Uso de anomalías personalizables para detectar amenazas en Microsoft Sentinel

  • Artículo

¿Qué son las anomalías personalizables?

En el campo de juego de la ciberseguridad se libra una batalla permanente entre atacantes y defensores por tomar ventaja, donde los atacantes siempre encuentran maneras de evadir la detección. Sin embargo, inevitablemente, los ataques siguen dando lugar a comportamientos inusuales en los sistemas atacados. Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar este comportamiento con plantillas de reglas de análisis que se pueden poner a funcionar de forma automática. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas.

  • Señales adicionales para mejorar la detección: los analistas de seguridad pueden usar las anomalías para detectar nuevas amenazas y hacer más eficaces las detecciones existentes. Una sola anomalía no es una señal fuerte de comportamiento malicioso, pero una combinación de varias anomalías en diferentes puntos de la cadena de muerte envía un mensaje claro. Los analistas de seguridad pueden hacer que las alertas de detección existentes sean más precisas condicionándolas a la identificación de comportamientos anómalos.

  • Evidencia durante las investigaciones: los analistas de seguridad también pueden usar anomalías durante las investigaciones para ayudar a confirmar una vulneración, buscar nuevas rutas para investigarla y evaluar su posible impacto. Estas eficiencias reducen el tiempo que los analistas de seguridad dedican a las investigaciones.

  • El inicio de la búsqueda proactiva de amenazas: Los buscadores de amenazas pueden utilizar las anomalías como contexto para ayudar a determinar si sus consultas descubrieron comportamientos sospechosos. Cuando el comportamiento es sospechoso, las anomalías también apuntan a posibles rutas para profundizar en ello. Estas pistas proporcionadas por las anomalías reducen tanto el tiempo para detectar una amenaza como su posibilidad de causar daños.

Las anomalías pueden ser herramientas poderosas, pero son notoriamente ruidosas. Suelen requerir un tedioso ajuste para entornos específicos o un complejo post procesamiento. Las plantillas de anomalías personalizables son ajustadas por el equipo de ciencia de datos de Microsoft Sentinel para proporcionar un valor inmediato. Si necesita afinarlos más, el proceso es sencillo y no requiere conocimientos de aprendizaje automático. Los umbrales y parámetros de muchas de las anomalías se pueden configurar y ajustar a través de la ya conocida interfaz de usuario de las reglas de análisis. El rendimiento del umbral y de los parámetros originales puede compararse con los nuevos dentro de la interfaz y ajustarse aún más si es necesario durante una fase de prueba o piloto. Una vez que la anomalía cumple los objetivos de rendimiento, la anomalía con el nuevo umbral o los nuevos parámetros se puede promover a producción con solo hacer clic en un botón. Las anomalías personalizables de Microsoft Sentinel le permiten obtener el beneficio de la detección de anomalías sin el trabajo duro.

Anomalías de UEBA

Algunas de las detecciones de anomalías de Microsoft Sentinel proceden de su motor de Usuario y Análisis del comportamiento de usuarios y entidades (UEBA), que detecta anomalías basadas en el comportamiento histórico de referencia de cada entidad en varios entornos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.

Pasos siguientes

En este documento, ha aprendido a aprovechar las anomalías personalizables en Microsoft Sentinel.