Paso 3. Ingesta de orígenes de datos y configuración de la detección de incidentes en Microsoft Sentinel
Una vez que haya terminado de diseñar e implementar las áreas de trabajo de Microsoft Sentinel, proceda a la ingesta de orígenes de datos y configure la detección de incidentes.
Las Soluciones de Microsoft Sentinel proporcionan una forma consolidada de adquirir contenido de Microsoft Sentinel (como conectores de datos, libros, análisis y automatización) en el área de trabajo con un solo paso de implementación.
Los conectores de datos están configurados para habilitar la ingesta de datos en el área de trabajo. Después de habilitar los puntos de datos clave que se van a ingerir en Microsoft Sentinel, también debe habilitarse el análisis del comportamiento de usuarios y entidades (UEBA) y las reglas analíticas para capturar actividades anómalas y malintencionadas. Las reglas analíticas dictaminan cómo se generan alertas e incidentes en la instancia de Microsoft Sentinel. La adaptación de reglas analíticas a su entorno y a sus necesidades organizativas mediante la asignación de entidades le permite generar incidentes de alta fidelidad y reducir la fatiga de las alertas.
Si ha incorporado el área de trabajo a la plataforma de operaciones de seguridad unificada, los procedimientos de este paso están disponibles en los portales de Azure y Defender.
Antes de empezar
Confirme el método de instalación, los roles necesarios y las licencias necesarios para activar los conectores de datos. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
En la tabla siguiente se muestra un resumen de los requisitos previos necesarios para ingerir conectores de datos clave de Microsoft Sentinel para los servicios de Azure y Microsoft:
| Tipo de recurso | Método de instalación | Rol, permisos y licencia necesarios |
|---|---|---|
| Microsoft Entra ID | Conector de datos nativo | Administrador de seguridad Los registros de entrada requieren la licencia Microsoft Entra ID P1 o P2 Otros registros no requieren P1 o P2 |
| Microsoft Entra ID Protection | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft Entra ID P2 |
| Azure Activity (Actividad de Azure) | Azure Policy | Rol de propietario necesario en las suscripciones |
| Microsoft Defender XDR | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft 365 E5, Microsoft 365 A5 o cualquier otra licencia válida de Microsoft Defender XDR |
| Microsoft Defender for Cloud | Conector de datos nativo | Lector de seguridad Para habilitar la sincronización bidireccional, se requiere la función Contributor/Security Admin en la suscripción. |
| Microsoft Defender for Identity | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft Defender for Identity |
| Microsoft Defender para Office 365 | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft Defender para Office 365 Plan 2 |
| Microsoft 365 | Conector de datos nativo | Administrador de seguridad |
| Microsoft Defender para IoT | Colaborador a la suscripción con centro de IoT | |
| Microsoft Defender para aplicaciones en la nube | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft Defender for Cloud Apps |
| Microsoft Defender para punto de conexión | Conector de datos nativo | Administrador de seguridad Licencia: Microsoft Defender para punto de conexión |
| Eventos de seguridad de Windows mediante el agente de Azure Monitor (AMA) |
Conector de datos nativo con el agente | Lectura y escritura en el área de trabajo de Log Analytics |
| Syslog | Conector de datos nativo con el agente | Área de trabajo de Log Analytics de lectura y escritura |
Paso 1: Instalación de soluciones y activación de conectores de datos
Use las siguientes recomendaciones para empezar a instalar soluciones y configurar conectores de datos. Para más información, vea:
- Catálogo del centro de contenido de Microsoft Sentinel
- Detección y administración del contenido listo para usar de Microsoft Sentinel
Configuración de orígenes de datos gratuitos
Empiece por centrarse en la configuración de orígenes de datos gratuitos que se van a ingerir, como por ejemplo:
Registros de actividad de Azure: la ingesta de registros de actividad de Azure es fundamental para permitir que Microsoft Sentinel proporcione una vista de un solo panel de todo el entorno.
