Creación y personalización de reglas de análisis en Microsoft Sentinel

  • 7 minutos

Después de conectar los orígenes de datos a Microsoft Sentinel, cree reglas de análisis personalizadas que le ayuden a detectar las amenazas y los comportamientos anómalos de su entorno.

Las reglas de análisis buscan eventos o conjuntos de eventos específicos en el entorno, le avisan cuando se alcanzan determinados umbrales de eventos o condiciones, generan incidentes para que el SOC evalúe e investigue, y responden a las amenazas con procesos de seguimiento y corrección automatizados.

Creación de una regla de análisis personalizada con una consulta programada

  1. En el menú de navegación de Microsoft Sentinel, seleccione Análisis.

  2. En la barra de acciones de la parte superior, seleccione + Crear y elija Regla de consulta programada. Así se abre el Asistente para reglas de Analytics.

Captura de pantalla que muestra un ejemplo de cómo ejecutar una consulta programada.

Asistente para reglas de análisis: pestaña General

  • Proporcione un Nombre único y una Descripción.
  • En el campo Tactics and techniques (Táctica y técnicas), puede elegir cualquiera de las categorías de ataques por las que se clasifica la regla. Se basan en las tácticas y técnicas del marco de MITRE ATT&CK.
  • Los incidentes creados a partir de alertas detectadas por reglas asignadas a tácticas y técnicas de MITRE ATT&CK heredan automáticamente la asignación de la regla.
  • Establezca la Gravedad de la alerta según sea necesario.
    • Informativo. No afecta al sistema, pero la información podría ser indicativo de los pasos futuros planeados por un actor de amenazas.
    • Bajo. El impacto inmediato sería mínimo. Es probable que un actor de amenazas tenga que llevar a cabo varios pasos antes de lograr un impacto en un entorno.
    • Media. El actor de amenazas podría tener algún impacto en el entorno con esta actividad, pero sería limitado en el ámbito o requeriría actividad adicional.
    • Alto. La actividad identificada proporciona al actor de amenazas acceso amplio para realizar acciones en el entorno o se desencadena mediante el impacto en el entorno.
  • Los valores predeterminados de nivel de gravedad no son una garantía del nivel de impacto actual o ambiental. Personalice los detalles de alerta para personalizar la gravedad, las tácticas y otras propiedades de una instancia determinada de una alerta con los valores de los campos pertinentes de una salida de consulta.
  • Las definiciones de gravedad de las plantillas de reglas de análisis de Microsoft Sentinel solo son relevantes para las alertas creadas por las reglas de análisis. Para las alertas ingeridas desde otros servicios, el servicio de seguridad de origen define la gravedad.
  • Cuando cree la regla, el valor predeterminado del campo Status (Estado) es Enabled (Habilitado), lo que significa que se ejecutará inmediatamente después de que termine de crearla. Si no desea ejecutarla de inmediato, seleccione Disabled (Deshabilitado) para agregar la regla a la pestaña Active rules (Reglas activas), desde donde podrá habilitarla cuando sea necesario.

Captura de pantalla que muestra un ejemplo de cómo crear una nueva regla.

Definición de la lógica de consulta de regla y configuración de los valores

En la pestaña Establecer la lógica de la regla, puede escribir una consulta directamente en el campo Consulta de la regla, o bien crearla en Log Analytics y, después, copiarla y pegarla aquí.

  • Las consultas se escriben en el lenguaje de consulta de Kusto (KQL).
  • En el ejemplo que se muestra en esta captura de pantalla se consulta la tabla SecurityEvent para mostrar un tipo de eventos de inicio de sesión de Windows con errores.

Captura de pantalla que muestra un ejemplo de cómo establecer la lógica de las reglas.

Aquí tiene otra consulta de ejemplo que le alertará cuando se cree una cantidad anómala de recursos en Azure Activity.

