Descripción de la inteligencia sobre amenazas en Microsoft Azure Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de seguridad nativa en la nube (SIEM) con la capacidad de extraer rápidamente la inteligencia sobre amenazas de numerosos orígenes.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Presentación de la inteligencia sobre amenazas
La inteligencia sobre ciberamenazas (CTI) es información que describe posibles amenazas o amenazas existentes a sistemas y usuarios. Esta inteligencia adopta muchas formas, como informes escritos en los que se detallan las motivaciones, la infraestructura y las técnicas de un determinado actor de amenazas. También puede tratarse de observaciones específicas de direcciones IP, dominios, hashes de archivos y otros artefactos asociados a ciberamenazas conocidas.
Las organizaciones usan CTI para proporcionar contexto esencial a actividades inusuales para que el personal de seguridad pueda tomar medidas rápidamente para proteger a sus usuarios y recursos. Puede obtener CTI desde muchos lugares, como:
- Fuentes de distribución de datos de código abierto.
- Comunidades de uso compartido de inteligencia sobre amenazas.
- Fuentes de inteligencia comercial.
- La inteligencia local recopilada en el curso de las investigaciones de seguridad dentro de una organización.
En el caso de las soluciones SIEM como Microsoft Sentinel, las formas más comunes de CTI son indicadores de amenazas, que también se conocen como indicadores de riesgo (IOC) o indicadores de ataque. Los indicadores de amenazas son datos que asocian artefactos observados como direcciones URL, códigos hash de archivo o direcciones IP con actividad de amenazas conocida como suplantación de identidad (phishing), redes de robots (botnet) o malware. Esta forma de inteligencia sobre amenazas se denomina a menudo inteligencia táctica sobre amenazas. Se aplica a productos de seguridad y automatización a gran escala para proteger y detectar posibles amenazas a una organización.
Use indicadores de amenazas en Microsoft Sentinel para detectar actividad malintencionada observada en el entorno y proporcionar contexto a investigadores de seguridad para tomar decisiones de respuesta.
Puede integrar la inteligencia sobre amenazas en Microsoft Sentinel a través de las actividades siguientes:
- Importe inteligencia sobre amenazas a Microsoft Sentinel habilitando conectores de datos en varias plataformas y fuentes de inteligencia sobre amenazas.
- Vea y administre la inteligencia sobre amenazas importada en Registros y en el panel Inteligencia sobre amenazas de Microsoft Sentinel.
- Detecte las amenazas y genere alertas e incidentes de seguridad utilizando las plantillas de reglas incorporadas de Análisis basadas en la inteligencia de amenazas importada.
- Visualice información clave sobre la inteligencia de amenazas importada en Microsoft Sentinel con el libro de inteligencia sobre amenazas.
Microsoft enriquece todos los indicadores de inteligencia sobre amenazas importados con datos de GeoLocation y WhoIs, que se muestran junto con otra información del indicador.
Inteligencia sobre amenazas también proporciona un contexto útil dentro de otras experiencias de Microsoft Sentinel, como la búsqueda y los cuadernos. Para más información, consulte Uso de cuadernos de Jupyter en Microsoft Sentinel y Tutorial: Introducción a los cuadernos de Jupyter y MSTICPy en Microsoft Sentinel.
Nota
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Importación de inteligencia sobre amenazas con conectores de datos
Los indicadores de amenazas se importan mediante conectores de datos, al igual que todos los demás datos de eventos de Microsoft Sentinel. Estos son los conectores de datos en Microsoft Sentinel que se proporcionan específicamente para los indicadores de amenazas:
- Conector de datos de Inteligencia sobre amenazas de Microsoft Defender: se usa para ingerir indicadores de amenazas de Microsoft.
- Conector de datos de Inteligencia sobre amenazas de Defender premium: se usa para ingerir la fuente de inteligencia sobre amenazas de Inteligencia sobre amenazas de Defender premium.
- Inteligencia sobre amenazas: TAXII: se usa para fuentes STIX/TAXII estándar del sector.
- API de indicadores de carga de Inteligencia sobre amenazas: se usa para fuentes de inteligencia sobre amenazas integradas y seleccionadas mediante una API de REST para conectarse.
- Conector de datos de la plataforma de Inteligencia sobre amenazas (TIP): se usa para conectar fuentes de inteligencia sobre amenazas mediante una API de REST, pero está en vías de desuso.
