles para saber qué ha ocurrido exactamente?

Desde casi cualquier área del incidente, puede explorar en profundidad las alertas individuales, las entidades, la información y otros elementos contenidos en el incidente, ver la consulta original y sus resultados.

Estos resultados se muestran en la pantalla Registros (análisis de registros) que aparece como una extensión de panel de la página de detalles del incidente, para que no salga del contexto de la investigación.

Registros organizados con incidentes

En interés de la transparencia, la responsabilidad y la continuidad, querrá un registro de todas las acciones que se han llevado a cabo en el incidente, tanto por procesos automatizados como por personas. El registro de actividad del incidente muestra todas esas actividades. También puede ver los comentarios que se han realizado y agregar los suyos propios.

El registro de actividad se actualiza automáticamente, incluso mientras está abierto, por lo que puede ver los cambios en él en tiempo real.

En este documento, ha aprendido cómo la experiencia de investigación de incidentes de Microsoft Sentinel en Azure Portal le ayuda a llevar a cabo una investigación en un único contexto. Para más información sobre cómo administrar e investigar incidentes, consulte los siguientes artículos:

Paso siguiente

Navegar, evaluar y administrar incidentes de Microsoft Sentinel en Azure Portal