Compartir a través de

Supervisión y optimización de la ejecución de las reglas de análisis programadas

Para asegurarse de que la detección de amenazas de Microsoft Sentinel proporciona una cobertura completa en su entorno, aproveche sus herramientas de administración de ejecución. Estas herramientas constan de información sobre la ejecución de las reglas de análisis programadas, en función de los datos de mantenimiento y auditoría de Microsoft Sentinel, y una facilidad para volver a ejecutar manualmente las ejecuciones anteriores de reglas en ventanas de tiempo específicas, con fines de prueba o solución de problemas.

Importante

las conclusiones de reglas de análisis de Microsoft Sentinel y la reejecución manual están actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Resumen

Hay dos herramientas de administración de ejecución para las reglas de análisis programadas: la información de reglas programadas integrada y la capacidad de volver a ejecutar las reglas programadas a petición.

En la página Análisis , el panel Conclusiones se muestra como otra pestaña en el panel de detalles, junto con la pestaña Información . El panel Conclusiones proporciona información sobre la actividad y los resultados de una regla. Por ejemplo: ejecuciones con errores, principales problemas de mantenimiento, recuento de alertas a lo largo del tiempo y clasificaciones de cierre de incidentes creadas por la regla. Estas conclusiones ayudan a los analistas de seguridad a identificar posibles problemas o configuraciones incorrectas con las reglas de análisis, y les permiten detectar y corregir errores de regla y optimizar las configuraciones de reglas para mejorar el rendimiento y la precisión.

También en la página Análisis , tiene la capacidad de volver a ejecutar reglas de análisis a petición. Esta funcionalidad proporciona flexibilidad y control para validar la eficacia de las reglas. Puede ser útil en escenarios como el refinamiento de reglas, las pruebas, la validación y otros. Tener la flexibilidad de iniciar repeticiones manuales puede admitir operaciones de seguridad eficaces, habilitar una respuesta eficaz a incidentes y mejorar las capacidades generales de detección y respuesta del sistema.

Casos de uso y ventajas de la reejecución de reglas

Estos son algunos escenarios que pueden beneficiarse de la reproducción de ejecuciones específicas de reglas de análisis:

Refinamiento y ajuste de reglas: Las reglas de análisis pueden requerir ajustes periódicos y ajustes en función del panorama de amenazas en constante evolución y las cambiantes necesidades de la organización. Al volver a ejecutar manualmente las reglas, los analistas pueden evaluar el impacto de las modificaciones de reglas y validar su eficacia antes de implementarlas en un entorno de producción.

Pruebas y validación: Al introducir nuevas reglas de análisis, realizar cambios significativos en los existentes o desarrollar nuevos cuadernos de estrategias de incidentes, es esencial probar exhaustivamente su rendimiento y precisión. El cambio manual permite simular diferentes escenarios, incluido el flujo de incidentes automatizado de un extremo a otro, y validar las reglas con un conjunto coherente de entradas de datos. Este proceso garantiza que las reglas generen las alertas esperadas sin generar falsos positivos excesivos.

Investigación de incidentes: En caso de que se produzca un incidente de seguridad o una actividad sospechosa, es posible que los analistas quieran mostrar detalles adicionales en las alertas ya generadas. Para ello, actualice la regla y vuelva a ejecutarla en intervalos de ejecución específicos (hasta siete días) para recopilar información adicional e identificar eventos relacionados. El cambio manual permite a los analistas realizar investigaciones detalladas y ayudar a garantizar una cobertura completa.

Cumplimiento y auditoría: Algunos requisitos normativos o directivas internas pueden necesitar volver a ejecutar reglas de análisis periódicamente o a petición para demostrar la supervisión y el cumplimiento continuos. El cambio manual proporciona la capacidad de cumplir dichas obligaciones asegurándose de que las reglas se apliquen de forma coherente y generen las alertas adecuadas.

Requisitos previos

Para usar las herramientas de administración de ejecución, debe tener habilitada la característica de mantenimiento y auditoría de Microsoft Sentinel y, en concreto, la supervisión del estado de la regla de análisis. Obtenga información sobre cómo habilitar el estado y la auditoría.

Visualización de la información de reglas de análisis

Para aprovechar estas herramientas, empiece por examinar la información sobre una regla determinada.

  1. En el menú de navegación Microsoft Sentinel, seleccione Análisis.

  2. Busque y seleccione una regla (Programada o NRT) cuya información le gustaría ver.

  3. Seleccione la pestaña Conclusiones en el panel de detalles.

    Captura de pantalla de la selección de una regla de análisis.

