Supervise y optimice la ejecución de las reglas de análisis programadas

Para asegurarse de que la detección de amenazas de Microsoft Sentinel proporciona cobertura completa en su entorno, aproveche sus herramientas de administración de ejecución. Estas herramientas constan de conclusiones sobre la ejecución de las reglas de análisis programadas, basadas en los datos de estado y auditoría de Microsoft Sentinel, y un recurso para volver a ejecutar manualmente las ejecuciones anteriores de reglas en ventanas de tiempo específicas, con fines de prueba o solución de problemas.

Importante

Las conclusiones de las reglas de análisis y la nueva ejecución manual de Microsoft Sentinel se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Resumen

Hay dos herramientas de administración de ejecución para las reglas de análisis programadas: información de reglas programadas integrada y la capacidad de volver a ejecutar reglas programadas a petición.

En la página Análisis, el panel Conclusiones se muestra como otra pestaña en el panel de detalles, junto con la pestaña Información. El panel Conclusiones proporciona información sobre la actividad y los resultados de una regla. Por ejemplo: ejecuciones con errores, problemas de estado principales, recuento de alertas a lo largo del tiempo y clasificaciones de cierre de incidentes creados por la regla. Estas conclusiones ayudan a los analistas de seguridad a identificar posibles problemas o configuraciones incorrectas con reglas de análisis, y les permiten detectar y corregir errores de reglas y optimizar las configuraciones de reglas para mejorar el rendimiento y la precisión.

También en la página Análisis, tiene la capacidad de volver a ejecutar reglas de análisis a petición. Esta funcionalidad proporciona flexibilidad y control para validar la eficacia de las reglas. Puede ser útil en escenarios como el refinamiento de reglas, pruebas, validación y otros. Tener la flexibilidad de iniciar reejecuciones manuales puede admitir operaciones de seguridad eficaces, habilitar una respuesta a incidentes eficaz y mejorar las capacidades generales de detección y respuesta del sistema.

Casos de uso y ventajas de la reejecución de la regla

Estos son algunos escenarios que pueden beneficiarse de la reproducción de ejecuciones específicas de reglas de análisis:

Refinamiento y ajuste de reglas: las reglas de análisis pueden requerir ajustes periódicos y perfeccionamiento en función del escenario de amenazas en constante evolución y de las necesidades organizativas cambiantes. Al volver a ejecutar manualmente las reglas, los analistas pueden evaluar el impacto de las modificaciones de reglas y validar su eficacia antes de implementarlas en un entorno de producción.

Prueba y validación: al introducir nuevas reglas de análisis, realizar cambios significativos en los existentes o desarrollar nuevos cuadernos de estrategias de incidentes, es esencial probar exhaustivamente su rendimiento y precisión. La nueva ejecución manual permite simular diferentes escenarios, incluido el flujo de incidentes automatizado de un extremo a otro, y validar las reglas en un conjunto coherente de entradas de datos. Este proceso garantiza que las reglas generen las alertas esperadas sin producir falsos positivos excesivos.

Investigación de incidentes: en caso de que se produzca un incidente de seguridad o una actividad sospechosa, es posible que los analistas quieran mostrar detalles adicionales en las alertas ya generadas. Para ello, actualice la regla y vuelva a ejecutarla en intervalos de ejecución específicos (de hasta siete días) para recopilar información adicional e identificar eventos relacionados. La reejecución manual permite a los analistas realizar investigaciones detalladas y ayuda a garantizar una cobertura completa.

Cumplimiento y auditoría: algunos requisitos normativos o directivas internas pueden requerir volver a ejecutar reglas de análisis periódicamente o a petición para demostrar la supervisión y el cumplimiento continuos. La reejecución manual proporciona la capacidad de cumplir estas obligaciones al garantizar que las reglas se apliquen de forma coherente y generen alertas adecuadas.

Requisitos previos

Para usar las herramientas de administración de ejecución, debe tener habilitada la característica de estado y auditoría de Microsoft Sentinel y, específicamente, el seguimiento de estado de la regla de análisis. Obtenga información sobre cómo habilitar el estado y la auditoría.

Visualizar conclusiones de reglas de análisis

Para aprovechar estas herramientas, empiece por examinar las conclusiones sobre una regla determinada.

