Compartir a través de

Obtención de recomendaciones de ajuste para las reglas de análisis en Microsoft Sentinel

Importante

Las detecciones personalizadas son ahora la mejor forma de crear nuevas reglas en la SIEM de Microsoft Sentinel de Microsoft Defender XDR. Con las detecciones personalizadas, puede reducir los costes de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración perfecta con los datos, las funciones y las acciones de corrección de Defender XDR con asignación automática de entidades. Para más información, lea este blog.

Importante

El ajuste de detección se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

La optimización de las reglas de detección de amenazas en su SIEM puede ser un proceso difícil, delicado y continuo de equilibrio entre maximizar la cobertura de detección de amenazas y minimizar las tasas de falsos positivos. Microsoft Sentinel simplifica y simplifica este proceso mediante el aprendizaje automático para analizar miles de millones de señales de los orígenes de datos, así como sus respuestas a incidentes a lo largo del tiempo, deduciendo patrones y proporcionando recomendaciones y conclusiones accionables que pueden reducir significativamente la sobrecarga de optimización y permitirle centrarse en detectar y responder a amenazas reales.

Las recomendaciones de optimización y la información ahora están integradas en las reglas de análisis. En este artículo se explica lo que muestran estas conclusiones y cómo puede implementar las recomendaciones.

Visualización de información de reglas y recomendaciones de optimización

Para ver si Microsoft Sentinel tiene recomendaciones de optimización para cualquiera de las reglas de análisis, seleccione Análisis en el menú de navegación de Microsoft Sentinel.

Las reglas que tengan recomendaciones mostrarán un icono de bombilla, como se muestra aquí:

Captura de pantalla de la lista de reglas de análisis con el indicador de recomendación.

Edite la regla para ver las recomendaciones junto con la otra información. Aparecerán juntos en la pestaña Establecer lógica de regla del Asistente para reglas de análisis, debajo de la pantalla Simulación de resultados .

Recorte de pantalla de las conclusiones de optimización en la regla de análisis.

Tipos de análisis

La pantalla Información de ajuste consta de varios paneles que se pueden desplazar o deslizar de lado a lado, cada uno de los cuales muestra algo diferente. El período de tiempo - 14 días - durante el cual se muestra la información aparece en la parte superior del cuadro.

  1. El primer panel de información muestra información estadística: el número medio de alertas por incidente, el número de incidentes abiertos y el número de incidentes cerrados, agrupados por clasificación (verdadero/falso positivo). Esta información le ayuda a averiguar la carga de esta regla y a comprender si se requiere algún ajuste; por ejemplo, si se necesita ajustar la configuración de agrupación.

    Recorte de pantalla de la información de eficiencia de la regla.

    Esta información es el resultado de una consulta de Log Analytics. Al seleccionar Promedio de alertas por incidente , se le llevará a la consulta de Log Analytics que generó la información. Al seleccionar Abrir incidentes , se le llevará a la hoja Incidentes .

  2. El segundo panel de información recomienda una lista de entidades para excluir. Estas entidades están muy correlacionadas con los incidentes que ha cerrado y que ha clasificado como falsos positivos. Seleccione el signo más situado junto a cada entidad enumerada para excluirlo de la consulta en ejecuciones futuras de esta regla.

    Captura de pantalla de la recomendación de exclusión de entidades.

    Esta recomendación la generan los modelos avanzados de ciencia de datos y aprendizaje automático de Microsoft. La inclusión de este panel en el área Optimización de conclusiones depende de si hay recomendaciones para mostrar.

  3. En el tercer panel de información se muestran las cuatro entidades mapeadas que aparecen con mayor frecuencia en el conjunto de alertas generadas por esta regla. La asignación de entidades debe configurarse en la regla para que esta conclusión produzca resultados. Esta información puede ayudarle a conocer todas las entidades que están "saltando el foco" y alejando la atención de otras. Es posible que quiera controlar estas entidades por separado con una regla diferente, o bien puede decidir que son falsos positivos o entidades irrelevantes y excluirlas de la regla.

    Captura de pantalla de la visión de las entidades principales.

    Esta información es el resultado de una consulta de Log Analytics. La selección de cualquiera de las entidades le llevará a la consulta en Log Analytics que generó la información.

Pasos siguientes

Para obtener más información, consulte:

  • Last updated on