Compartir vía


Alertas, incidentes y correlación en Microsoft Defender XDR

En Microsoft Defender XDR, las alertas son señales de una colección de orígenes que resultan de varias actividades de detección de amenazas. Estas señales indican la aparición de eventos malintencionados o sospechosos en su entorno. Las alertas a menudo pueden formar parte de un caso de ataque más amplio y complejo, y las alertas relacionadas se agregan y correlacionan para formar incidentes que representan estos casos de ataque.

Los incidentes proporcionan la imagen completa de un ataque. Los algoritmos de Microsoft Defender XDR correlacionan automáticamente las señales (alertas) de todas las soluciones de seguridad y cumplimiento de Microsoft, así como de un gran número de soluciones externas a través de Microsoft Sentinel y Microsoft Defender para la nube. Defender XDR identifica varias señales como pertenecientes al mismo caso de ataque, mediante la inteligencia artificial para supervisar continuamente sus orígenes de telemetría y agregar más pruebas a incidentes ya abiertos.

Los incidentes también funcionan como "archivos de casos", lo que le proporciona una plataforma para administrar y documentar las investigaciones. Para obtener más información sobre la funcionalidad de los incidentes a este respecto, consulte Respuesta a incidentes en el portal de Microsoft Defender.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Este es un resumen de los principales atributos de incidentes y alertas, y las diferencias entre ellos:

Incidentes:

  • Son la principal "unidad de medida" del trabajo del Centro de operaciones de seguridad (SOC).
  • Muestra el contexto más amplio de un ataque: la historia del ataque.
  • Represente "archivos de casos" de toda la información necesaria para investigar la amenaza y los resultados de la investigación.
  • Se crean Microsoft Defender XDR para contener al menos una alerta y, en muchos casos, contienen muchas alertas.
  • Desencadene una serie automática de respuestas a la amenaza mediante reglas de automatización, interrupción de ataques y cuadernos de estrategias.
  • Registre toda la actividad relacionada con la amenaza y su investigación y resolución.

Alertas:

  • Representa las partes individuales de la historia que son esenciales para comprender e investigar el incidente.
  • Los crean muchos orígenes diferentes tanto internos como externos en el portal de Defender.
  • Se pueden analizar por sí mismos para agregar valor cuando se requiere un análisis más profundo.
  • Puede desencadenar investigaciones y respuestas automáticas en el nivel de alerta para minimizar el posible impacto en la amenaza.

Orígenes de alertas

Microsoft Defender XDR alertas son generadas por muchos orígenes:

  • Soluciones que forman parte de Microsoft Defender XDR

    • Microsoft Defender para punto de conexión
    • Microsoft Defender para Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Complemento de gobernanza de aplicaciones para Microsoft Defender for Cloud Apps
    • Protección de Microsoft Entra ID
    • Prevención de pérdida de datos de Microsoft
  • Otros servicios que tienen integraciones con el portal de seguridad de Microsoft Defender

    • Microsoft Sentinel
    • Soluciones de seguridad que no son de Microsoft que pasan sus alertas a Microsoft Sentinel
    • Microsoft Defender for Cloud

Microsoft Defender XDR crea también alertas. Con Microsoft Sentinel incorporado a la plataforma de operaciones de seguridad unificadas, el motor de correlación de Microsoft Defender XDR ahora tiene acceso a todos los datos sin procesar ingeridos por Microsoft Sentinel. (Puede encontrar estos datos en tablas de búsqueda avanzadas). Las funcionalidades únicas de correlación de Defender XDR proporcionan otra capa de análisis de datos y detección de amenazas para todas las soluciones que no son de Microsoft en su patrimonio digital. Estas detecciones generan alertas de Defender XDR, además de las alertas ya proporcionadas por las reglas de análisis de Microsoft Sentinel.

Cuando se muestran juntos alertas de orígenes diferentes, el origen de cada alerta se indica mediante conjuntos de caracteres antepuestos al identificador de alerta. La tabla Orígenes de alerta asigna los orígenes de alerta al prefijo de identificador de alerta.

