Compartir a través de

Excluir las reglas de análisis de la correlación en Microsoft Defender XDR (versión preliminar)

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo excluir reglas de análisis específicas del motor de correlación de Microsoft Defender XDR. Esta característica ayuda a las organizaciones a migrar desde Microsoft Sentinel mantener un comportamiento predecible de incidentes y garantizar la compatibilidad con los flujos de trabajo de automatización existentes.

Información general

Microsoft Defender XDR agrupa varias alertas e incidentes en casos de ataque unificados. Aunque esta funcionalidad proporciona información de seguridad eficaz, puede dar lugar a un comportamiento inesperado para las organizaciones que migran desde Microsoft Sentinel, donde los incidentes son estáticos y determinados únicamente por las configuraciones de reglas de análisis.

Al excluir reglas de análisis específicas de la correlación, puede asegurarse de que las alertas generadas por esas reglas omitan el motor de correlación y se agrupen en incidentes exactamente como lo hicieron en Microsoft Sentinel, en función solo de la configuración de agrupación de la regla de análisis.

Para más información sobre cómo funciona la correlación en Microsoft Defender XDR, consulte Combinación de incidentes y correlación de alertas en el portal de Microsoft Defender.

Requisitos previos

Para excluir las reglas de análisis de la correlación, necesita los permisos siguientes:

Microsoft Sentinel los usuarios colaboradores con este rol de Azure pueden administrar Microsoft Sentinel datos del área de trabajo SIEM, incluidas alertas y detecciones.

Funcionamiento de la exclusión

Al excluir una regla de análisis de la correlación:

  • Cualquier alerta generada por esa regla omite el motor de correlación.
  • Las alertas se agrupan en incidentes basándose únicamente en la configuración de agrupación de la regla de análisis.
  • El comportamiento coincide con la forma en que se crearon incidentes en Microsoft Sentinel
  • La regla funciona independientemente de la lógica de correlación que normalmente crea casos de ataque

Esta exclusión se controla agregando la #DONT_CORR# etiqueta al principio de la descripción de la regla.

Excluir una regla de la correlación mediante la interfaz de usuario

Puede excluir una regla de análisis de la correlación mediante un botón de alternancia en el Asistente para reglas de análisis.

  1. Vaya al portal de Microsoft Defender e inicie sesión.

  2. Vaya al Asistente para reglas de Analytics.

  3. En la pestaña General del asistente para reglas, escriba y el nombre y la descripción.

  4. En la pestaña Establecer lógica de regla , configure la lógica de regla según sea necesario.

  5. En la pestaña Configuración de incidentes , asegúrese de que el botón de alternancia Habilitar correlación esté establecido en Deshabilitado.

    Captura de pantalla de la interfaz de usuario de configuración de incidentes con el botón de alternancia Habilitar correlación establecido en Deshabilitado.

  6. Establezca el botón de alternancia en Activado para excluir la regla de la correlación.

Al excluir una regla mediante el botón de alternancia de la interfaz de usuario, la #DONT_CORR# etiqueta se agrega automáticamente al principio de la descripción de la regla. La vista de reglas de análisis ahora incluye una columna para el estado de correlación para que pueda ver fácilmente qué reglas se excluyen, así como filtrar la lista para ver las reglas en un estado específico.

Captura de pantalla de la vista de reglas de análisis con la columna De estado de correlación.

Exclusión manual de una regla de la correlación

Puede agregar o quitar manualmente la #DONT_CORR# etiqueta para controlar el estado de correlación de una regla de análisis.

Agregar la etiqueta manualmente

  1. Abra la regla de análisis en modo de edición.

  2. En el campo Descripción de la regla, agregue #DONT_CORR# al principio del texto.

  3. Guarde la regla.

Control de la exclusión de correlación a través de la API

Puede controlar mediante programación el estado de exclusión de las reglas de análisis agregando o quitando la #DONT_CORR# etiqueta a través de la API de análisis.

Para modificar el estado de correlación de una regla:

  1. Use la API de Microsoft Defender XDR para recuperar la configuración actual de la regla.

  2. Agregue o quite la #DONT_CORR# etiqueta al principio del campo de descripción de la regla.

  3. Actualice la regla mediante la API.

Para obtener más información sobre el uso de la API de Microsoft Defender XDR, consulte introducción a las API de Microsoft Defender XDR.

Consideraciones importantes

Tenga en cuenta los siguientes puntos al usar la exclusión de correlación:

  • El estado de correlación siempre coincide con la etiqueta . Si excluye una regla mediante el botón de alternancia de la interfaz de usuario y, a continuación, quita manualmente la #DONT_CORR# etiqueta de la descripción, el estado de correlación de la regla se revierte a Correlación habilitada.

  • Todas las reglas de análisis tienen la correlación habilitada de forma predeterminada a menos que se excluya explícitamente.

  • Incluso cuando una regla se excluye de la correlación, si se define una regla de análisis con un título dinámico, el título del incidente en el portal de Defender podría ser diferente del título de Microsoft Sentinel. El título Microsoft Sentinel es el título de la primera alerta y, en Defender, vuelve a la táctica común de MITRE de todas las alertas.

  • Cambiar el estado de correlación de una regla no afecta a las alertas creadas antes del cambio. Las alertas reciben su estado de correlación cuando se crean y este estado permanece estático.

  • El motor de correlación está diseñado para crear historias de ataque completas y ayuda significativamente a los analistas de SOC a comprender los ataques y responder de forma eficaz. Excluir solo las reglas de la correlación cuando sea necesario para requisitos empresariales o operativos específicos.

  • Reglas de formato de etiquetas

    • No distingue mayúsculas de minúsculas : puede usar cualquier combinación de letras mayúsculas y minúsculas (por ejemplo, #dont_corr# o #DONT_CORR#).
    • El espaciado es flexible : puede agregar cualquier número de espacios entre la etiqueta y el resto de la descripción, o bien sin espacios.
    • Debe estar al principio : la etiqueta debe aparecer al principio del campo de descripción.

Por ejemplo, las siguientes son todas las descripciones válidas:

  • #DONT_CORR# Esta regla detecta intentos de inicio de sesión sospechosos
  • #dont_corr# Esta regla supervisa las modificaciones de archivos
  • La regla #DONT_CORR#This no tiene espacio después de la etiqueta

Pasos siguientes

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

  • Last updated on