Kusto

AzureActivity

| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE" or OperationNameValue == "MICROSOFT.RESOURCES/DEPLOYMENTS/WRITE"

| where ActivityStatusValue == "Succeeded"

| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

Importante

Le recomendamos que la consulta use un analizador del Modelo avanzado de información de seguridad (ASIM) y no una tabla nativa. Esto garantizará que la consulta admita cualquier origen de datos relevante, actual o futuro, en lugar de un origen de datos único.

Procedimientos recomendados de consulta de reglas:

  • La longitud de la consulta debe tener entre 1 y 10 000 caracteres y no puede contener search * ni union *. Puede usar funciones definidas por el usuario para superar la limitación de longitud de consulta.
  • No se admite el uso de funciones ADX para crear consultas de Azure Data Explorer en la ventana de consulta de Log Analytics.
  • Al usar la función bag_unpack en una consulta, si proyecta las columnas como campos mediante project field1 y la columna no existe, se producirá un error en la consulta. Para evitar que esto suceda, debe proyectar la columna de la siguiente manera:
    • project field1 = column_ifexists("field1","")

Enriquecimiento de alertas

  • Use la sección de configuración de asignación de entidades para asignar parámetros de los resultados de las consultas a entidades reconocidas por Microsoft Sentinel. Las entidades enriquecen la salida de las reglas (alertas e incidentes) con datos esenciales que actúan como bloques de creación de cualquier proceso de investigación y de las acciones de corrección posteriores. También son los criterios por los que puede agrupar alertas en incidentes en la pestaña Configuración de incidentes.
  • Use la sección configuración de Detalles personalizados para extraer elementos de datos de eventos de la consulta y mostrarlos en las alertas generadas por esta regla, lo que le proporciona visibilidad inmediata del contenido del evento en sus alertas e incidentes.
  • Use la sección de configuración de Detalles de alertas para invalidar los valores predeterminados de las propiedades de la alerta con detalles de los resultados de la consulta subyacente. Los detalles de la alerta le permiten mostrar, por ejemplo, la dirección IP o el nombre de cuenta de un atacante en el título de la propia alerta, por lo que aparecerá en la cola de incidentes. Esto ofrece una imagen mucho más completa y clara del panorama de las amenazas.

Nota:

El límite de tamaño de una alerta completa es de 64 KB.

  • Las alertas que crezcan más de 64 KB se truncarán. A medida que se identifican las entidades, se agregan a la alerta una por una hasta que el tamaño de la alerta alcanza los 64 KB y se quitan las entidades restantes de la alerta.
  • Los demás enriquecimientos de alertas también contribuyen al tamaño de la alerta.
  • Para reducir el tamaño de la alerta, use el operador project-away de la consulta para quitar los campos innecesarios. (Considere también el operador project si solo necesitase conservar algunos campos).

Programación de consultas y umbral de alertas

  • En la sección Query scheduling (Programación de consultas), establezca los siguientes parámetros:

Captura de pantalla que muestra un ejemplo de creación de una nueva regla programada.

  • Establezca la opción Ejecutar consulta cada para controlar la frecuencia de ejecución de la consulta (puede establecer frecuencias de 5 minutos o de una vez cada 14 días).
  • Establezca Buscar datos del último para determinar el periodo de los datos que cubre la consulta (por ejemplo, puede consultar los 10 últimos minutos de datos o las 6 últimas horas de datos). El máximo es de 14 días.
  • Para la nueva configuración de Comenzar a ejecutar (en versión preliminar):
    • Déjelo establecido en Automáticamente para continuar con el comportamiento original: la regla se ejecutará por primera vez inmediatamente después de haberse creado y, después de eso, en el intervalo establecido en la configuración Ejecutar consulta cada.
    • Alterne el modificador a la opción En un momento específico si desea determinar cuándo
    • se ejecuta primero la regla, en lugar de ejecutarla inmediatamente. A continuación, elija la fecha con el selector de calendario y especifique la hora en el formato del ejemplo que se muestra.

Captura de pantalla que muestra un ejemplo de cómo configurar los parámetros de la programación de consultas.

Las ejecuciones futuras de la regla se producirán en el intervalo especificado después de la primera ejecución.