  4. Al seleccionar la pestaña Conclusiones , aparecerá el selector de períodos de tiempo. Seleccione un período de tiempo o déjelo como el valor predeterminado de las últimas 24 horas.

    Captura de pantalla del selector de períodos de tiempo en la página Análisis.

Actualmente, el panel Conclusiones muestra cuatro tipos de información. Cada información va seguida de un vínculo Ver todo que le lleva a la página Registros y muestra la consulta que produjo la información junto con los resultados sin procesar completos. Estas son las conclusiones:

  • Ejecuciones con errores muestra una lista de ejecuciones erróneas de esta regla en el período de tiempo especificado. Esta información también va seguida de un vínculo al panel Ejecuciones de reglas , donde puede ver una lista de todas las veces que se ha ejecutado la regla y puede reproducir ejecuciones específicas de la regla.

  • Los principales problemas de mantenimiento muestran una lista de los problemas de mantenimiento más comunes de esta regla durante el período de tiempo especificado. Esta información también va seguida de un vínculo Ver ejecuciones que le lleva a la página Registros , donde verá una consulta de todas las veces que se haya ejecutado esta regla.

  • El gráfico de alertas muestra un gráfico del número de alertas generadas por esta regla en el período de tiempo especificado.

  • La clasificación de incidentes muestra un resumen de la clasificación de incidentes cerrados creados por esta regla durante el período de tiempo especificado.

Volver a ejecutar reglas de análisis

Hay varios escenarios que pueden llevar a volver a ejecutar una regla.

  • No se pudo ejecutar una regla debido a una condición temporal que se revirtió a la normalidad o debido a una configuración incorrecta. Después de corregir la configuración incorrecta o reparar la condición, querrá volver a ejecutar la regla en el mismo período de tiempo (es decir, en los mismos datos) que la ejecución que produjo un error, para mitigar los huecos en la cobertura.

  • Una regla se ejecutó correctamente, pero no proporcionó suficiente información en las alertas que generó. En este caso, es posible que quiera editar la regla para proporcionar más información, ya sea cambiando la consulta o la configuración de enriquecimiento. A continuación, querrá volver a ejecutar la regla en la misma ventana de tiempo (es decir, en los mismos datos) que la ejecución para la que desea obtener más información.

  • Es posible que esté experimentando con la escritura o edición de una regla y quiera ver cómo afectan las distintas configuraciones a las alertas que genera la regla. Para una comparación válida, quiere volver a ejecutar la regla en la misma ventana de tiempo.

A continuación se muestra cómo volver a ejecutar una regla:

  1. En la página Análisis , seleccione Ejecuciones de reglas (versión preliminar) en la barra de herramientas de la parte superior. Se abrirá el panel Ejecuciones de reglas .

    Captura de pantalla del panel de ejecuciones de reglas de acceso.

    También puede acceder al panel Ejecuciones de reglas seleccionando Volver a ejecutar reglas en la pantalla Ejecuciones erróneas en la pestaña Conclusiones (consulte más arriba).

    Captura de pantalla del panel de ejecuciones de reglas.

  2. Seleccione las ejecuciones de regla que desea reproducir, según el período de tiempo en el que se ejecutaron originalmente, como se muestra en la columna Tiempo de ejecución . Puede elegir más de una ejecución de regla.

    Captura de pantalla de la elección de ejecuciones de reglas para volver a ejecutarse.

  3. Seleccione Reproducir ejecución. Se mostrarán notificaciones que muestran el progreso de las solicitudes y que las reglas se ponen en cola para su ejecución.

    Captura de pantalla de las notificaciones de ejecución de reglas.

  4. Seleccione Actualizar para ver el estado actualizado de las ejecuciones de la regla. Verá que las solicitudes se muestran entre ellas, con un estado en curso (que finalmente se mostrará como Correcto) y un tipo de desencadenado por el usuario en lugar de desencadenado por el sistema.

    Captura de pantalla del progreso de las repeticiones de reglas.

    También observará que el tiempo de ejecución de las repeticiones solicitadas es el mismo que la ejecución de la ejecución desencadenada por el sistema original y no el tiempo de ejecución de la nueva ejecución. Esto es para mostrar la ventana de tiempo a la que hace referencia la nueva ejecución.

    Solo puede reproducir las ejecuciones de reglas desencadenadas por el sistema, no las desencadenadas por el usuario.

Seleccione Ver detalles completos al final de la línea de cualquier ejecución de regla para ver sus detalles completos sin procesar en la pantalla Registros .

Pasos siguientes

  • Last updated on