Compartir a través de

Uso de la inteligencia sobre amenazas de Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Acelere la detección y corrección de amenazas con la creación y administración simplificadas de la inteligencia sobre amenazas. En este artículo se muestra cómo aprovechar la integración de inteligencia sobre amenazas en la interfaz de administración, independientemente de si accede a ella desde Microsoft Sentinel en el portal de Defender o Azure Portal.

  • Creación de objetos de inteligencia sobre amenazas mediante la expresión de información sobre amenazas estructurada (STIX)
  • Administración de la inteligencia sobre amenazas mediante la consulta, selección y visualización

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Prerrequisitos

Acceso a la interfaz de administración

Consulte alguna de estas pestañas, en función de dónde quiera trabajar con la inteligencia sobre amenazas. Aunque se accede a la interfaz de administración de forma diferente según el portal que se use, las tareas de creación y administración siguen los mismos pasos una vez que ha accedido.

En el portal de Defender, vaya a Inteligencia sobre amenazas>Administración de inteligencia.

Captura de pantalla que muestra el elemento de menú de administración de inteligencia en el portal de Defender.

Creación de la inteligencia sobre amenazas

Use la interfaz de administración para crear objetos de STIX y realizar otras tareas comunes de inteligencia sobre amenazas, como el etiquetado de indicadores y el establecimiento de conexiones entre los objetos.

  • Defina las relaciones a medida que crea nuevos objetos de STIX.
  • Para crear rápidamente varios objetos, use la función de duplicación para copiar los metadatos de un objeto de TI ya existente o de uno nuevo.

Para obtener más información sobre los objetos STIX admitidos, consulte Inteligencia sobre amenazas en Microsoft Sentinel.

Creación de un nuevo objeto de STIX

  1. Seleccione Agregar nuevo>Objeto de TI.

    Captura de pantalla que muestra cómo agregar un nuevo indicador de amenazas.

  2. Elija el tipo de objeto y, a continuación, rellene el formulario en la página Nuevo objeto de TI. Los campos obligatorios están marcados con un asterisco rojo (*).

  3. Considere la posibilidad de designar un valor de confidencialidad o una clasificación del protocolo de semáforo (TLP) al objeto de TI. Para más información sobre lo que representan los valores, consulte Mantenimiento de la inteligencia sobre amenazas.

  4. Si sabe cómo se relaciona este objeto con otro objeto de inteligencia sobre amenazas, indique esa conexión con el tipo de relación y la referencia de destino.

  5. Seleccione Agregar para un objeto individual o Agregar y duplicar si desea crear más elementos con los mismos metadatos. En la imagen siguiente se muestra la sección común de los metadatos de cada objeto de STIX duplicado.

Captura de pantalla que muestra la creación de nuevos objetos de STIX y los metadatos comunes disponibles para todos los objetos.

Administración de la inteligencia sobre amenazas

Optimice TI desde los orígenes con reglas de ingesta. Mantenga la inteligencia sobre amenazas existente con el generador de relaciones. Use la interfaz de administración para buscar, filtrar y ordenar y, a continuación, agregar etiquetas a la inteligencia sobre amenazas.

Optimizar fuentes de inteligencia sobre amenazas con reglas de ingesta

Reduzca el ruido de las fuentes de TI, amplíe la validez de los indicadores de alto valor y agregue etiquetas significativas a los objetos entrantes. Estos son solo algunos de los casos de uso para las reglas de ingesta. Estos son los pasos para extender la fecha de validez en indicadores de alto valor.

  1. Seleccione Reglas de ingesta para abrir una nueva página completa para ver las reglas existentes y construir una nueva lógica de regla.

    Captura de pantalla que muestra el menú de administración de inteligencia sobre amenazas donde se mantiene el puntero sobre las reglas de ingesta.

  2. Escriba un nombre descriptivo para la regla. La página de reglas de ingesta tiene una regla amplia para el nombre, pero es la única descripción de texto disponible para diferenciar las reglas sin editarlas.

  3. Seleccionar el tipo de objeto. Este caso de uso se basa en la extensión de la propiedad Valid from, que solo está disponible para los tipos de objeto Indicator.