Use cualquiera de estos conectores de datos en cualquier combinación, dependiendo de dónde obtenga su organización los indicadores de amenazas. Los tres conectores están disponibles en el Centro de contenido como parte de la solución Inteligencia sobre amenazas. Para obtener más información sobre esta solución, consulte la entrada Inteligencia sobre amenazas de Azure Marketplace.
Además, consulte este catálogo de integraciones de la inteligencia sobre amenazas que están disponibles con Microsoft Sentinel.
Incorporación de indicadores de amenazas a Microsoft Sentinel con el conector de datos Inteligencia sobre amenazas de Defender
Incorpore IOC públicos, de código abierto y de alta fidelidad generados por la Inteligencia sobre amenazas de Defender en el área de trabajo de Microsoft Sentinel con los conectores de datos de Inteligencia sobre amenazas de Defender. Con una configuración sencilla con un solo clic, use la inteligencia sobre amenazas de los conectores de datos estándar y premium de Inteligencia sobre amenazas de Defender para supervisar, alertar y buscar.
La regla de análisis de amenazas de Inteligencia sobre amenazas de Defender disponible gratuitamente proporciona un ejemplo de lo que proporciona el conector de datos de Inteligencia sobre amenazas de Defender premium. Sin embargo, con el análisis coincidente, solo los indicadores que coinciden con la regla se ingieren en el entorno. El conector de datos de Inteligencia sobre amenazas de Defender premium aporta la Inteligencia sobre amenazas premium y permite el análisis de más orígenes de datos con mayor flexibilidad y comprensión de esa inteligencia sobre amenazas. Esta es una tabla que muestra qué esperar al licenciar y habilitar el conector de datos premium de Inteligencia sobre amenazas de Defender.
| Gratis | Premium |
|---|---|
| IOC públicos | |
| Inteligencia de código abierto (OSINT) | |
| IOC de Microsoft | |
| OSINT enriquecido por Microsoft |
Vea los siguientes artículos para más información:
- Para obtener información sobre cómo obtener una licencia Premium y explorar todas las diferencias entre las versiones estándar y premium, vea la Página del producto Inteligencia contra amenazas de Microsoft Defender.
- Para obtener más información sobre la experiencia gratuita de Inteligencia sobre amenazas de Defender, consulte Introducción a la experiencia gratuita de Inteligencia sobre amenazas de Defender para Microsoft Defender XDR.
- Para obtener información sobre cómo habilitar la Inteligencia sobre amenazas de Defender y los conectores de datos premium de Inteligencia sobre amenazas de Defender, consulte Habilitación del conector de datos de Inteligencia sobre amenazas de Defender.
- Para obtener información sobre el análisis de coincidencias, vea Uso del análisis de coincidencias para detectar amenazas.
Incorporación de indicadores de amenazas a Microsoft Sentinel con el conector de datos de la API de indicadores de carga de inteligencia sobre amenazas
Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de indicadores de amenazas de diversos orígenes. Desde la fuente agregada, los datos son mantenidos para aplicarse a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o SIEM, como Microsoft Sentinel. Mediante el conector de datos de la API de indicadores de carga de Inteligencia sobre amenazas, puede usar estas soluciones para importar indicadores de amenazas en Microsoft Sentinel.
Este conector de datos usa una nueva API y ofrece las siguientes mejoras:
- Los campos de indicador de amenazas se basan en el formato estandarizado STIX.
- La aplicación Microsoft Entra solo requiere el rol Colaborador de Microsoft Sentinel.
- El punto de conexión de solicitud de API está en el ámbito del nivel de área de trabajo. Los permisos necesarios de la aplicación Microsoft Entra permiten una asignación granular a nivel del área de trabajo.
Para obtener más información, consulte Conexión de la plataforma de inteligencia sobre amenazas mediante la API de indicadores de carga.
Incorporación de indicadores de amenazas a Microsoft Sentinel con el conector de datos de la plataforma de Inteligencia sobre amenazas
Al igual que el conector de datos de la API de indicadores de carga existentes, el conector de datos de la plataforma de Inteligencia sobre amenazas usa una API que permite que la TIP o la solución personalizada envíen indicadores a Microsoft Sentinel. Sin embargo, este conector de datos está en proceso de desuso. Se recomienda aprovechar las optimizaciones que ofrece la API de indicadores de carga.
El conector de datos de la TIP funciona con la API tiIndicators de seguridad de Microsoft Graph. También puede usarlo con cualquier plataforma de inteligencia sobre amenazas personalizada que se comunique con la API de indicadores de carga para enviar indicadores a Microsoft Sentinel (y a otras soluciones de seguridad de Microsoft como Defender XDR).
