Correlación de alertas y combinación de incidentes en el portal de Microsoft Defender

En este artículo se explica cómo el motor de correlación del portal de Microsoft Defender agrega y correlaciona las alertas recopiladas de todos los orígenes que las generan y las envía al portal. En él se explica cómo Defender crea incidentes a partir de estas alertas y cómo continúa supervisando su evolución, combinando los incidentes entre sí si la situación lo garantiza. Para obtener más información sobre las alertas y sus orígenes y cómo los incidentes agregan valor en el portal de Microsoft Defender, consulte Incidentes y alertas en el portal de Microsoft Defender.

Creación de incidentes y correlación de alertas

Cuando los distintos mecanismos de detección del portal de Microsoft Defender generan alertas, como se describe en Incidentes y alertas en el portal de Microsoft Defender, se colocan en incidentes nuevos o existentes según la lógica siguiente:

• Si la alerta es lo suficientemente única en todos los orígenes de alerta dentro de un período de tiempo determinado, Defender crea un nuevo incidente y le agrega la alerta.
• Si la alerta está suficientemente relacionada con otras alertas (desde el mismo origen o entre orígenes) dentro de un período de tiempo determinado, Defender agrega la alerta a un incidente existente.

Los criterios utilizados por el portal de Defender para correlacionar las alertas en un único incidente forman parte de su lógica de correlación interna propietaria. Esta lógica también es responsable de proporcionar un nombre adecuado al nuevo incidente.

Correlación de alertas por Microsoft Sentinel área de trabajo

Cuando el portal de Defender está configurado para incluir Microsoft Sentinel como origen de datos, cada área de trabajo de Microsoft Sentinel se considera su propio origen de datos independiente. Si tiene varias áreas de trabajo para Microsoft Sentinel, el portal de Defender le permite configurar una de esas áreas de trabajo como área de trabajo principal. Las alertas que proceden del área de trabajo principal se pueden correlacionar con Microsoft Defender XDR alertas y se pueden incluir juntas en incidentes. Cualquier otra área de trabajo de Microsoft Sentinel incorporada se considera área de trabajo secundaria. Las alertas de estas áreas de trabajo secundarias no están correlacionadas con las alertas de Defender XDR ni de ningún otro origen de datos del portal de Defender, incluidas otras áreas de trabajo de Microsoft Sentinel. El portal de Defender mantiene la creación de incidentes y la correlación de alertas separadas entre las áreas de trabajo de Microsoft Sentinel. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender.

Correlación manual de alertas

Aunque Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que quiera decidir de forma diferente si una alerta determinada pertenece a un incidente determinado. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que puede vincular la alerta a otro incidente existente o a un nuevo incidente que cree en el lugar.

Para obtener más información sobre cómo mover una alerta de un incidente a otro, consulte Traslado de alertas de un incidente a otro en el portal de Microsoft Defender.

Correlación y combinación de incidentes

Las actividades de correlación del portal de Defender no se detienen cuando se crean incidentes. Defender sigue detectando las similitudes y las relaciones entre incidentes y alertas entre incidentes. Cuando se determina que varios incidentes son iguales, Defender combina los incidentes en un único incidente.

Criterios para combinar incidentes

El motor de correlación de Defender combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes, en función de su profundo conocimiento de los datos y del comportamiento de ataque. Algunos de estos elementos incluyen:

• Entidades: recursos como usuarios, dispositivos, buzones de correo y otros
• Artefactos: archivos, procesos, remitentes de correo electrónico y otros
• Períodos de tiempo
• Secuencias de eventos que apuntan a ataques de varias fases, por ejemplo, un evento de clic de correo electrónico malintencionado que sigue de cerca una detección de correo electrónico de suplantación de identidad (phishing).

Detalles del proceso de combinación

Cuando se combinan dos o más incidentes, no se crea un nuevo incidente para absorberlos. En su lugar, el contenido de un incidente (el "incidente de origen") se migra al otro incidente (el "incidente de destino") y el incidente de origen se cierra automáticamente. El incidente de origen ya no está visible ni está disponible en el portal de Defender y cualquier referencia a él se redirige al incidente de destino. El incidente de origen, aunque cerrado, sigue siendo accesible en Microsoft Sentinel en el Azure Portal.

