Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Las detecciones personalizadas son ahora la mejor forma de crear nuevas reglas en la SIEM de Microsoft Sentinel de Microsoft Defender XDR. Con las detecciones personalizadas, puede reducir los costes de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración perfecta con los datos, las funciones y las acciones de corrección de Defender XDR con asignación automática de entidades. Para más información, lea este blog.
Importante
La nueva versión de la regla de análisis de Fusion se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Microsoft Sentinel usa Fusion, un motor de correlación basado en algoritmos de aprendizaje automático escalables, para detectar automáticamente ataques de varias fases mediante la identificación de combinaciones de comportamientos anómalos y actividades sospechosas que se observan en varias fases de la cadena de ataque. A partir de estas detecciones, Microsoft Sentinel genera incidentes que, de otro modo, serían muy difíciles de detectar. Estos incidentes incluyen dos o más alertas o actividades. Por diseño, estos incidentes tienen poco volumen, alta fidelidad y alta gravedad.
Cuando se personaliza para adaptarla a su entorno, esta tecnología de detección no solo reduce las tasas de falsos positivos, sino que también puede detectar ataques con información limitada o que falta.
Configuración de reglas de Fusion
Esta detección está habilitada de forma predeterminada en Microsoft Sentinel. Para comprobar o cambiar el estado, siga estas instrucciones:
Inicie sesión en Azure Portal y escriba Microsoft Sentinel.
En el menú de navegación de Microsoft Sentinel, seleccione Análisis.
Seleccione la pestaña Reglas activas y busque Advanced Multistage Attack Detection (Detección avanzada de ataques en varias fases) en la columna NOMBRE filtrando la lista por el tipo de regla Fusion. Compruebe la columna ESTADO para confirmar si esta detección está habilitada o deshabilitada.
Para cambiar el estado, seleccione esta entrada. En el panel Advanced Multistage Attack Detection preview (Versión preliminar avanzada de detección de ataques multistage ), seleccione Editar.
En la pestaña General del Asistente para reglas de análisis, fíjese en el estado (Habilitado/Deshabilitado) o cámbielo si lo desea.
Si cambia el estado pero no tiene más cambios para realizar, seleccione la pestaña Revisar y actualizar y seleccione Guardar.
Para una configuración más avanzada de la regla de detección de Fusion, seleccione Siguiente: Configurar Fusion.
Configuración de señales de origen para la detección de Fusion: se recomienda incluir todas las señales de origen enumeradas, con todos los niveles de gravedad, para obtener el mejor resultado. De forma predeterminada, ya están incluidos, pero tiene la opción de realizar cambios de las maneras siguientes:
Nota:
Si excluye una señal de origen determinada o un nivel de gravedad de alerta, no se desencadenarán las detecciones de Fusion basadas en señales de ese origen o en alertas que coincidan con ese nivel de gravedad.
Excluya las señales de las detecciones de Fusion, incluidas las anomalías, las alertas de varios proveedores y los registros sin procesar.
Caso de uso: Si está probando una fuente de señal específica conocida para generar alertas ruidosas, puede desactivar temporalmente las señales de ese origen de señal concreto para las detecciones de Fusion.
Configurar la gravedad de la alerta para cada proveedor: por diseño, el modelo Fusion ML correlaciona las señales de baja fidelidad en un único incidente de gravedad alta en función de las señales anómalas en la cadena de eliminación de varios orígenes de datos. Las alertas incluidas en Fusion son una gravedad inferior (media, baja, informativa), pero ocasionalmente se incluyen alertas de gravedad alta relevantes.
Caso de uso: Si tiene un proceso independiente para evaluar e investigar alertas de gravedad alta y prefiere no tener estas alertas incluidas en Fusion, puede configurar las señales de origen para excluir alertas de gravedad alta de las detecciones de Fusion.
Excluir patrones de detección específicos de la detección de Fusion. Es posible que determinadas detecciones de Fusion no sean aplicables a su entorno o que sean propensas a generar falsos positivos. Si desea excluir un patrón de detección de Fusion específico, siga las instrucciones siguientes:
Busque y abra un incidente de Fusion del tipo que desea excluir.
En la sección Descripción, seleccione Mostrar más.
En Excluir este patrón de detección específico, seleccione vínculo de exclusión, que le redirigirá a la pestaña Configurar Fusion del asistente para reglas de análisis.
En la pestaña Configurar Fusion, verá que el patrón de detección (una combinación de alertas y anomalías en un incidente de Fusion) se ha agregado a la lista de exclusión, junto con la hora en que se agregó el patrón de detección.
Puede quitar un patrón de detección excluido en cualquier momento si selecciona el icono de papelera en ese patrón de detección.
