Creación de una regla de análisis a partir de plantillas
La sección Análisis de Microsoft Sentinel contiene plantillas de reglas que se cargan previamente desde el repositorio de GitHub de Microsoft Sentinel. Puede usar estas plantillas para crear una regla de detección de amenazas de seguridad.
Exploración de las plantillas de reglas existentes
Puede usar algunas de las plantillas de reglas existentes para crear una sola regla y otras para crear varias reglas con diferentes opciones de personalización. Las plantillas que se usan muestran la etiqueta EN USO en la página de la plantilla, tal como se muestra en la captura de pantalla siguiente.
Al seleccionar una de las reglas de la pestaña Rule Templates (Plantillas de regla), puede observar las propiedades de la regla. Para cada regla, puede revisar lo siguiente:
Nivel de gravedad. Esto indica la importancia de la alerta. Hay cuatro niveles de gravedad:
- Alto
- Media
- Bajo
- Informativo
Nombre de la regla. Esto proporciona un nombre descriptivo para la regla de alerta.
Tipo de regla. Define el tipo de regla, que puede ser alguno de los cuatro siguientes:
- Anomalía
- Fusión
- Seguridad de Microsoft
- Análisis de comportamiento de ML
- Programado
Origen de datos. Especifica el conector del origen de datos que generó la alerta.
Tácticas. Especifica las metodologías del modelo MITRE ATT&CK que los distintos tipos de malware usan.
Nota:
MITRE ATT&CK es una knowledge base accesible en todo el mundo que contiene tácticas y técnicas de adversarios basadas en observaciones del mundo real. La base de conocimiento de ATT&CK proporciona una base para el desarrollo de metodologías y modelos de amenazas específicos en el sector privado, el sector público y la comunidad de productos y servicios de ciberseguridad.
Al seleccionar una regla de la lista en la pestaña Active rules (Reglas activas) o en la pestaña Rule templates (Plantillas de regla), el panel de detalles proporciona más información sobre la regla seleccionada.
Creación de una regla de análisis a partir de una plantilla de regla
Al seleccionar una plantilla de regla predefinida, el panel de detalles puede mostrar filtros que se pueden usar para definir cómo se comporta esa regla. En el caso de las reglas de análisis de comportamiento de fusión y aprendizaje automático, Microsoft no proporciona ninguna información editable. Sin embargo, para las reglas programadas y Microsoft Security, puede ver o editar la consulta, los filtros y las inclusiones y exclusiones usadas en la detección de amenazas. Al seleccionar el botón Crear regla, puede definir la lógica de la regla de análisis mediante un asistente que le ayuda a personalizar una regla de la plantilla seleccionada.
Las plantillas de análisis del comportamiento de fusión o de aprendizaje automático solo puede habilitarlas o deshabilitarlas como reglas activas.
Una regla creada a partir de la plantilla de seguridad de Microsoft consta de los siguientes elementos:
Pestaña General
En la tabla siguiente se enumeran las entradas de la pestaña General.
| Campo | Descripción |
|---|---|
| Nombre | Se rellena previamente con el nombre de la plantilla de regla. |
| Descripción | Proporciona más detalles sobre la creación de las alertas. |
| Status | Indica si la regla de análisis está habilitada o deshabilitada. |
| Servicio de seguridad de Microsoft | Indica el origen de la alerta de uno de los servicios de seguridad de Microsoft. |
| Filtrar por gravedad | Use esta opción para ajustar las alertas de un origen en función del nivel de gravedad; si selecciona personalizado, puede especificar Alto, Medio, Bajo o Informativo. |
| Incluir alertas específicas | Agregue una o varias palabras para incluir los resultados de las alertas que contienen determinado texto en su nombre. |
| Excluir alertas específicas | Agregue una o varias palabras para excluir los resultados de las alertas que contienen determinado texto en su nombre. |
Respuesta automatizada
En la pestaña Automated response (Respuesta automática), puede definir reglas de automatización. Si selecciona Agregar nuevo, se abre el panel Create new automation rule (Crear regla de automatización). Los siguientes campos son entradas:
| Campo | Descripción |
|---|---|
| Nombre de la regla de Automation | Elija un nombre que describa de forma única esta regla de automatización. |
| Desencadenador | Valor predefinido que no se puede cambiar. |
| Condiciones | Construcción típica del filtro de consulta que se puede editar y ordenar. |
| Acciones | Lista de selección de acciones; seleccione la acción que quiere que se realice si se cumplen las condiciones del filtro de consulta. |
| Expiración de la regla | Fecha y hora de deshabilitación de la regla. El valor predeterminado es indefinido. |
| Pedido | Si se crean varias reglas, seleccione números secuenciales para reordenar las reglas de automatización de incidentes en el panel izquierdo. |
Nota:
Al implementar filtros para incluir o excluir alertas específicas basadas en una cadena de texto, estas alertas no aparecerán en Microsoft Sentinel.
En la captura de pantalla siguiente se muestra un ejemplo de cómo crear un incidente a partir de las alertas generadas por Microsoft Defender for Cloud.
Para instrucciones sobre cómo crear una regla de análisis a partir de una plantilla de tipo de regla programada, consulte Creación de una regla de análisis a partir de una plantilla de regla programada en la unidad siguiente (unidad 6).
Nota:
Para determinadas plantillas de reglas, el botón Crear regla puede estar deshabilitado, lo que indica que no se puede crear una regla a partir de la plantilla seleccionada debido a que falta un origen de datos.