Uso de análisis de coincidencias para detectar amenazas
Aproveche la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes de alta fidelidad con la regla Análisis de inteligencia sobre amenazas de Microsoft Defender. Esta regla integrada de Microsoft Sentinel hace coincidir indicadores con registros de formato de evento común (CEF), eventos DNS de Windows con indicadores de amenazas de dominio e IPv4, datos de syslog, etc.
Importante
El análisis de coincidencias está actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Requisitos previos
Para generar alertas e incidentes de alta fidelidad, se deben instalar uno o varios de los conectores de datos admitidos, pero no se requiere una licencia MDTI prémium. Instale las soluciones adecuadas desde el centro de contenido para conectar estos orígenes de datos.
- Formato de evento común (CEF)
- DNS (versión preliminar)
- syslog
- Registros de actividad de Office
- Registros de actividad de Azure
Por ejemplo, en función del origen de datos, podría usar las siguientes soluciones y conectores de datos.
Configuración de la regla de análisis de coincidencias
El análisis de coincidencias se configura al habilitar la regla Análisis de inteligencia sobre amenazas de Microsoft Defender.
Haga clic en el menú Análisis de la sección Configuración.
Seleccione la pestaña de menú Plantillas de reglas.
En la ventana de búsqueda, escriba inteligencia sobre amenazas.
Seleccione la plantilla de la regla Análisis de inteligencia sobre amenazas de Microsoft Defender.
Haga clic en Crear regla. Los detalles de la regla son de solo lectura y el estado predeterminado de la regla es habilitado.
Haga clic en Revisar>Crear.
Orígenes de datos e indicadores
La regla Análisis de inteligencia sobre amenazas de Microsoft Defender (MDTI) hace coincidir los registros con los indicadores de dominio, IP y dirección URL de la siguiente manera:
Los registros CEF ingeridos en la tabla CommonSecurityLog de Log Analytics coinciden con los indicadores de dirección URL y dominio si se rellenan en el campo
RequestURL
y los indicadores IPv4 en el campoDestinationIP
.Los registros DNS de Windows donde el evento
SubType == "LookupQuery"
se ingirió en la tabla DnsEvents coinciden con los indicadores de dominio rellenados en el campoName
y los indicadores IPv4 en el campoIPAddresses
.Los eventos de Syslog en los que
Facility == "cron"
se ingirió en la tabla Syslog coinciden con los indicadores de dominio e IPv4 directamente desde el campoSyslogMessage
.Los registros de actividad de Office ingeridos en la tabla OfficeActivity coinciden con los indicadores IPv4 directamente desde el campo
ClientIP
.Los registros de actividad de Azure ingeridos en la tabla AzureActivity coinciden con los indicadores IPv4 directamente desde el campo
CallerIpAddress
.
Priorizar un incidente generado por análisis de coincidencias
Si el análisis de Microsoft encuentra una coincidencia, las alertas generadas se agrupan en incidentes.
Use los pasos siguientes para realizar una evaluación de prioridades de los incidentes generados por la regla Análisis de inteligencia sobre amenazas de Microsoft Defender:
En el área de trabajo de Microsoft Sentinel en el que ha activado la regla Análisis de inteligencia sobre amenazas de Microsoft Defender, seleccione Incidentes y busque Análisis de inteligencia sobre amenazas de Microsoft Defender.
Los incidentes encontrados se muestran en la cuadrícula.
Seleccione Ver detalles completos para ver las entidades y otros detalles sobre el incidente, como las alertas específicas.
Por ejemplo:
Observe la gravedad asignada a las alertas y al incidente. Dependiendo de cómo coincida el indicador, se asigna una gravedad adecuada a una alerta de
Informational
aHigh
. Por ejemplo, si el indicador coincide con los registros de firewall que han permitido el tráfico, se genera una alerta de gravedad alta. Si el mismo indicador coincide con los registros de firewall que bloquearon el tráfico, la alerta generada sería de gravedad baja o media.A continuación, las alertas se agrupan según la observación del indicador. Por ejemplo, todas las alertas generadas en un período de tiempo de 24 horas que coinciden con el dominio
contoso.com
se agrupan en un único incidente con una gravedad asignada en función de la gravedad de alerta máxima.Observe los detalles del indicador. Cuando se encuentra una coincidencia, el indicador se publica en la tabla ThreatIntelligenceIndicators de Log Analytics, y se muestra en la página Inteligencia sobre amenazas. Para los indicadores publicados a partir de esta regla, el origen se define como Análisis de inteligencia sobre amenazas de Microsoft Defender.
Por ejemplo, en la tabla ThreatIntelligenceIndicators:
En la página Inteligencia sobre amenazas:
Obtener más contexto de Inteligencia sobre amenazas de Microsoft Defender
Junto con las alertas e incidentes de alta fidelidad, algunos indicadores de MDTI incluyen un vínculo a un artículo de referencia en el portal de la comunidad de MDTI.
Para más información, vea el portal de MDTI y ¿Qué es Inteligencia sobre amenazas de Microsoft Defender (Defender TI)?
Contenido relacionado
En este artículo ha aprendido a conectar la inteligencia sobre amenazas producida por Microsoft para generar alertas e incidentes. Para más información sobre la inteligencia sobre amenazas en Microsoft Sentinel, consulte los siguientes artículos:
- Uso de los indicadores de amenazas de Microsoft Sentinel.
- Conexión de Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII.
- Conexión de plataformas de inteligencia sobre amenazas con Microsoft Sentinel.
- Consulte qué plataformas TIP, fuentes TAXII y enriquecimientos se pueden integrar fácilmente con Microsoft Sentinel.