  4. Agregue una condición para SourceEquals y seleccione el valor alto Source.

  5. Agregue una condición para ConfidenceGreater than or equal y escriba una puntuación de Confidence.

  6. Seleccione la acción. Como queremos modificar este indicador, seleccione Edit.

  7. Seleccione la Acción agregar para Valid until, Extend by y seleccione un intervalo de tiempo en días.

  8. Considere la posibilidad de agregar una etiqueta para indicar el valor alto colocado en estos indicadores, como Extended. Las reglas de ingesta no actualizan la fecha de modificación.

  9. Seleccione el Orden en el que desea que se ejecute la regla. Las reglas se ejecutan desde el número de orden más bajo hasta el más alto. Cada regla evalúa cada objeto ingerido.

  10. Si la regla está lista para habilitarse, establezca el botón de alternancia de Estado en activado.

  11. Seleccione Agregar para crear la regla de ingesta.

Captura de pantalla que muestra la creación de una nueva regla de ingesta para extender la fecha válida hasta la fecha.

Para obtener más información, consulte Reglas de ingestade inteligencia sobre amenazas.

Mantenimiento de la inteligencia sobre amenazas con el generador de relaciones

Conecte los objetos de la inteligencia sobre amenazas con el generador de relaciones. Hay un máximo de 20 relaciones en el generador a la vez, pero se pueden crear más conexiones mediante varias iteraciones y agregando referencias de destino de las relaciones para nuevos objetos.

  1. Seleccione Agregar nueva>relación de TI.

  2. Comience con un objeto de TI existente, como un actor de amenazas o un patrón de ataque donde el único objeto se conecta a uno o varios objetos existentes, como indicadores.

  3. Agregue el tipo de relación según los procedimientos recomendados descritos en la tabla siguiente y en la tabla de resumen de relaciones de referencia de STIX 2.1:

    Tipo de relación Descripción
    Duplicado de
    Derivado de
    Relacionado con    		 Relaciones comunes definidas para cualquier objeto de dominio de STIX (SDO)
    Para más información, consulte la referencia de STIX 2.1 sobre relaciones comunes
    Destinos Attack pattern o Threat actor tiene como destino Identity
    Usa Threat actor usa Attack pattern
    Atribuido a Threat actor se atribuye a Identity
    Indica Indicator indica Attack pattern o Threat actor
    Suplanta Threat actor suplanta a Identity

  4. Use la imagen siguiente como ejemplo de cómo usar el generador de relaciones. En este ejemplo se muestra cómo conectarse entre un actor de amenazas y un patrón de ataque, un indicador y una identidad mediante el generador de relaciones en el portal de Defender.

    Captura de pantalla que muestra el generador de relaciones.

  5. Complete la relación configurando propiedades comunes.

Consulta de su inteligencia sobre amenazas en la interfaz de administración

Use la interfaz de administración para ordenar, filtrar y buscar la inteligencia sobre amenazas desde cualquier origen desde la que se ingirió sin escribir una consulta de Log Analytics.

  1. En la interfaz de administración, expanda el menú ¿Qué le gustaría buscar?.

  2. Seleccione un tipo de objeto de STIX o deje el valor predeterminado Todos los tipos de objeto.

  3. Seleccione condiciones mediante operadores lógicos.

  4. Seleccione el objeto sobre el que desea obtener más información.

En la imagen siguiente, se usaron varios orígenes para realizar búsquedas colocándolos en un grupo OR, mientras que varias condiciones se agruparon con el operador AND.

Captura de pantalla que muestra un operador OR combinado con varias condiciones AND para buscar inteligencia sobre amenazas.

Microsoft Sentinel solo muestra la versión más reciente de la inteligencia sobre amenazas en esta vista. Para obtener más información sobre cómo se actualizan los objetos, consulte Ciclo de vida de inteligencia sobre amenazas.

Los indicadores de IP y nombres de dominio se enriquecen con datos adicionales de GeoLocation y WhoIs para que pueda proporcionar más contexto para las investigaciones en las que se encuentra el indicador.

Este es un ejemplo.

Captura de pantalla que muestra la página Inteligencia sobre amenazas con un indicador que muestra los datos de GeoLocation y WhoIs.

Importante

GeoLocation y WhoIs el enriquecimiento se encuentra actualmente en versión preliminar. Los Términos complementarios de la versión preliminar de Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o aún no se han publicado en disponibilidad general.

Etiquetado y edición de inteligencia sobre amenazas

El etiquetado de la inteligencia sobre amenazas es una manera rápida de agrupar objetos para que sean más fáciles de encontrar. Normalmente, puede aplicar etiquetas relacionadas con un incidente determinado. Sin embargo, si un objeto representa amenazas de un actor conocido determinado o una campaña de ataque conocida, considere la posibilidad de crear una relación en lugar de una etiqueta.