Registros de auditoría de Office 365, incluidas todas las actividades de SharePoint, la actividad del administrador de Exchange, y Teams.
Alertas de seguridad, incluidas las alertas de Microsoft Defender for Cloud, Microsoft Defender XDR, Microsoft Defender para Office 365, Microsoft Defender for Identity y Microsoft Defender para punto de conexión.
Si no ha incorporado el área de trabajo a la plataforma de operaciones de seguridad unificada y está trabajando en Azure Portal, la ingesta de alertas de seguridad en Microsoft Sentinel permite que Azure Portal sea el panel central de administración de incidentes en todo el entorno. En tales casos, la investigación de incidentes se inicia en Microsoft Sentinel y debe continuar en el portal de Microsoft Defender o en Defender for Cloud, si se requiere un análisis más profundo.
Para obtener más información, consulte Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft.
Alertas de Microsoft Defender for Cloud Apps.
Para más información, consulte Precios de Microsoft Sentinel y Orígenes de datos gratuitos.
Configuración de orígenes de datos de pago
Para proporcionar una cobertura más amplia de supervisión y alertas, céntrese en agregar los conectores de datos de Microsoft Entra ID y Microsoft Defender XDR. Hay un cargo por la ingesta de datos de estos orígenes.
Si se requiere cualquiera de los siguientes elementos, asegúrese de enviar los registros de Microsoft Defender XDR a Microsoft Sentinel:
- Incorporación a la plataforma de operaciones de seguridad unificada, que proporciona un único portal para la administración de incidentes en Microsoft Defender.
- Alertas de fusión de Microsoft Sentinel, que correlacionan orígenes de datos de varios productos para detectar ataques de varias fases en todo el entorno.
- Retención más larga que la que se ofrece en Microsoft Defender XDR.
- Automatización no cubierta por las correcciones integradas que ofrece Microsoft Defender para punto de conexión.
Para más información, vea:
- Integración con Microsoft 365 Defender
- Conexión de los datos de Microsoft Defender XDR a Microsoft Sentinel
- Conexión de datos de Microsoft Entra a Microsoft Sentinel
Configuración de orígenes de datos por entorno
En esta sección se describen los orígenes de datos que puede usar, en función de los servicios y los métodos de implementación usados en su entorno.
| Escenario | Orígenes de datos |
|---|---|
| Servicios de Azure | Si alguno de los siguientes servicios se implementa en Azure, use los siguientes conectores para enviar los registros de diagnóstico de estos recursos a Microsoft Sentinel: - Azure Firewall - Introducción a Puerta de enlace de aplicaciones - KeyVault - Azure Kubernetes Service - SQL de Azure - Grupos de seguridad de red - Servidores de Azure Arc Se recomienda configurar Azure Policy para requerir que sus registros se reenvíen al área de trabajo de Log Analytics subyacente. Para más información, consulte Crear configuraciones de diagnóstico a escala utilizando Azure Policy. |
| Máquinas virtuales | En el caso de máquinas virtuales hospedadas en el entorno local o en otras nubes que requieren que se recopilen sus registros, use los siguientes conectores de datos: - Eventos de seguridad de Windows mediante AMA - Eventos a través de Defender para punto de conexión (para servidor) - Syslog |
| Aplicaciones virtuales de red u orígenes locales | En el caso de aplicaciones virtuales de red u otros orígenes locales que generan registros de formato de evento común (CEF) o SYSLOG, use los siguientes conectores de datos: - Syslog a través de AMA - Formato de evento común (CEF) a través de AMA Para más información, consulte ingesta de mensajes Syslog y CEF en Microsoft Sentinel con el agente de Azure Monitor. |
Cuando haya terminado, busque en el centro de contenido de Microsoft Sentinel otros dispositivos y aplicaciones de software como servicio (SaaS) que requieran que los registros se envíen a Microsoft Sentinel.
Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Paso 2: Habilitación del análisis del comportamiento de entidades de usuario
Después de configurar conectores de datos en Microsoft Sentinel, asegúrese de habilitar el análisis de comportamiento de entidades de usuario para identificar comportamientos sospechosos que podrían provocar vulnerabilidades de suplantación de identidad (phishing) y, a la larga, ataques como ransomware. A menudo, la detección de anomalías a través de UEBA es el mejor método para detectar vulnerabilidades de seguridad de día cero al principio.
El uso de UEBA permite a Microsoft Sentinel crear perfiles de comportamiento de las entidades de su organización a lo largo del tiempo y del grupo del mismo nivel para identificar actividades anómalas. Esta utilidad adicional ayuda a una expedición de determinar si un recurso se ha puesto en peligro. Puesto que identifica la asociación del grupo del mismo nivel, esto también puede ayudar a determinar el radio de explosión de dicho compromiso.
Para más información, consulte Identificación de amenazas con análisis del comportamiento de entidades.
Paso 3: Habilitación de reglas analíticas
Los cerebros de Microsoft Sentinel proceden de las reglas analíticas. Estas son reglas que se establecen para indicar a Microsoft Sentinel que le avise sobre los eventos con un conjunto de condiciones que usted considera importantes. Las decisiones predefinidas que toma Microsoft Sentinel se basan en el análisis del comportamiento de entidades de usuario (UEBA) y en correlaciones de datos entre varios orígenes de datos.
Al activar reglas analíticas para Microsoft Sentinel, dé prioridad a la habilitación por orígenes de datos conectados, riesgo organizativo y táctica de MITRE.
Evitación de incidentes duplicados
Si ha habilitado el conector de Microsoft Defender XDR, se establecerá automáticamente una sincronización bidireccional entre incidentes de 365 Defender y Microsoft Sentinel.
Para evitar crear incidentes duplicados para las mismas alertas, se recomienda que el cliente desactive todas las reglas de creación de incidentes de Microsoft para productos integrados de Microsoft Defender XDR, incluidos Defender para punto de conexión, Defender for Identity, Defender para Office 365, Defender for Cloud Apps y Microsoft Entra ID Protection.
Para obtener más información, consulte Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft.
Uso de alertas de fusión
De forma predeterminada, Microsoft Sentinel permite que la regla de análisis de detección de ataques avanzada de varias fases de fusión identifique automáticamente los ataques de varias fases.
Usando los eventos de comportamiento anómalo y actividad sospechosa observados en la cadena de ataque, Microsoft Sentinel genera incidentes que permiten ver los incidentes en peligro con dos o más actividades de alerta con un alto grado de confianza.
La tecnología de alertas de fusión correlaciona puntos amplios de señales de datos con análisis extendidos de aprendizaje automático (ML) para ayudar a determinar amenazas conocidas, desconocidas y emergentes. Por ejemplo, la detección de fusión puede tomar las plantillas de reglas de anomalías y las consultas programadas creadas para el escenario de ransomware y emparejarlas con alertas de los servicios de Microsoft Security Suite, como:
- Protección de Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender para IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Defender para Office 365
Uso de reglas de anomalías
Las reglas de anomalías de Microsoft Sentinel están disponibles de forma inmediata y están habilitadas de forma predeterminada. Las reglas de anomalías se basan en modelos de aprendizaje automático y UEBA que se entrenan sobre los datos del área de trabajo para marcar el comportamiento anómalo en usuarios, hosts y otros.
A menudo, un ataque de suplantación de identidad (phishing) conduce a un paso de ejecución, como la manipulación o control de cuentas locales o en la nube o la ejecución de scripts malintencionados. Las reglas de anomalías buscan exactamente esos tipos de actividades, como:
- Eliminación anómala de acceso a la cuenta
- Creación de cuentas anómalas
- Eliminación anómala de la cuenta
- Manipulación anómala de cuentas
- Ejecución anómala de código (UEBA)
- Destrucción anómala de datos
- Modificación anómala del mecanismo defensivo
- Inicio de sesión anómalo con errores
- Restablecimiento anómalo de contraseña
- Privilegio anómalo concedido
- Inicios de sesión anómalos
Revise las reglas de anomalías y el umbral de puntuación de anomalías de cada una. Si observa falsos positivos por ejemplo, considere la posibilidad de duplicar la regla y modificar el umbral siguiendo los pasos descritos en Ajuste de reglas de anomalías.
