Creación de una regla de análisis programada desde cero

Ha configurado conectores y otros medios para recopilar datos de actividad en su entorno digital. Ahora debe profundizar en todos los datos para detectar patrones de actividad y detectar actividades que no se ajusten a esos patrones y que puedan representar una amenaza de seguridad.

Microsoft Sentinel y sus muchas soluciones proporcionadas en el centro de contenido ofrecen plantillas para los tipos de reglas de análisis más usados y se recomienda encarecidamente que use esas plantillas, personalizándolas para adaptarlas a escenarios específicos. Sin embargo, es posible que necesite algo completamente distinto, por lo que en ese caso puede crear una regla desde cero mediante el Asistente para reglas de Analytics.

En este artículo se describe el proceso de creación de una regla de análisis desde cero, incluido el asistente para reglas de análisis. Incluye capturas de pantalla e instrucciones para acceder al asistente tanto en Azure Portal como en el portal de Defender.

Prerequisites

• Debe tener el rol de colaborador de Microsoft Sentinel o cualquier otro rol o conjunto de permisos que incluya permisos de escritura en el área de trabajo de Log Analytics y su grupo de recursos.

• Debe tener al menos conocimientos básicos sobre ciencia y análisis de datos, y el lenguaje de consulta Kusto.

• Debe familiarizarse con el Asistente para reglas de análisis y todas las opciones de configuración disponibles. Para obtener más información, consulte Reglas de análisis programadas en Microsoft Sentinel.

Diseño y compilación de la consulta

Antes de hacer nada, debe diseñar y compilar una consulta en el Lenguaje de consulta Kusto (KQL), que la regla usará para consultar una o varias tablas en el área de trabajo de Log Analytics.

1. Determine un origen de datos, o un conjunto de orígenes de datos, en el que quiera buscar para detectar actividades inusuales o sospechosas. Busque el nombre de la tabla de Log Analytics en la que se ingieren los datos desde esos orígenes. Encontrará el nombre de la tabla en la página del conector de datos de ese origen. Use el nombre de esa tabla (o una función basada en ella) como base para la consulta.

2. Decida qué tipo de análisis debe realizar la consulta en la tabla. Esta decisión determina qué comandos y funciones debe usar en la consulta.

3. Decida qué elementos de datos (campos o columnas) se deben obtener de los resultados de la consulta. Esta decisión determina cómo estructura la salida de la consulta.

   Important

   Asegúrese de que la consulta devuelve la columna TimeGenerated, ya que las reglas de análisis programados la usan como referencia para el período de búsqueda. Esto significa que la regla solo evalúa los registros en los que el TimeGenerated valor está dentro de la ventana de búsqueda especificada.

4. Compile y pruebe las consultas en la pantalla Registros . Cuando estés satisfecho, guarda la consulta para usarla en la regla.

Para más información, consulte:

• Procedimientos recomendados para las consultas de reglas de análisis.
• Lenguaje de consulta Kusto en Microsoft Sentinel
• Procedimientos recomendados para consultas de lenguaje de consulta kusto

Creación de una regla de análisis

En esta sección se describe cómo crear una regla mediante los portales de Azure o Defender.

Introducción a la creación de una regla de consulta programada

Para empezar, vaya a la página Análisis de Microsoft Sentinel para crear una regla de análisis programada.

1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>, Configuración> y Análisis. Para Microsoft Sentinel en Azure Portal, en Configuración, seleccione Análisis.

2. Seleccione +Crear y seleccione Regla de consulta programada.

   • Portal de Defender
   • Azure Portal

   

Asignación de un nombre a la regla y definición de la información general

En el Portal de Azure, las fases aparecen como pestañas. En el portal de Defender, aparecen como hitos en una escala de tiempo.