  1. Use la interfaz de administración para ordenar, filtrar y hacer búsquedas en la inteligencia sobre amenazas.
  2. Después de encontrar los objetos con los que desea trabajar, realice una selección múltiple de uno o varios objetos del mismo tipo.
  3. Seleccione Agregar etiquetas y etiquételos todos a la vez con una o varias etiquetas.
  4. Dado que el etiquetado es libre, se recomienda crear convenciones de nomenclatura estándar para las etiquetas de su organización.

Edite la inteligencia sobre amenazas de un objeto cada vez, ya sea creado directamente en Microsoft Sentinel o desde orígenes de asociados, como los servidores TIP y TAXII. En el caso de la información sobre amenazas creada en la interfaz de administración, se pueden editar todos los campos. En el caso de la inteligencia sobre amenazas procedente de orígenes de asociados, solo se pueden editar campos específicos, incluidas las etiquetas, Fecha de expiración, Confianza, y Revocada. En cualquier caso, solo aparece la versión más reciente del objeto en la interfaz de administración.

Para obtener más información sobre cómo se actualiza la inteligencia sobre amenazas, visite Consulta de la inteligencia sobre amenazas.

Búsqueda y visualización de la inteligencia sobre amenazas con consultas

En este procedimiento se describe cómo ver la inteligencia sobre amenazas con consultas, independientemente de la fuente de origen o el método que usó para ingerirlos.

Los indicadores de amenazas se almacenan en la tabla de Microsoft Sentinel ThreatIntelligenceIndicator. Esta tabla es la base de las consultas de inteligencia sobre amenazas realizadas por otras características de Microsoft Sentinel como análisis, búsqueda y libros.

Importante

El 3 de abril de 2025, previsualizamos públicamente dos nuevas tablas para admitir los esquemas de objetos e indicadores STIX: ThreatIntelIndicators y ThreatIntelObjects. Microsoft Sentinel ingerirá toda la inteligencia sobre amenazas en estas nuevas tablas, al tiempo que seguirá ingeriendo los mismos datos en la tabla heredada ThreatIntelligenceIndicator hasta el 31 de julio de 2025. Asegúrese de actualizar las consultas personalizadas, las reglas de análisis y detección, los libros y la automatización para usar las nuevas tablas el 31 de julio de 2025. Después de esta fecha, Microsoft Sentinel dejará de ingerir datos en la tabla heredada ThreatIntelligenceIndicator . Estamos actualizando todas las soluciones de inteligencia sobre amenazas integradas en el centro de contenido para aprovechar las nuevas tablas. Para obtener más información sobre los nuevos esquemas de tabla, vea ThreatIntelIndicators y ThreatIntelObjects. Para obtener información sobre el uso y la migración a las nuevas tablas, consulte (Trabajar con objetos STIX para mejorar la inteligencia sobre amenazas y la búsqueda de amenazas en Microsoft Sentinel (versión preliminar)[work-with-stix-objects-indicators.md].

  1. Para Microsoft Sentinel en el Portal de Defender, seleccione Investigación y respuesta>Búsqueda>Búsqueda avanzada.

  2. La tabla ThreatIntelligenceIndicator se encuentra en el grupo de Microsoft Sentinel.

Captura de pantalla de la opción Agregar lista de reproducción en la página lista de reproducción.

Para obtener más información, consulte Visualización de la inteligenciasobre amenazas.

Visualización de la inteligencia sobre amenazas con libros

Use un libro de Microsoft Sentinel especialmente diseñado para visualizar información clave sobre la inteligencia sobre amenazas en Microsoft Sentinel y personalice los libros según sus necesidades empresariales.

Aquí puede saber cómo buscar el libro de inteligencia sobre amenazas proporcionado en Microsoft Sentinel y un ejemplo de cómo realizar ediciones en el libro para personalizarlo.

  1. EnAzure portal vaya a Microsoft Sentinel.

  2. Elija el área de trabajo a la que importó los indicadores de amenazas mediante cualquiera de los conectores de datos de inteligencia sobre amenazas.

  3. En la sección Administración de amenazas del menú de Microsoft Sentinel, seleccione Libros.

  4. Busque el libro titulado Inteligencia sobre amenazas. Compruebe que tiene datos en la tabla ThreatIntelligenceIndicator.