Dirección de combinación

La dirección de la combinación de incidentes hace referencia a qué incidente es el origen y cuál es el destino. Esta dirección viene determinada por Microsoft Defender, en función de su propia lógica interna, con el objetivo de maximizar la retención y el acceso a la información. El usuario no tiene ninguna entrada en esta decisión, incluso al combinar incidentes manualmente.

Contenido del incidente

El contenido de los incidentes se controla de las siguientes maneras:

• Todas las alertas contenidas en el incidente de origen se quitan del incidente de origen y se agregan al incidente de destino.
• Las etiquetas aplicadas al incidente de origen se quitan del incidente de origen y se agregan al incidente de destino.
• Se agrega una Redirected etiqueta al incidente de origen.
• Las entidades (recursos, etc.) siguen las alertas a las que están vinculadas.
• Las reglas de análisis registradas como implicadas en la creación del incidente de origen se agregan a las reglas registradas en el incidente de destino. Para excluir una regla de análisis de la correlación, consulte Excluir las reglas de análisis de la correlación en Microsoft Defender XDR (versión preliminar).
• Actualmente, la migración de comentarios y auditorías de entradas del registro de actividad está en versión preliminar.
  Para ver los comentarios y el historial de actividad del incidente de origen si no tiene acceso a la versión preliminar, abra el incidente en Microsoft Sentinel en el Azure Portal. El historial de actividades incluye el cierre del incidente y la adición y eliminación de alertas, etiquetas y otros elementos relacionados con la combinación de incidentes. Estas actividades se atribuyen a la Microsoft Defender XDR de identidad: correlación de alertas.

Cuando los incidentes no se combinan

Incluso cuando la lógica de correlación indica que se deben combinar dos incidentes, Defender no combina los incidentes en las siguientes circunstancias:

• Uno de los incidentes tiene el estado "Cerrado". Los incidentes que se resuelven no se vuelven a abrir.
• Los incidentes de origen y de destino se asignan a dos personas diferentes.
• Los incidentes de origen y de destino tienen dos clasificaciones diferentes (por ejemplo, verdadero positivo y falso positivo) o dos determinaciones diferentes (las subcategorías de las clasificaciones).
• La combinación de los dos incidentes elevaría el número de entidades del incidente de destino por encima del máximo permitido.
• Los dos incidentes contienen dispositivos en grupos de dispositivos diferentes según lo definido por la organización.
  (Esta condición no está en vigor de forma predeterminada; debe estar habilitada).

Combinación manual de incidentes (versión preliminar)

Si se deben combinar dos incidentes, pero no se combinan por ninguna de las razones enumeradas en la sección anterior, ahora puede combinar los incidentes manualmente después de corregir los motivos subyacentes.

Por ejemplo, si los incidentes no se combinaron porque se asignaron a dos personas diferentes, puede quitar la asignación de uno de los incidentes y, a continuación, combinar los incidentes manualmente.

La combinación de incidentes entre sí es preferible a desvincular alertas de un incidente y vincularlos a otro, ya que se conserva toda la información de incidente (por ejemplo, el registro de actividad).

Actualmente, cinco incidentes a la vez se pueden combinar manualmente.

Otras reglas que rigen la combinación manual son las mismas que la combinación automática. Consulte Detalles del proceso de combinación anterior.

Para obtener instrucciones y más información sobre cómo combinar incidentes manualmente, consulte Combinar incidentes manualmente en el portal de Microsoft Defender.

Pasos siguientes

Para obtener más información sobre cómo priorizar y administrar incidentes, consulte los artículos siguientes:

• Administración de incidentes en Microsoft Defender

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

Vea también

• El poder de los incidentes en Microsoft Defender XDR
• Dentro de Microsoft Defender XDR: Correlación y consolidación de ataques en incidentes