Para más información sobre las soluciones TIP integradas con Microsoft Sentinel, consulte Productos de la plataforma de inteligencia sobre amenazas integrada. Para más información, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.
Incorporación de indicadores de amenazas a Microsoft Sentinel con el conector de datos Inteligencia sobre amenazas: TAXII
El estándar del sector más ampliamente adoptado para la transmisión de la inteligencia sobre amenazas es una combinación del formato de datos STIX y el protocolo TAXII. Si la organización obtiene indicadores de amenazas de soluciones que admiten la versión de STIX/TAXII actual (2.0 o 2.1), use el conector de datos Inteligencia sobre amenazas: TAXII para traer los indicadores de amenazas a Microsoft Sentinel. El conector de datos Inteligencia sobre amenazas: TAXII habilita un cliente de TAXII integrado en Microsoft Sentinel para importar la inteligencia sobre amenazas desde servidores TAXII 2.x.
Para importar indicadores de amenazas con formato STIX a Microsoft Sentinel desde un servidor TAXII:
- Obtenga el identificador de colección y raíz de la API del servidor TAXII.
- Habilitación del conector de datos Inteligencia sobre amenazas: TAXII en Microsoft Sentinel.
Para más información, consulte Conexión de Microsoft Sentinel a fuentes de inteligencia sobre amenazas STIX/TAXII.
Visualización y administración de los indicadores de amenazas
Vea y administre los indicadores en la página Inteligencia sobre amenazas. Ordene, filtre y busque los indicadores de amenazas importados sin siquiera escribir una consulta de Log Analytics.
Dos de las tareas de inteligencia sobre amenazas más comunes son el etiquetado de indicadores y la creación de nuevos indicadores relacionados con las investigaciones de seguridad. Cree o edite los indicadores de amenazas directamente en de la página Inteligencia sobre amenazas cuando solo necesite administrar rápidamente algunos.
El etiquetado de indicadores de amenazas es una forma sencilla de agruparlos para que sean más fáciles de encontrar. Normalmente, puede aplicar etiquetas a un indicador relacionado con un incidente determinado o si el indicador representa amenazas de un actor conocido determinado o una campaña de ataque conocida. Después de buscar los indicadores con los que desea trabajar, puede etiquetarlos individualmente. Seleccione varios indicadores y etiquételos todos a la vez con una o varias etiquetas. Dado que el etiquetado es libre, se recomienda crear convenciones de nomenclatura estándar para las etiquetas de indicador de amenazas.
Valide los indicadores y vea los indicadores de amenazas importados correctamente desde el área de trabajo de Log Analytics habilitado para Microsoft Sentinel. La tabla ThreatIntelligenceIndicator del esquema de Microsoft Sentinel es donde se almacenan todos los indicadores de amenazas de Microsoft Sentinel. Esta tabla es la base de las consultas de inteligencia sobre amenazas realizadas por otras características de Microsoft Sentinel como análisis y libros.
A continuación se muestra un ejemplo de consulta básica de indicadores de amenazas.
Los indicadores de inteligencia sobre amenazas se ingieren en la tabla ThreatIntelligenceIndicator del área de trabajo de Log Analytics como de solo lectura. Cada vez que se actualiza un indicador, se crea una nueva entrada en la tabla ThreatIntelligenceIndicator. En la página Inteligencia sobre amenazas solo aparece el indicador más reciente. Microsoft Sentinel desduplica indicadores basados en las propiedades IndicatorId ySourceSystem elige el indicador con la TimeGenerated[UTC] más reciente.
La propiedad IndicatorId se genera mediante el identificador de indicador de STIX. Cuando se importan o crean indicadores a partir de orígenes que no son STIX, IndicatorId se genera mediante el origen y el patrón del indicador.
Para obtener más información sobre cómo ver y administrar los indicadores de amenazas, consulte Trabajo con los indicadores de amenazas en Microsoft Sentinel.
Visualización de los enriquecimientos de datos de GeoLocation y WhoIs (versión preliminar pública)
Microsoft enriquece los indicadores de IP y de dominio con datos adicionales de GeoLocation y WhoIs para proporcionar más contexto para las investigaciones en las que se encuentra el IOC seleccionado.
Vea los datos de GeoLocation and WhoIs en el panel Inteligencia sobre amenazas para esos tipos de indicador de amenaza importados a Microsoft Sentinel.
