Uso de anomalías personalizables para detectar amenazas en Microsoft Sentinel

¿Qué son las anomalías personalizables?

En el campo de juego de la ciberseguridad se libra una batalla permanente entre atacantes y defensores por tomar ventaja, donde los atacantes siempre encuentran maneras de evadir la detección. Sin embargo, es inevitable que los ataques provoquen un comportamiento inusual en los sistemas atacados. Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar este comportamiento con plantillas de reglas de análisis que se pueden poner a funcionar de forma automática. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.

• Señales adicionales para mejorar la detección: los analistas de seguridad pueden usar las anomalías para detectar nuevas amenazas y hacer más eficaces las detecciones existentes. Una sola anomalía no es una señal sólida de comportamiento malintencionado, pero cuando se combina con varias anomalías que ocurren en distintos puntos de la cadena de eliminación, su efecto acumulativo es mucho más fuerte. Los analistas de seguridad también pueden mejorar las detecciones existentes haciendo que el comportamiento inusual identificado por las anomalías sea una condición para que se desencadenen las alertas.

• Evidencia durante las investigaciones: los analistas de seguridad también pueden usar anomalías durante las investigaciones para ayudar a confirmar una vulneración, buscar nuevas rutas para investigarla y evaluar su posible impacto. Estas eficiencias reducen el tiempo que los analistas de seguridad dedican a las investigaciones.

• El inicio de las búsquedas proactivas de amenazas: los buscadores de amenazas pueden usar anomalías como contexto para ayudar a determinar si sus consultas han detectado un comportamiento sospechoso. Cuando el comportamiento es sospechoso, las anomalías también apuntan a posibles rutas para profundizar en ello. Estas pistas proporcionadas por las anomalías reducen tanto el tiempo para detectar una amenaza como su posibilidad de causar daños.

Las anomalías pueden ser herramientas eficaces, pero son sin duda muy ruidosas. Normalmente requieren una gran cantidad de tediosos ajustes para entornos específicos o un complejo procesamiento posterior. El equipo de ciencia de datos ajusta las plantillas de anomalías personalizables de Microsoft Sentinel para proporcionar valor estándar, pero si necesita ajustarlas aún más, el proceso es sencillo y no requiere ningún conocimiento del aprendizaje automático. Los umbrales y parámetros de muchas de las anomalías se pueden configurar y ajustar a través de la ya conocida interfaz de usuario de las reglas de análisis. El rendimiento del umbral y de los parámetros originales puede compararse con los nuevos dentro de la interfaz y ajustarse aún más si es necesario durante una fase de prueba o piloto. Una vez que la anomalía cumple los objetivos de rendimiento, la anomalía con el nuevo umbral o los nuevos parámetros se puede promover a producción con solo hacer clic en un botón. Las anomalías personalizables de Microsoft Sentinel le permiten aprovechar las ventajas de las anomalías sin el trabajo duro.

Anomalías de UEBA

Algunas de las anomalías detectadas por Microsoft Sentinel proceden de su motor de análisis de comportamiento de usuarios y entidades (UEBA), que detecta anomalías basadas en líneas de base dinámicas creadas para cada entidad en varias entradas de datos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.

Pasos siguientes

En este documento, ha aprendido a aprovechar las anomalías personalizables en Microsoft Sentinel.

• Obtenga información sobre cómo ver, crear, administrar y ajustar reglas de anomalías.
• Obtenga información acerca del análisis del comportamiento de usuarios y entidades (UEBA).
• Consulte la lista de anomalías admitidas actualmente.
• Obtenga información sobre otros tipos de reglas de análisis.