Investigación de incidentes con Microsoft Sentinel (heredado)

Se aplica a: Microsoft Sentinel in the Azure portal

Este artículo le ayuda a usar la experiencia de investigación de incidentes heredados de Microsoft Sentinel. Si está utilizando la versión más reciente de la interfaz, use el conjunto de instrucciones más reciente para que coincida. Para obtener más información, consulte Navegar e investigar incidentes en Microsoft Sentinel.

Después de conectar los orígenes de datos a Microsoft Sentinel, desea recibir una notificación cuando ocurra algo sospechoso. Para ello, Microsoft Sentinel le permite crear reglas de análisis avanzadas que generan incidentes que puede asignar e investigar.

Un incidente puede incluir varias alertas. Es una agregación de todas las pruebas relevantes para una investigación específica. Un incidente se crea en función de las reglas de análisis que creó en la página Análisis . Las propiedades relacionadas con alertas, como la gravedad y el estado, se establecen en el nivel de incidente. Después de informar a Microsoft Sentinel qué tipos de amenazas está buscando y cómo encontrarlas, puede supervisar las amenazas detectadas mediante la investigación de incidentes.

Importante

Las características anotadas se encuentran actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Prerrequisitos

Solo podrá investigar el incidente si utilizó los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.
Si tiene un usuario invitado que necesita asignar incidentes, al usuario se le debe asignar el rol Lector de directorio en el inquilino de Microsoft Entra. Los usuarios normales (nonguest) tienen asignado este rol de forma predeterminada.

Cómo investigar incidentes

Seleccione Incidentes. La página Incidentes le permite saber cuántos incidentes tiene y si son nuevos, activos o cerrados. Para cada incidente, puede ver la hora en que ocurrió y el estado del incidente. Fíjate en la gravedad para decidir qué incidentes gestionar primero.
Puede filtrar los incidentes según sea necesario, por ejemplo, por estado o gravedad. Para obtener más información, consulte Búsqueda de incidentes.
Para iniciar una investigación, seleccione un incidente específico. A la derecha, puede ver información detallada del incidente, incluida su gravedad, un resumen del número de entidades involucradas, los eventos sin procesar que desencadenaron este incidente, el ID único del incidente y cualquier táctica o técnica de MITRE ATT&CK asignada.
Para ver más detalles sobre las alertas y entidades del incidente, seleccione Ver detalles completos en la página del incidente y revise las pestañas correspondientes que resumen la información del incidente.
- Si actualmente está usando la nueva experiencia, desactívela en la parte superior derecha de la página de detalles del incidente para usar la experiencia heredada en su lugar.
- En la pestaña Escala de tiempo , revise la escala de tiempo de las alertas y los marcadores del incidente, lo que puede ayudarle a reconstruir la escala de tiempo de la actividad del atacante.
- En la pestaña Incidentes similares (versión preliminar), verá una colección de hasta 20 incidentes más parecidos al incidente actual. Esto le permite ver el incidente en un contexto más grande y ayuda a dirigir la investigación. Obtenga más información sobre incidentes similares a continuación.
- En la pestaña Alertas , revise las alertas incluidas en este incidente. Verá toda la información relevante sobre las alertas: las reglas de análisis que las generaron, el número de resultados devueltos por alerta y la capacidad de ejecutar cuadernos de estrategias en las alertas. Para profundizar aún más en el incidente, seleccione el número de eventos. Se abre la consulta que generó los resultados y los eventos que desencadenaron la alerta en Log Analytics.
- En la pestaña Marcadores , verá los marcadores que usted u otros investigadores hayan vinculado a este incidente. Obtén más información sobre los marcadores.
- En la pestaña Entidades , puede ver todas las entidades que asignó como parte de la definición de la regla de alerta. Estos son los objetos que desempeñan un papel en el incidente, ya sean usuarios, dispositivos, direcciones, archivos o cualquier otro tipo.
- Por último, en la pestaña Comentarios , puede agregar sus comentarios sobre la investigación y ver los comentarios realizados por otros analistas e investigadores. Obtén más información sobre los comentarios.
Si está investigando activamente un incidente, es una buena idea establecer el estado del incidente en Activo hasta que lo cierre.
Los incidentes se pueden asignar a un usuario específico o a un grupo. Para cada incidente, puede asignar un propietario, configurando el campo Propietario . Todos los incidentes comienzan como no asignados. También puede agregar comentarios para que otros analistas puedan comprender lo que investigó y cuáles son sus preocupaciones en torno al incidente.