La línea de texto de la opción Iniciar ejecución (con el icono de información a la izquierda) resume la programación de consultas actual y la configuración de búsqueda.

Intervalos de consulta y período de retrospectiva

Estos dos valores son independientes entre sí, hasta cierto punto. Puede ejecutar una consulta a un intervalo corto que abarque un periodo mayor que el intervalo (teniendo en efecto consultas que se solapan), pero no puede ejecutar una consulta a un intervalo que supere el periodo de cobertura, ya que, de lo contrario, tendrá lagunas en la cobertura general de la consulta.

Retraso de la ingesta

Para tener en cuenta la latencia que puede producirse entre la generación de un evento en el origen y su ingesta en Microsoft Sentinel, y para garantizar una cobertura completa sin duplicación de datos, Microsoft Sentinel ejecuta reglas de análisis programadas con un retraso de cinco minutos desde su hora programada.

Use la sección Umbral de alerta para definir el nivel de confidencialidad de la regla. Por ejemplo, en Generar alerta cuando el número de resultados de consulta, seleccione Es mayor que y escriba el número 1000 si desea que la regla genere una alerta solo si la consulta genera más de 1000 resultados cada vez que se ejecuta. Este es un campo obligatorio, por lo que si no desea establecer un umbral (es decir, si desea que su alerta registre todos los eventos), escriba 0 en el campo numérico.

Configuración de la creación de incidentes

En la pestaña Configuración de incidentes, puede elegir si Microsoft Sentinel convierte las alertas en incidentes sobre los que se pueden realizar acciones y cómo lo hace. Si esta pestaña no se modifica, Microsoft Sentinel creará un solo incidente independiente a partir de todas y cada una de las alertas. Puede elegir que no se creen incidentes o agrupar varias alertas en un solo incidente. Para ello, solo debe cambiar el valor de esta pestaña.

Configuración de los incidentes

En la sección Configuración de los incidentes, el valor predeterminado de Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis es Habilitado, lo que significa que Microsoft Sentinel creará un solo incidente independiente para cada una de las alertas que desencadene la regla.

  • Si no desea que esta regla provoque la aparición de incidentes (por ejemplo, si esta regla es solo para recopilar información para su posterior análisis), seleccione Disabled (Deshabilitado).
  • Si desea que se cree un solo incidente a partir de un grupo de alertas, en lugar de uno para cada alerta, consulte la sección siguiente.

Agrupación de alertas

En la sección Alert grouping (Agrupación de alertas), si desea que se genere un solo incidente a partir de un grupo de hasta 150 alertas similares o recurrentes (consulte la nota), en Group related alerts, triggered by this analytics rule, into incidents (Agrupar en incidentes alertas relacionadas desencadenadas por esta regla de análisis) seleccione Enabled (Habilitado) y establezca los siguientes parámetros.

  • Limite el grupo a las alertas creadas en el período de tiempo seleccionado: Determine el período de tiempo en el que se agruparán las alertas similares o periódicas. Todas las alertas correspondientes que se encuentren dentro de este periodo de tiempo generarán colectivamente un incidente o un conjunto de incidentes (en función de la configuración de agrupación que encontrará a continuación). Las alertas que aparezcan fuera de este periodo de tiempo generarán un incidente, o conjunto de incidentes, independientes.
  • Agrupe las alertas desencadenadas por esta regla de análisis en un único incidente por: elija el motivo por el que se agruparán las alertas:
Opción Descripción
Agrupar las alertas en un solo incidente si todas las entidades coinciden Las alertas se agrupan si comparten los mismos valores entre todas las entidades asignadas, definidas en la pestaña Set rule logic (Establecer lógica de regla) anterior. Esta es la configuración recomendada.
Agrupar todas las alertas desencadenadas por esta regla en un único incidente Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos.
Agrupar las alertas en un solo incidente si las entidades seleccionadas y los detalles coinciden Las alertas se agrupan si comparten valores idénticos para todas las entidades asignadas, los detalles de las alertas y los detalles personalizados seleccionados en las listas desplegables correspondientes.