1. Escriba la siguiente información para la regla.

   Field	Description
   Name	Un nombre único para la regla. Este campo solo admite texto sin formato. Las direcciones URL incluidas en el nombre deben seguir el formato de codificación porcentual para que se muestren correctamente.
   Description	Una descripción en texto libre para la regla. Si Microsoft Sentinel se incorpora al portal de Defender, este campo solo admite texto sin formato. Las direcciones URL incluidas en la descripción deben seguir el formato de codificación percent para que se muestren correctamente.
   Severity	Iguala el impacto que puede tener la actividad que desencadena la regla en el entorno de destino, si la regla es un verdadero positivo. Informativo: no afecta al sistema, pero la información podría ser indicativa de los pasos futuros planeados por un actor de amenazas. Bajo: el impacto inmediato es mínimo. Es probable que un actor de amenazas tenga que llevar a cabo varios pasos antes de lograr un impacto en un entorno. Medio: el actor de amenazas podría tener algún impacto en el entorno con esta actividad, pero sería limitado en el ámbito o requerir actividad adicional. Alta: la actividad identificada proporciona al actor de amenazas acceso amplio para realizar acciones en el entorno o se desencadena mediante el impacto en el entorno.
   MITRE ATT&CK	Elija esas actividades de amenaza que se aplican a su regla. Seleccione entre las tácticas y técnicas de MITRE ATT&CK presentadas en la lista desplegable. Puede hacer selecciones múltiples. Para obtener más información sobre cómo maximizar su cobertura del panorama de amenazas de MITRE ATT&CK, consulte Descripción de la cobertura de seguridad por el marco MITRE ATT&CK®.
   Status	Habilitado: la regla se ejecuta inmediatamente después de la creación, o en la fecha y hora específicas que elija programar (actualmente en versión preliminar). Deshabilitado: se crea la regla, pero no se ejecuta. Habilite más adelante desde la pestaña Reglas activas cuando lo necesite.

2. Seleccione Siguiente: Establecer lógica de regla.

   • Portal de Defender
   • Azure Portal

   

Definición de la lógica de la regla

El siguiente paso consiste en definir la lógica de la regla, que incluye agregar la consulta Kusto que creó.

1. Ingrese la consulta de la regla y la configuración de mejora de alertas.

   Setting	Description
   Consulta de reglas	Pegue la consulta que ha diseñado, compilado y probado en la ventana Consulta de regla . Cada cambio que realice en esta ventana se valida al instante, por lo que si hay algún error, verá una indicación justo debajo de la ventana.
   Asignar entidades	Expanda Asignación de entidades y defina hasta 10 tipos de entidad reconocidos por Microsoft Sentinel en los campos de los resultados de la consulta. Esta asignación integra las entidades identificadas en el campo Entidades del esquema de alertas. Para obtener instrucciones completas sobre la asignación de entidades, consulte Asignación de campos de datos a entidades en Microsoft Sentinel.
   Destaca detalles personalizados en tus alertas	Expanda Detalles personalizados y defina los campos de los resultados de la consulta que quiera mostrar en las alertas como detalles personalizados. Estos campos también aparecen en los incidentes resultantes. Para obtener instrucciones completas sobre cómo mostrar detalles personalizados, consulta Mostrar detalles de eventos personalizados en alertas en Microsoft Sentinel.
   Personalización de los detalles de la alerta	Expanden los detalles de la alerta y personalicen de manera diferente las propiedades estándar de la alerta según el contenido de varios campos en cada alerta individual. Por ejemplo, personalice el nombre o la descripción de la alerta para incluir en ella un nombre de usuario o una dirección IP. Para obtener instrucciones completas sobre cómo personalizar los detalles de las alertas, consulte Personalización de los detalles de alertas en Microsoft Sentinel.

2. Programar y definir el ámbito de la consulta. Establezca los parámetros siguientes en la sección Programación de consultas :

   Setting	Descripción / Opciones
   Ejecutar consulta cada	Controla el intervalo de consulta: con qué frecuencia se ejecuta la consulta. Intervalo permitido: de 5 minutos a 14 días.
   Buscar datos del último	Determina el período de búsqueda: el período de tiempo cubierto por la consulta. Intervalo permitido: de 5 minutos a 14 días. Debe ser mayor o igual que el intervalo de consulta.
   Empezar a ejecutarse	Automáticamente: la regla se ejecuta por primera vez después de crearse y después de eso en el intervalo de consulta. En una hora específica (versión preliminar): establezca una fecha y hora para que la regla se ejecute por primera vez, después de lo cual se ejecuta en el intervalo de consulta. Intervalo permitido: de 10 minutos a 30 días después de la hora de creación (o habilitación) de la regla.

3. Establezca el umbral para crear alertas.

   Use la sección Umbral de alerta para definir el nivel de confidencialidad de la regla. Por ejemplo, establezca un umbral mínimo de 100:

   Setting	Description
   Generar alerta cuando el número de resultados de consulta	Es mayor que
   Cantidad de eventos	100

   Si no desea establecer un umbral, escriba 0 en el campo número.