    Captura de pantalla que muestra la comprobación de que tiene datos.

  5. Seleccione Guardar, y elija una ubicación de Azure en la que almacenar el libro. Este paso es necesario si piensa modificar el libro de cualquier manera y guardar los cambios.

  6. Ahora seleccione Ver libro guardado para abrir el libro para ver y editar.

  7. Ahora debería ver los gráficos predeterminados proporcionados por la plantilla. Para modificar un gráfico, seleccione Editar en la parte superior de la página para iniciar el modo de edición del libro.

  8. Agregue un nuevo gráfico de indicadores de amenazas por tipo de amenaza. Desplácese a la parte inferior de la página y seleccione Agregar consulta.

  9. Agregue el siguiente texto al cuadro de texto Consulta de registro del área de trabajo de Log Analytics:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:

  10. En el menú desplegable Visualización, seleccione Gráfico de barras.

  11. Seleccione Edición finalizada, y vea el nuevo gráfico del libro.

    Captura de pantalla que muestra un gráfico de barras para el libro.

Los libros proporcionan paneles interactivos eficaces que proporcionan información sobre todos los aspectos de Microsoft Sentinel. Puede realizar muchas tareas con libros y las plantillas proporcionadas son un excelente punto de partida. Personalice las plantillas o cree paneles mediante la combinación de muchos orígenes de datos para que pueda visualizar los datos de maneras únicas.

Los libros de Microsoft Sentinel se basan en libros de Azure Monitor, por lo que hay una amplia documentación y muchas más plantillas disponibles. Para más información, consulte Creación de informes interactivos con libros de Azure Monitor.

También hay un recurso enriquecido para libros de Azure Monitor en GitHub, donde puede descargar más plantillas y contribuir con las suyas propias.

Exportación de inteligencia sobre amenazas

Microsoft Sentinel le permite exportar la inteligencia sobre amenazas a otros destinos. Por ejemplo, si ha ingerido inteligencia sobre amenazas mediante el conector de datos Threat Intelligence - TAXII , puede volver a exportar la inteligencia sobre amenazas a la plataforma de origen para el uso compartido de inteligencia bidireccional. La característica de exportación reduce la necesidad de procesos manuales o cuadernos de estrategias personalizados para distribuir la inteligencia sobre amenazas.

Importante

Considere detenidamente tanto los datos de inteligencia sobre amenazas que exporta como su destino, que pueden residir en una región geográfica o normativa diferente. No se puede deshacer la exportación de datos. Asegúrese de que posee los datos o tiene una autorización adecuada antes de exportar o compartir la inteligencia sobre amenazas con terceros.

Para exportar la inteligencia sobre amenazas:

  1. Para Microsoft Sentinel en el portal de Defender, seleccione gestión de inteligencia sobre amenazas de Intel >. En Microsoft Sentinel en Azure Portal, seleccione Threat management > Threat intelligence (Inteligencia sobre amenazas).

  2. Seleccione uno o varios objetos STIX y, a continuación, seleccione Exportar en la barra de herramientas de la parte superior de la página. Por ejemplo:

  3. En el panel Exportar , en la lista desplegable Exportar TI , seleccione el servidor al que desea exportar la inteligencia sobre amenazas.

    Si no aparece un servidor en la lista, primero debe configurar un servidor para la exportación, como se describe en Habilitación del conector de datos Inteligencia sobre amenazas : TAXII Export. Actualmente, Microsoft Sentinel solo admite la exportación a plataformas basadas en TAXII 2.1.

  4. Selecciona Exportar.

    Importante

    Al exportar objetos de inteligencia sobre amenazas, el sistema lleva a cabo una operación masiva. Existe un problema conocido en el que a veces se produce un error en esta operación masiva. Si esto sucede, verá una advertencia al abrir el panel lateral de Exportación, pidiéndole que quite la acción que falló del historial de operaciones en bloque. El sistema pausa las operaciones posteriores hasta que se quite la operación fallida.

Para acceder al historial de exportación:

  1. Vaya al elemento exportado en la página de Gestión de Intel (portal de Defender) o Inteligencia sobre amenazas (portal de Azure).
  2. En la columna Exportaciones , seleccione Ver historial de exportación para mostrar el historial de exportación de ese elemento.

Contenido relacionado

Para más información, consulte los siguientes artículos:

Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).

Otros recursos:

  • Last updated on