Es posible que quiera usar esta configuración si, por ejemplo, quiere crear incidentes independientes basados en las direcciones IP de origen o de destino, o si desea agrupar las alertas que coincidan con una entidad y gravedad específicas.

Nota: Al seleccionar esta opción, debe tener al menos un tipo de entidad o campo seleccionado para la regla. De lo contrario, se producirá un error en la validación de la regla y esta no se creará.
  • Vuelva a abrir los incidentes coincidentes cerrados: si se ha resuelto y cerrado un incidente y, posteriormente, se genera otra alerta que habría pertenecido a ese incidente, establezca esta opción en Enabled (Habilitado) si quiere que el incidente cerrado se vuelva a abrir, o bien déjela como Disabled (Deshabilitado) si quiere que la alerta cree un incidente nuevo.

Nota

Se pueden agrupar hasta 150 alertas en un solo incidente.

  • El incidente solo se creará después de que se hayan generado todas las alertas. Todas las alertas se agregarán al incidente inmediatamente después de su creación.
  • Si hay más de 150 alertas generadas por una regla que las agrupa en un solo incidente, se generará un nuevo incidente con los mismos detalles del incidente que el original, y las alertas sobrantes se agruparán en el nuevo incidente.

Establecimiento de respuestas automatizadas y creación de la regla

En la pestaña Respuestas automatizadas, puede usar las reglas de automatización para establecer respuestas automatizadas que se produzcan en cualquiera de estos tres tipos de ocasiones:

  1. Cuando esta regla de análisis genera una alerta.
  2. Cuando se crea un incidente con alertas generadas por esta regla de análisis.
  3. Cuando se actualiza un incidente con alertas generadas por esta regla de análisis.

La cuadrícula que se muestra en Reglas de automatización, muestra las reglas de automatización que ya se aplican a esta regla de análisis (asumiendo que cumple las condiciones definidas en esas reglas). Para editar cualquiera de estos puntos suspensivos, seleccione los puntos suspensivos al final de cada fila. O bien, puede crear una nueva regla de automatización.

Use reglas de automatización para realizar evaluaciones de prioridades básicas, asignaciones, flujos de trabajo y cierres de incidentes.

Automatice tareas más complejas e invoque respuestas de sistemas remotos para corregir amenazas mediante una llamada a los cuadernos de estrategias de estas reglas de automatización. Puede hacerlo tanto para incidentes como para alertas individuales.

Captura de pantalla que muestra un ejemplo de cómo configurar una respuesta automatizada.

  • En Automatización de alertas (clásico) en la parte inferior de la pantalla, verá los cuadernos de estrategias que haya configurado para que se ejecuten automáticamente cuando se genere una alerta mediante el método anterior.
    • A partir de junio de 2023, ya no puede agregar cuadernos de estrategias a esta lista. Los cuadernos de estrategias que ya aparecen aquí seguirán ejecutándose hasta que este método esté en desuso, a partir de marzo de 2026.
    • Si sigue teniendo alguno de los cuaderno de estrategias enumerados aquí, debe crear una regla de automatización basada en el desencadenador creado por la alerta e invocar el cuaderno de estrategias desde allí. Una vez hecho esto, seleccione los puntos suspensivos al final de la línea del cuaderno de estrategias que se muestra aquí y seleccione Quitar.

Seleccione Revisar y crear para revisar todos los valores de configuración de la nueva regla de análisis. Cuando aparezca el mensaje “Validación superada”, seleccione Crear.

Visualización de la regla y su salida

  • Es posible encontrar la regla personalizada recién creada (de tipo "Programado") en la tabla, en la pestaña Reglas activas de la pantalla principal de Analytics. Desde esta lista puede habilitar, deshabilitar o eliminar cada regla.
  • Para ver los resultados de las reglas de análisis que cree, vaya a la página Incidentes, donde es posible realizar una evaluación de prioridades sobre los incidentes, investigarlos y solucionar las amenazas.
  • Puede actualizar la consulta de regla para excluir falsos positivos.