Los usuarios y grupos seleccionados recientemente aparecen en la parte superior de la lista desplegable que se muestra.
Seleccione Investigar para ver el mapa de investigación.

Utilice el gráfico de investigación para profundizar

El gráfico de investigación permite a los analistas formular las preguntas adecuadas para cada investigación. El gráfico de investigación le ayuda a comprender el alcance e identificar la causa raíz de una posible amenaza de seguridad mediante la correlación de los datos relevantes con cualquier entidad involucrada. Puede profundizar e investigar cualquier entidad presentada en el gráfico seleccionándola y eligiendo entre diferentes opciones de expansión.

El gráfico de investigación le proporciona:

Contexto visual de los datos sin procesar: el gráfico visual en vivo muestra las relaciones de las entidades extraídas automáticamente de los datos sin procesar. Esto le permite ver fácilmente las conexiones entre distintos orígenes de datos.
Detección del alcance completo de la investigación: amplíe el alcance de la investigación mediante consultas de exploración integradas para mostrar el alcance completo de una infracción.
Pasos de investigación integrados: utilice opciones de exploración predefinidas para asegurarse de que está haciendo las preguntas correctas frente a una amenaza.

Para utilizar el gráfico de investigación:

Seleccione un incidente y, a continuación, seleccione Investigar. Esto le llevará al gráfico de investigación. El gráfico proporciona un mapa ilustrativo de las entidades conectadas directamente a la alerta y de cada recurso conectado más allá.
Importante
- Solo podrá investigar el incidente si utilizó los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.
- Actualmente, Microsoft Sentinel admite la investigación de incidentes de hasta 30 días de antigüedad.
Seleccione una entidad para abrir el panelEntidades para que pueda revisar la información de esa entidad.
Amplíe su investigación colocando el cursor sobre cada entidad para revelar una lista de preguntas diseñadas por nuestros expertos y analistas de seguridad por tipo de entidad para profundizar en su investigación. Llamamos a estas opciones consultas de exploración.

Por ejemplo, en un equipo puede solicitar alertas relacionadas. Si selecciona una consulta de exploración, los derechos resultantes se agregan de nuevo al gráfico. En este ejemplo, al seleccionar Related Alerts (Alertas relacionadas) se devolvieron las siguientes alertas en el gráfico:

Vea que las alertas relacionadas aparecen conectadas a la entidad por líneas de puntos.
Para cada consulta de exploración, puede seleccionar la opción para abrir los resultados de eventos sin procesar y la consulta usada en Log Analytics, seleccionando Eventos> .
Para comprender el incidente, el gráfico le proporciona una escala de tiempo paralela.
Mantenga el puntero sobre la escala de tiempo para ver qué elementos del gráfico se produjeron en qué momento.

Enfoca tu investigación

Aprenda cómo puede ampliar o reducir el alcance de su investigación agregando alertas a sus incidentes o quitando alertas de incidentes.

Incidentes similares (versión preliminar)

Como analista de operaciones de seguridad, al investigar un incidente, quiere prestar atención a su contexto más grande. Por ejemplo, querrá ver si otros incidentes como este han ocurrido antes o están sucediendo ahora.

Es posible que quiera identificar incidentes simultáneos que podrían formar parte de la misma estrategia de ataque más grande.
Es posible que quiera identificar incidentes similares en el pasado para usarlos como puntos de referencia para la investigación actual.
Es posible que quiera identificar a los propietarios de incidentes similares anteriores para encontrar a las personas de su SOC que pueden proporcionar más contexto o a quienes puede escalar la investigación.