4. Establezca la configuración de agrupación de eventos.

   En Agrupación de eventos, elija una de las dos maneras de controlar la agrupación de eventos en alertas:

   Setting	Behavior
   Agrupar todos los eventos en una sola alerta (default)	La regla genera una sola alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados que el umbral de alerta especificado por encima. Esta única alerta resume todos los eventos devueltos en los resultados de la consulta.
   Desencadenar una alerta para cada evento	La regla genera una alerta única para cada evento devuelto por la consulta. Esta opción es útil si desea que los eventos se muestren individualmente o si desea agruparlos por determinados parámetros, por usuario, nombre de host o algo más. Puede definir estos parámetros en la consulta.

5. Suprima temporalmente la regla después de generar una alerta.

   Para suprimir una regla más allá de su próxima ejecución si se genera una alerta, active la opción Detener la ejecución de la consulta después de generar la alerta. Si activa esta opción, establezca Detener la ejecución de la consulta en la cantidad de tiempo que la consulta debe dejar de ejecutarse, hasta 24 horas.

6. Simulación de los resultados de la consulta y la configuración lógica.

   En el área Simulación de resultados, seleccione Probar con datos actuales para ver cómo se verían los resultados de su regla si se hubiera ejecutado en los datos actuales. Microsoft Sentinel simula la ejecución de la regla 50 veces sobre los datos actuales, mediante la programación definida y muestra un gráfico de los resultados (eventos de registro). Si modifica la consulta, seleccione Probar con los datos actuales de nuevo para actualizar el gráfico. El gráfico muestra el número de resultados durante el período de tiempo definido por la configuración de la sección Programación de consultas.

7. Seleccione Siguiente: Configuración del incidente.

Configuración de la creación de incidentes

En la pestaña Configuración de incidentes , elija si Microsoft Sentinel convierte las alertas en incidentes accionables y si y cómo se agrupan las alertas en incidentes.

1. Habilite la creación de incidentes.

   En la sección Configuración de incidentes , crear incidentes a partir de alertas desencadenadas por esta regla de análisis se establece de forma predeterminada en Habilitado, lo que significa que Microsoft Sentinel crea un único incidente independiente de cada alerta desencadenada por la regla.

   • Si no desea que esta regla cree incidentes (por ejemplo, si esta regla es simplemente recopilar información para el análisis posterior), establezca esta opción en Deshabilitado.

     Important

     Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, deje esta opción Habilitada.

     • En este escenario, XDR de Microsoft Defender crea incidentes, no Microsoft Sentinel.
     • Estos incidentes aparecen en la cola de incidentes en los portales de Azure y Defender.
     • En Azure Portal, los nuevos incidentes se muestran con "Microsoft XDR" como nombre del proveedor de incidentes.

   • Si desea que se cree un solo incidente a partir de un grupo de alertas, en lugar de uno para cada alerta, consulte el paso siguiente.

2. Establezca la configuración de agrupación de alertas.

   En la sección Agrupación de alertas, si desea que se genere un único incidente a partir de un grupo de hasta 150 alertas similares o periódicas (consulte la nota), establezca Alertas relacionadas con el grupo, desencadenadas por esta regla de análisis, en incidentes en Habilitado y establezca los parámetros siguientes.

   1. Limitar el grupo a las alertas creadas dentro del período de tiempo seleccionado: establezca el período de tiempo en el que se agrupan las alertas similares o periódicas. Las alertas fuera de este periodo de tiempo generan un incidente, o conjunto de incidentes, independientes.

   2. Agrupar alertas desencadenadas por esta regla de análisis en un único incidente: elija cómo se agrupan las alertas:

      Option	Description
      Agrupa las alertas en un único incidente si todas las entidades coinciden	Las alertas se agrupan si comparten valores idénticos para cada una de las entidades asignadas (definidas en la pestaña Establecer lógica de regla anterior). Éste es el valor recomendado.
      Agrupar todas las alertas desencadenadas por esta regla en un único incidente	Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos.
      Agrupa las alertas en un único incidente si las entidades seleccionadas y los detalles coinciden	Las alertas se agrupan si comparten valores idénticos para todas las entidades asignadas, los detalles de las alertas y los detalles personalizados seleccionados en las listas desplegables correspondientes.

   3. Volver a abrir incidentes coincidentes cerrados: si se resuelve y cierra un incidente y, más adelante, se genera otra alerta que debe pertenecer a ese incidente, establezca esta opción en Habilitado si desea que el incidente cerrado se vuelva a abrir y deje como Deshabilitado si desea que la alerta cree un nuevo incidente.

      Esta opción no está disponible cuando Microsoft Sentinel se incorpora al portal de Microsoft Defender.