Los incidentes que cumplen con los patrones de detección excluidos siguen activándose, pero no aparecen en la lista de incidentes activos. Se rellenan automáticamente con los siguientes valores:
Estado: "cerrado"
Clasificación de cierre: "indeterminado"
Comentario: "Patrón de detección de Fusion excluido y cerrado automáticamente"
Etiqueta: "ExcludedFusionDetectionPattern": puede consultar en esta etiqueta para ver todos los incidentes que coinciden con este patrón de detección.
Nota:
Actualmente, Microsoft Sentinel usa 30 días de datos del historial para entrenar los sistemas de aprendizaje automático. Estos datos siempre se cifran con las claves de Microsoft a medida que pasan a través del entorno de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran con claves administradas por el cliente (CMK) si habilita CMK en su espacio de trabajo de Microsoft Sentinel. Para no participar en Fusion, vaya a Microsoft Sentinel>Análisis>, haga clic con el botón derecho en la regla Detección avanzada de ataques multinivel y seleccione Deshabilitar.
Configuración de reglas de análisis programadas para las detecciones de Fusion
Importante
La detección basada en Fusion mediante alertas de reglas de análisis se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Fusion detecta ataques multistage basados en escenarios y amenazas emergentes mediante alertas generadas por reglas de análisis programadas. Para sacar el máximo partido de las funcionalidades de Fusion de Microsoft Sentinel, siga estos pasos para configurar y habilitar estas reglas.
Fusion para amenazas emergentes usa alertas generadas por cualquier regla de análisis programada que contenga información de asignación de entidades (tácticas) y de cadena de eliminación. Para asegurarse de que Fusion puede usar la salida de una regla de análisis para detectar amenazas emergentes:
Revise la asignación de entidades para estas reglas programadas. Use la sección de configuración de asignación de entidades para asignar parámetros de los resultados de las consultas a entidades reconocidas por Microsoft Sentinel. Dado que Fusion correlaciona las alertas basadas en entidades (como la cuenta de usuario o la dirección IP), sus algoritmos de aprendizaje automático no pueden realizar la coincidencia de alertas sin la información de entidad.
Revise las tácticas y técnicas en los detalles de la regla de análisis. El algoritmo Fusion ML utiliza información de MITRE ATT&CK para detectar ataques multietapa, y las tácticas y técnicas con las que se etiquetan las reglas de análisis aparecen en los incidentes resultantes. Los cálculos de Fusion pueden verse afectados si a las alertas entrantes les falta información de las tácticas.
Fusion también puede detectar amenazas basadas en escenarios mediante reglas basadas en las siguientes plantillas de reglas de análisis programadas.
Para habilitar las consultas disponibles como plantillas en la página Análisis, vaya a la pestaña Plantillas de reglas, seleccione el nombre de la regla en la galería de plantillas y seleccione Crear regla en el panel de detalles.
- Cisco: bloqueo de firewall pero inicio de sesión correcto en Microsoft Entra ID
- Fortinet - Beacon pattern detected (Fortinet: se ha detectado un patrón de señal)
- Una IP con varios inicios de sesión en Microsoft Entra con errores se registra correctamente en la VPN de Palo Alto
- Multiple Password Reset by user (Restablecimiento de contraseña múltiple por parte del usuario)
- Rare application consent (Consentimiento de aplicación rara)
- SharePointFileOperation via previously unseen IPs (SharePointFileOperation a través de direcciones IP no vistas anteriormente)
- Suspicious Resource deployment (Implementación de recursos sospechosos)
- Firmas de amenaza de Palo Alto desde direcciones IP inusuales
Para agregar consultas que no están disponibles actualmente como plantilla de regla, consulte Creación de una regla de análisis personalizada desde cero.
Para más información, consulte Escenarios de detección avanzada de ataques de varias fases de Fusion con reglas de Análisis programados.
Nota:
En el caso del conjunto de reglas de análisis programadas que usa Fusion, el algoritmo de Machine Learning realiza una coincidencia aproximada de las consultas de KQL que se proporcionan en las plantillas. Cambiar el nombre de las plantillas no afecta a las detecciones de Fusion.
Pasos siguientes
Obtenga más información sobre Detecciones de Fusion en Microsoft Sentinel.
Obtenga más información sobre las detecciones de Fusion basadas en escenarios.
Ahora que sabe más sobre la detección avanzada de ataques de varias fases, puede que le interese el siguiente inicio rápido para obtener información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas: Introducción a Microsoft Sentinel.
Si está preparado para investigar los incidentes que se han creado, consulte el siguiente tutorial:Investigar incidentes con Microsoft Sentinel.