Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Las detecciones personalizadas son ahora la mejor forma de crear nuevas reglas en la SIEM de Microsoft Sentinel de Microsoft Defender XDR. Con las detecciones personalizadas, puede reducir los costos de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración sin problemas con datos de Defender XDR, funciones y acciones de corrección con la asignación automática de entidades. Para más información, lea este blog.
¿Qué son las anomalías personalizables?
Con atacantes y defensores constantemente luchando por ventaja en la carrera de armas de ciberseguridad, los atacantes siempre buscan formas de eludir la detección. Inevitablemente, los ataques siguen provocando un comportamiento inusual en los sistemas que se están atacando. Las anomalías personalizables basadas en aprendizaje automático de Microsoft Sentinel pueden identificar este comportamiento con plantillas de reglas de análisis que se pueden poner a trabajar directamente de fábrica. Aunque las anomalías no indican necesariamente comportamientos malintencionados o incluso sospechosos por sí mismos, se pueden usar para mejorar las detecciones, las investigaciones y la búsqueda de amenazas:
Señales adicionales para mejorar la detección: los analistas de seguridad pueden usar anomalías para detectar nuevas amenazas y hacer que las detecciones existentes sean más eficaces. Una sola anomalía no es una señal fuerte de comportamiento malintencionado, pero una combinación de varias anomalías en distintos puntos de la cadena de eliminación envía un mensaje claro. Los analistas de seguridad pueden hacer que las alertas de detección existentes sean más precisas al condicionarlos en la identificación del comportamiento anómalo.
Evidencia durante las investigaciones: los analistas de seguridad también pueden usar anomalías durante las investigaciones para ayudar a confirmar una infracción, encontrar nuevas rutas de acceso para investigarla y evaluar su posible impacto. Estas eficiencias reducen el tiempo que los analistas de seguridad invierten en las investigaciones.
El inicio de las búsquedas proactivas de amenazas: los cazadores de amenazas pueden usar anomalías como contexto para ayudar a determinar si sus consultas detectaron un comportamiento sospechoso. Cuando el comportamiento es sospechoso, las anomalías también apuntan a posibles rutas para profundizar en ello. Estas pistas proporcionadas por anomalías reducen el tiempo para detectar una amenaza y su posibilidad de causar daños.
Las anomalías pueden ser herramientas eficaces, pero son notoriamente ruidosas. Normalmente requieren una gran cantidad de ajustes tediosos para entornos específicos o un procesamiento posterior complejo. Las plantillas de anomalías personalizables son ajustadas por el equipo de ciencia de datos de Microsoft Sentinel para proporcionar un valor inmediato. Si necesita ajustarlas aún más, el proceso es sencillo y no requiere ningún conocimiento del aprendizaje automático. Los umbrales y parámetros de muchas de las anomalías se pueden configurar y ajustar a través de la interfaz de usuario de la regla de análisis ya conocida. El rendimiento del umbral y de los parámetros originales se puede comparar con los nuevos dentro de la interfaz y ajustarse aún más según sea necesario durante una fase de prueba, o de vuelo. Una vez que la anomalía cumple los objetivos de rendimiento, la anomalía con el nuevo umbral o parámetros se puede promover a producción con el clic de un botón. Las anomalías personalizables de Microsoft Sentinel le permiten obtener la ventaja de la detección de anomalías sin el trabajo duro.
Anomalías de UEBA
Algunas de las detecciones de anomalías de Microsoft Sentinel proceden de su motor de Análisis de comportamiento de entidades (UEBA) y de usuario, que detecta anomalías basadas en el comportamiento histórico de línea de base de cada entidad en varios entornos. El comportamiento de la línea de base de cada entidad se establece según sus propias actividades históricas, las de sus nodos del mismo nivel y las de la organización en su conjunto. Las anomalías se pueden desencadenar mediante la correlación de diferentes atributos, como el tipo de acción, la ubicación geográfica, el dispositivo, el recurso, el ISP, etc.
Pasos siguientes
En este documento, ha aprendido a aprovechar las anomalías personalizables en Microsoft Sentinel.
- Aprenda a ver, crear, administrar y ajustar reglas de anomalías.
- Obtenga información sobre análisis de comportamiento de usuarios y entidades (UEBA).
- Consulte la lista de anomalías admitidas actualmente.
- Obtenga información sobre otros tipos de reglas de análisis.