   Important

   Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, la configuración de agrupación de alertas solo surte efecto en el momento en que se crea el incidente.

   Dado que el motor de correlación del portal de Defender es responsable de la correlación de alertas en este escenario, acepta esta configuración como instrucciones iniciales, pero también puede tomar decisiones sobre la correlación de alertas que no tienen en cuenta esta configuración.

   Por lo tanto, la forma en que las alertas se agrupan en incidentes pueden ser a menudo diferentes de las que cabría esperar en función de esta configuración.

   Note

   Se pueden agrupar hasta 150 alertas en un único incidente.

   • El incidente solo se crea después de generar todas las alertas. Todas las alertas se agregan al incidente inmediatamente después de su creación.

   • Si se generan más de 150 alertas mediante una regla que las agrupa en un único incidente, se genera un nuevo incidente con los mismos detalles del incidente que el original y las alertas excesivas se agrupan en el nuevo incidente.

3. Seleccione Siguiente: Respuesta automatizada.

   • Portal de Defender
   • Azure Portal

   

Revisión o adición de respuestas automatizadas

1. En la pestaña Respuestas automatizadas , consulte las reglas de automatización que se muestran en la lista. Si quiere agregar respuestas que aún no estén cubiertas por las reglas existentes, tiene dos opciones:

   • Edite una regla existente si quiere que la respuesta agregada se aplique a muchas reglas o a todas.
   • Seleccione Agregar nuevo para crear una nueva regla de automatización que solo se aplique a esta regla de análisis.

   Para más información sobre lo que puede usar las reglas de automatización, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

   • En Automatización de alertas (clásico) en la parte inferior de la pantalla, verá los cuadernos de estrategias que configuró para ejecutarse automáticamente cuando se genera una alerta mediante el método anterior.

     • A partir de junio de 2023, no se pueden agregar cuadernos de estrategias a esta lista. Los cuadernos de estrategias que ya aparecen aquí continúan ejecutándose hasta que este método esté en desuso, a partir de marzo de 2026.

     • Si todavía tiene cuadernos de estrategias enumerados aquí, cree una regla de automatización basada en el desencadenador creado por la alerta e invoque el cuaderno de estrategias desde la regla de automatización. Después de completar ese paso, haga clic en los puntos suspensivos al final de la línea del manual que se muestra aquí y seleccione Quitar. Consulte Migración de cuadernos de estrategias de desencadenamiento de alertas de Microsoft Sentinel a reglas de automatización para ver las instrucciones completas.

   • Portal de Defender
   • Azure Portal

   

2. Seleccione Siguiente: Revisar y crear para revisar toda la configuración de la nueva regla de análisis.

Validación de la configuración y creación de la regla

1. Cuando aparezca el mensaje "Validación pasada", seleccione Crear.

2. Si en su lugar aparece un error, busque y seleccione la X de color rojo en la pestaña del asistente donde se ha producido el error.

3. Corrija el error y vuelva a la pestaña Revisar y crear para volver a ejecutar la validación.

Visualización de la regla y su salida

Visualización de la definición de la regla

Puede encontrar la regla personalizada recién creada (de tipo "Programado") en la tabla en la pestaña Reglas activas de la pantalla principal de Análisis . En esta lista, puede habilitar, deshabilitar o eliminar cada regla.

Visualización de los resultados de la regla

Ajuste de la regla

• Puede actualizar la consulta de regla para excluir falsos positivos. Para obtener más información, consulte Control de falsos positivos en Microsoft Sentinel.

Exportación de la regla a una plantilla de ARM

Si desea empaquetar la regla para que se administre e implemente como código, puede exportar fácilmente la regla a una plantilla de Azure Resource Manager (ARM). También puede importar reglas de archivos de plantilla para verlos y editarlos en la interfaz de usuario.

Pasos siguientes

Al usar reglas de análisis para detectar amenazas de Microsoft Sentinel, asegúrese de habilitar todas las reglas asociadas a los orígenes de datos conectados para garantizar la cobertura de seguridad completa para su entorno.

Para automatizar la habilitación de reglas, enviar reglas a Microsoft Sentinel a través de la API y PowerShell, aunque esto requiere un esfuerzo adicional. Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden resultar útiles al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.

Para más información, consulte:

• Solución de problemas de reglas de análisis en Microsoft Sentinel
• Navegación e investigación de incidentes en Microsoft Sentinel
• Entidades en Microsoft Sentinel
• Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel

Además, obtenga información sobre el uso de reglas de análisis personalizadas al supervisar Zoom con un conector personalizado.