La pestaña Incidentes similares de la página de detalles del incidente, ahora en versión preliminar, presenta hasta otros 20 incidentes que son los más similares al actual. La similitud se calcula mediante algoritmos internos de Microsoft Sentinel, y los incidentes se ordenan y muestran en orden descendente de similitud.

Cálculo de similitud

Hay tres criterios por los cuales se determina la similitud:

Entidades similares: Un incidente se considera similar a otro incidente si ambos incluyen las mismas entidades. Cuantos más entidades tienen dos incidentes en común, más similares se consideran.
Regla similar: Un incidente se considera similar a otro incidente si ambos fueron creados por la misma regla de análisis.
Detalles de alerta similares: Un incidente se considera similar a otro incidente si comparten el mismo título, nombre de producto y/o detalles personalizados.

Los motivos por los que aparece un incidente en la lista de incidentes similares se muestran en la columna Motivo de similitud. Mantenga el puntero sobre el icono de información para mostrar los elementos comunes (entidades, nombre de regla o detalles).

Captura de pantalla de la visualización emergente de detalles de incidentes similares.

Marco temporal de similitud

La similitud de incidentes se calcula en función de los datos de los 14 días anteriores a la última actividad del incidente, que es la hora de finalización de la alerta más reciente del incidente.

La similitud de incidentes se vuelve a calcular cada vez que se entra en la página de detalles del incidente, por lo que los resultados pueden variar entre sesiones si se crearon o actualizaron nuevos incidentes.

Comentar las incidencias

Como analista de operaciones de seguridad, al investigar un incidente, querrá documentar minuciosamente los pasos que toma, tanto para garantizar informes precisos a la gerencia como para permitir una cooperación y colaboración fluidas entre compañeros de trabajo. Microsoft Sentinel le ofrece un entorno de comentarios enriquecido para ayudarle a lograrlo.

Otra cosa importante que puedes hacer con los comentarios es enriquecer tus incidencias de forma automática. Cuando ejecuta un cuaderno de estrategias sobre un incidente que obtiene información relevante de fuentes externas (por ejemplo, comprobar un archivo en busca de malware en VirusTotal), puede hacer que el cuaderno de estrategias coloque la respuesta de la fuente externa, junto con cualquier otra información que defina, en los comentarios del incidente.

Los comentarios son fáciles de usar. Se accede a ellos a través de la pestaña Comentarios de la página de detalles del incidente.

Captura de pantalla de la visualización y la escritura de comentarios.

Preguntas frecuentes sobre los comentarios de incidentes

Hay varias consideraciones que se deben tener en cuenta al utilizar comentarios de incidentes. La siguiente lista de preguntas apunta a estas consideraciones.

¿Qué tipos de entradas se admiten?

Mensaje de texto: Los comentarios de Microsoft Sentinel admiten entradas de texto en texto sin formato, HTML básico y Markdown. También puede pegar texto copiado, HTML y Markdown en la ventana de comentarios.
Imágenes: Puede insertar enlaces a imágenes en los comentarios y las imágenes se muestran en línea, pero las imágenes ya deben estar alojadas en una ubicación de acceso público, como Dropbox, OneDrive, Google Drive y similares. Las imágenes no se pueden cargar directamente en los comentarios.

¿Hay un límite de tamaño para los comentarios?

Por comentario: un solo comentario puede contener hasta 30 000 caracteres.
Por incidente: un solo incidente puede contener hasta 100 comentarios.

Nota:

El límite de tamaño de un solo registro de incidentes de la tabla SecurityIncident de Log Analytics es de 64 KB. Si se supera este límite, los comentarios (empezando por el más antiguo) se truncarán, lo que puede afectar a los comentarios que aparecerán en los resultados de búsqueda avanzada .

Los registros de incidentes reales en la base de datos de incidentes no se verán afectados.

¿Quién puede editar o eliminar comentarios?