Uso de la regla analítica de Inteligencia contra amenazas Microsoft
Después de revisar y modificar las reglas de fusión y anomalías, habilite la regla analítica predefinida de Inteligencia sobre amenazas Microsoft. Compruebe que esta regla coincide con los datos de registro con la inteligencia contra amenazas generada por Microsoft. Microsoft cuenta con un amplio repositorio de datos de inteligencia sobre amenazas y esta regla analítica usa un subconjunto de ellos para generar alertas e incidentes de alta fidelidad para los equipos de SOC (centros de operaciones de seguridad) con el fin de evaluarlos.
Realización de un cotejo de MITRE Att&ck
Con las reglas analíticas de fusión, anomalías e inteligencia sobre amenazas habilitadas, realice un cotejo de MITRE Att&ck para ayudarle a decidir qué reglas analíticas restantes habilitar y terminar de implementar un proceso XDR (detección y respuesta extendidas) maduro. Esto le permite detectar y responder durante todo el ciclo de vida de un ataque.
El departamento de investigación de MITRE Att&ck creó el método MITRE y se ofrece como parte de Microsoft Sentinel para facilitar la implementación. Asegúrese de tener reglas analíticas que amplíen la longitud y amplitud del enfoque de vectores de ataque.
Revise las técnicas de MITRE que están cubiertas por las reglas analíticas activas existentes.
Seleccione "Plantillas de reglas analíticas" y "Reglas de anomalías" en la lista desplegable Simulado. Aquí se muestra dónde tiene la táctica o técnica de adversario cubierta y dónde hay reglas analíticas disponibles que debe considerar habilitar para mejorar la cobertura.
Por ejemplo, para detectar posibles ataques de suplantación de identidad (phishing), revise las plantillas de reglas analíticas para la técnica Suplantación de identidad (phishing) y dé prioridad a la habilitación de las reglas que consultan específicamente los orígenes de datos que ha incorporado a Microsoft Sentinel.
En general, hay cinco fases para un ataque de ransomware operado por humanos y la suplantación de identidad (phishing) se incluye en Acceso inicial, como se muestra en las imágenes siguientes:
Siga los pasos restantes para cubrir toda la cadena de ataque con las reglas analíticas adecuadas:
- Acceso inicial
- Robo de credenciales
- Desplazamiento lateral
- Persistencia
- Evasión defensiva
- Exfiltración (aquí es donde se detecta ransomware)
Recomendado para el entrenamiento
El contenido de entrenamiento no cubre actualmente la plataforma de operaciones de seguridad unificada.
Conexión de datos a Microsoft Sentinel mediante conectores de datos
| Cursos | Conexión de datos a Microsoft Sentinel mediante conectores de datos |
|---|---|
|
El enfoque principal para conectar datos de registro es usar los conectores de datos proporcionados de Microsoft Sentinel. En este módulo, se proporciona información general sobre los conectores de datos disponibles. |
Conexión de registros a Microsoft Sentinel
| Cursos | Conexión de registros a Microsoft Sentinel |
|---|---|
|
Conecte datos a Microsoft Sentinel a la escala de la nube en todos los usuarios, dispositivos y aplicaciones, así como en la totalidad de la infraestructura, tanto en el entorno local como en varias nubes. |
Identificación de amenazas con Análisis de comportamiento
| Cursos | Identificar amenazas con el Análisis de comportamiento |
|---|---|
|
El enfoque principal para conectar datos de registro es usar los conectores de datos proporcionados de Microsoft Sentinel. En este módulo, se proporciona información general sobre los conectores de datos disponibles. |
Pasos siguientes
Continúe con el paso 4 para responder a un incidente.