Por ejemplo, use datos de GeoLocation para buscar información como la organización o el país de un indicador de IP. Use datos de WhoIs para buscar datos como registradores y datos de creación de registros a partir de un indicador de dominio.
Detección de amenazas con análisis en indicadores de amenazas
El caso de uso más importante para los indicadores de amenazas en soluciones SIEM como Microsoft Sentinel es la activación de reglas de análisis de detección de amenazas. Estas reglas basadas en indicadores comparan eventos sin formato de los orígenes de datos con sus indicadores de amenazas para detectar amenazas de seguridad en la organización. En Análisis de Microsoft Sentinel, crea reglas de análisis que se ejecutan de forma programada y genera alertas de seguridad. Las reglas se controlan mediante consultas. Junto con las configuraciones, determinan con qué frecuencia se debe ejecutar la regla, qué tipo de resultados de consulta deben generar alertas de seguridad e incidentes y, opcionalmente, cuándo desencadenar una respuesta automatizada.
Aunque siempre puede crear nuevas reglas de análisis desde cero, Microsoft Sentinel proporciona un conjunto de plantillas de reglas integradas, creadas por ingenieros de seguridad de Microsoft, para aprovechar los indicadores de amenazas. Estas plantillas se basan en el tipo de indicadores de amenazas (dominio, correo electrónico, hash de archivo, dirección IP o dirección URL) y eventos de origen de datos que desea que coincidan. Cada plantilla enumera los orígenes que son necesarios para que funcione la regla. Esta información facilita determinar si los eventos necesarios ya están importados en Microsoft Sentinel.
De forma predeterminada, cuando se desencadenan estas reglas integradas, se crea una alerta. En Microsoft Sentinel, las alertas generadas a partir de reglas de análisis también generan incidentes de seguridad. En el menú de navegación de Microsoft Sentinel, en Administración de amenazas, seleccione Incidentes. Los incidentes son aquello que los equipos de operaciones de seguridad investigarán y cuyas prioridades evaluarán para determinar las acciones de respuesta adecuadas. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.
Para obtener más información sobre el uso de indicadores de amenazas en las reglas de análisis, consulte Uso de la inteligencia sobre amenazas para detectar amenazas.
Microsoft proporciona acceso a su inteligencia sobre amenazas a través de la regla de análisis de Inteligencia sobre amenazas de Defender. Para más información sobre cómo aprovechar esta regla, que genera alertas e incidentes de alta fidelidad, consulte Uso del análisis de coincidencias para detectar amenazas.
Los libros proporcionan información sobre la inteligencia sobre amenazas
Los libros proporcionan unos paneles interactivos eficaces que ofrecen información detallada sobre todos los aspectos de Microsoft Sentinel, y la inteligencia sobre amenazas no es una excepción. Use el libro integrado de Inteligencia sobre amenazas para visualizar información clave sobre la inteligencia sobre amenazas. Puede personalizar fácilmente el libro según sus necesidades empresariales. Cree nuevos paneles mediante la combinación de muchos orígenes de datos para ayudarle a visualizar los datos de maneras únicas.
Dado que los libros de Microsoft Sentinel se basan en libros de Azure Monitor, ya están disponibles una amplia documentación y muchas más plantillas. Para más información, consulte Creación de informes interactivos con libros de Azure Monitor.
También hay un recurso enriquecido para libros de Azure Monitor en GitHub, donde puede descargar más plantillas y contribuir con las suyas propias.
Para más información sobre el uso y la personalización del libro de Inteligencia sobre amenazas, consulte Trabajo con los indicadores de amenazas en Microsoft Sentinel.
Contenido relacionado
En este artículo, ha aprendido acerca de las funcionalidades de inteligencia sobre amenazas de Microsoft Sentinel, incluido el panel Inteligencia sobre amenazas. Para obtener instrucciones prácticas acerca del uso de las funcionalidades de inteligencia sobre amenazas de Microsoft Sentinel, consulte los siguientes artículos:
- Conexión de Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII.
- Conexión de plataformas de inteligencia sobre amenazas con Microsoft Sentinel.
- Consulte qué plataformas TIP, fuentes TAXII y enriquecimientos están integradas fácilmente con Microsoft Sentinel.
- Trabaje con indicadores de amenazas a lo largo de la experiencia de Microsoft Sentinel.
- Detecte amenazas con reglas de análisis integradas o personalizadas en Microsoft Sentinel.
- Investigación de incidentes en Microsoft Sentinel.