Editar: solo el autor de un comentario tiene permiso para editarlo.
Eliminar: solo los usuarios con el rol Colaborador de Microsoft Sentinel tienen permiso para eliminar comentarios. Incluso el autor del comentario debe tener este rol para eliminarlo.

Cerrar un incidente

Una vez que resuelva un incidente determinado (por ejemplo, cuando la investigación haya llegado a su conclusión), debe establecer el estado del incidente en Cerrado. Cuando lo hagas, se te pedirá que clasifiques el incidente especificando el motivo por el que lo cierras. Este paso es obligatorio. Seleccione Seleccionar clasificación y elija una de las siguientes opciones de la lista desplegable:

Verdadero positivo: actividad sospechosa
Positivo benigno: sospechoso pero esperado
Falso positivo: lógica de alerta incorrecta
Falso positivo: datos incorrectos
Indeterminada

Captura de pantalla que destaca las clasificaciones disponibles en la lista Seleccionar clasificación.

Para más información sobre los falsos positivos y los positivos inofensivos, consulte Control de falsos positivos en Microsoft Sentinel.

Después de elegir la clasificación adecuada, agregue texto descriptivo en el campo Comentario. Esto es útil en el caso de que tenga que volver a consultar este incidente. Seleccione Aplicar cuando haya terminado y el incidente esté cerrado.

Recorte de pantalla del cierre de un incidente.

Búsqueda de incidentes

Para buscar rápidamente un incidente concreto, escriba una cadena de búsqueda en el cuadro de búsqueda situado encima de la cuadrícula de incidentes y presione Entrar para modificar la lista de incidentes que se muestra en consecuencia. Si el incidente no se incluye en los resultados, es posible que desee restringir la búsqueda mediante las opciones de Búsqueda avanzada.

Para modificar los parámetros de búsqueda, seleccione el botón Buscar y, después, seleccione los parámetros donde desea ejecutar la búsqueda.

Por ejemplo:

De forma predeterminada, las búsquedas de incidentes se ejecutan solo en los valores de Identificador de incidente, Título, Etiquetas, Propietario y Nombre de producto. En el panel de búsqueda, desplácese hacia abajo en la lista para seleccionar uno o varios otros parámetros para buscar y seleccione Aplicar para actualizar los parámetros de búsqueda. Seleccione Establecer como predeterminado para restablecer los parámetros seleccionados a la opción predeterminada.

Nota:

Las búsquedas en el campo Propietario admiten nombres y direcciones de correo electrónico.

El uso de opciones de búsqueda avanzada cambia el comportamiento de búsqueda como se indica a continuación:

Comportamiento de búsqueda	Descripción
Color del botón Buscar	El color del botón de búsqueda cambia en función de los tipos de parámetros que se usen en la búsqueda. Si solo están seleccionados los parámetros predeterminados, el botón será gris. Si hay distintos parámetros seleccionados, como los parámetros de búsqueda avanzada, el botón se vuelve azul.
Actualización automática	El uso de parámetros de búsqueda avanzada impide seleccionar que los resultados se actualicen automáticamente.
Parámetros de la entidad	Todos los parámetros de la entidad se admiten para búsquedas avanzadas. Al buscar en cualquier parámetro de la entidad, la búsqueda se ejecuta en todos los parámetros de la entidad.
Búsqueda en las cadenas	La búsqueda de una cadena de palabras incluye todas las palabras de la consulta de búsqueda. Las cadenas de búsqueda distinguen mayúsculas de minúsculas.
Compatibilidad entre áreas de trabajo	Las búsquedas avanzadas no son compatibles con las vistas entre áreas de trabajo.
Número de resultados de búsqueda que se muestran	Cuando se usan parámetros de búsqueda avanzados, no se muestran más de 50 resultados a la vez.

Sugerencia

Si no puede encontrar el incidente que busca, quite los parámetros de búsqueda para expandir la búsqueda. Si la búsqueda genera demasiados elementos, agregue más filtros para restringir los resultados.

En este artículo ha aprendido cómo empezar a investigar incidentes mediante Microsoft Sentinel. Para obtener más información, consulte:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-06-23