1. En el menú de navegación de Microsoft Sentinel, seleccione Análisis.

2. Busque y seleccione una regla (Programada o NRT) cuyas conclusiones desee ver.

3. Seleccione la pestaña Conclusiones en el panel de detalles.

   

4. Al seleccionar la pestaña Conclusiones, aparecerá el selector de período de tiempo. Seleccione un intervalo de tiempo o déjelo como valor predeterminado en las últimas 24 horas.

   

El panel Conclusiones muestra actualmente cuatro tipos de conclusiones. Cada conclusión va seguida de un vínculo Ver todo que le lleva a la página Registros y muestra la consulta que generó la conclusión junto con los resultados sin procesar completos. Estas son las conclusiones:

• Las ejecuciones con errores muestran una lista de ejecuciones con errores de esta regla en el período de tiempo determinado. Esta conclusión también va seguida de un vínculo al panel Ejecuciones de reglas, donde puede ver una lista de todas las veces que se ha ejecutado la regla y puede reproducir ejecuciones específicas de la regla.

• Los principales problemas de estado muestran una lista de los problemas de estado más comunes para esta regla durante el período de tiempo determinado. Esta conclusión también va seguida de un vínculo Ver ejecuciones que le lleva a la página Registros donde verá una consulta de todas las veces que se ha ejecutado esta regla.

• El gráfico de alertas muestra un gráfico del número de alertas generadas por esta regla en el período de tiempo determinado.

• La clasificación de incidentes muestra un resumen de la clasificación de incidentes cerrados creados por esta regla durante el período de tiempo determinado.

Volver a ejecutar reglas de análisis

Hay varios escenarios que pueden llevarle a volver a ejecutar una regla.

• Se ha producido un error en la ejecución de una regla debido a una condición temporal que ha vuelto a la normalidad, o debido a una configuración incorrecta. Después de corregir la configuración incorrecta o reparar la condición, querrá volver a ejecutar la regla en la misma ventana de tiempo (es decir, en los mismos datos) que la ejecución que produjo un error, para mitigar las brechas en la cobertura.

• Una regla se ejecutó correctamente, pero no proporcionó suficiente información en las alertas que generó. En este caso, es posible que desee editar la regla para proporcionar más información, ya sea cambiando la consulta o la configuración de enriquecimiento. Después, querrá volver a ejecutar la regla en la misma ventana de tiempo (es decir, en los mismos datos) que la ejecución para la que desea obtener más información.

• Es posible que esté experimentando con la escritura o edición de una regla y quiera ver cómo afectarían diferentes configuraciones a las alertas que genera la regla. Para una comparación válida, conviene reejecutar la regla en la misma ventana de tiempo.

A continuación se explica cómo volver a ejecutar una regla:

1. En la página Análisis, seleccione Ejecuciones de reglas (versión preliminar) en la barra de herramientas de la parte superior. Se abrirá el panel Ejecuciones de reglas.

   

   También puede acceder al panel Ejecuciones de reglas seleccionando Volver a ejecutar reglas en la pantalla Ejecuciones con errores en la pestaña Conclusiones (consulte más arriba).

   

2. Seleccione las ejecuciones de reglas que desea reproducir, según la ventana de tiempo en la que se ejecutaron originalmente, tal como se muestra en la columna Tiempo de ejecución. Puede elegir más de una ejecución de regla.

   

3. Seleccione Reproducir ejecución. Se mostrarán las notificaciones que muestran el progreso de las solicitudes y que las reglas se ponen en cola para la ejecución.

   

4. Seleccione Actualizar para ver el estado actualizado de las ejecuciones de la regla. Verá que las solicitudes se muestran entre ellas, con el estado En curso (eventualmente se mostrará como Correcto) y un tipo de Desencadenado por el usuario en lugar de Desencadenado por el sistema.

   

   También observará que el tiempo de ejecución de las reejecuciones solicitadas es el mismo que el de la ejecución original desencadenada por el sistema, y no el tiempo de ejecución de la reejecución. Se trata de mostrar a qué ventana de tiempo hace referencia la reejecución.

   Solo se pueden reproducir las ejecuciones de reglas desencadenadas por el sistema, no las desencadenadas por el usuario.

Seleccione Ver detalles completos al final de la línea de cualquier regla que se ejecute para ver sus detalles completos y sin procesar en la pantalla Registros.

Pasos siguientes

• Supervisión del estado y auditoría de la integridad de las reglas de análisis.
• Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
• Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
• Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.