Creación de incidentes y correlación de alertas

Cuando los distintos mecanismos de detección generan alertas en el portal de seguridad de Microsoft Defender, como se describe en la sección anterior, Defender XDR las coloca en incidentes nuevos o existentes según la lógica siguiente:

Escenario Decision
La alerta es lo suficientemente única en todos los orígenes de alerta dentro de un período de tiempo determinado. Defender XDR crea un nuevo incidente y le agrega la alerta.
La alerta está lo suficientemente relacionada con otras alertas,desde el mismo origen o entre orígenes, dentro de un período de tiempo determinado. Defender XDR agrega la alerta a un incidente existente.

Los criterios Microsoft Defender usan para correlacionar las alertas en un único incidente forman parte de su lógica de correlación interna propietaria. Esta lógica también es responsable de proporcionar un nombre adecuado al nuevo incidente.

Correlación y combinación de incidentes

Las actividades de correlación de Microsoft Defender XDR no se detienen cuando se crean incidentes. Defender XDR sigue detectando las similitudes y las relaciones entre incidentes y entre alertas entre incidentes. Cuando se determina que dos o más incidentes son lo suficientemente parecidos, Defender XDR combina los incidentes en un único incidente.

¿Cómo Defender XDR tomar esa determinación?

el motor de correlación de Defender XDR combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes, en función de su profundo conocimiento de los datos y del comportamiento de ataque. Algunos de estos elementos incluyen:

  • Entidades: recursos como usuarios, dispositivos, buzones de correo y otros
  • Artefactos: archivos, procesos, remitentes de correo electrónico y otros
  • Períodos de tiempo
  • Secuencias de eventos que apuntan a ataques de varias fases, por ejemplo, un evento de clic de correo electrónico malintencionado que sigue de cerca una detección de correo electrónico de suplantación de identidad (phishing).

¿Cuándo no se combinan los incidentes?

Incluso cuando la lógica de correlación indica que se deben combinar dos incidentes, Defender XDR no combina los incidentes en las siguientes circunstancias:

  • Uno de los incidentes tiene el estado "Cerrado". Los incidentes que se resuelven no se vuelven a abrir.
  • Los dos incidentes aptos para la combinación se asignan a dos personas diferentes.
  • La combinación de los dos incidentes elevaría el número de entidades del incidente combinado por encima del máximo de 50 entidades por incidente permitido.
  • Los dos incidentes contienen dispositivos en grupos de dispositivos diferentes según lo definido por la organización.
    (Esta condición no está en vigor de forma predeterminada; debe estar habilitada).

¿Qué ocurre cuando se combinan los incidentes?

Cuando se combinan dos o más incidentes, no se crea un nuevo incidente para absorberlos. En su lugar, el contenido de un incidente se migra al otro incidente y el incidente abandonado en el proceso se cierra automáticamente. El incidente abandonado ya no está visible ni disponible en Microsoft Defender XDR y cualquier referencia a él se redirige al incidente consolidado. El incidente abandonado y cerrado sigue siendo accesible en Microsoft Sentinel en el Azure Portal. El contenido de los incidentes se controla de las siguientes maneras:

  • Las alertas contenidas en el incidente abandonado se quitan de él y se agregan al incidente consolidado.
  • Las etiquetas aplicadas al incidente abandonado se quitan de él y se agregan al incidente consolidado.
  • Se agrega una Redirected etiqueta al incidente abandonado.
  • Las entidades (recursos, etc.) siguen las alertas a las que están vinculadas.
  • Las reglas de análisis registradas como implicadas en la creación del incidente abandonado se agregan a las reglas registradas en el incidente consolidado.
  • Actualmente, los comentarios y las entradas del registro de actividad en el incidente abandonado no se mueven al incidente consolidado.

Para ver los comentarios y el historial de actividad del incidente abandonado, abra el incidente en Microsoft Sentinel en el Azure Portal. El historial de actividades incluye el cierre del incidente y la adición y eliminación de alertas, etiquetas y otros elementos relacionados con la combinación de incidentes. Estas actividades se atribuyen a la Microsoft Defender XDR de identidad: correlación de alertas.

Correlación manual

Aunque Microsoft Defender XDR ya usa mecanismos de correlación avanzados, es posible que desee decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que puede vincular la alerta a otro incidente existente o a un nuevo incidente que cree en el lugar.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

Pasos siguientes

Más información sobre incidentes, investigación y respuesta: Respuesta a incidentes en el portal de Microsoft Defender

Vea también