Crear reglas de detección personalizadas

Las reglas de detección personalizadas son reglas que diseña y ajusta mediante consultas de búsqueda avanzadas . Estas reglas le permiten supervisar proactivamente varios eventos y estados del sistema, incluida la sospecha de actividad de infracción y puntos de conexión mal configurados. Puede configurarlas para que se ejecuten a intervalos regulares, generando alertas y llevando a cabo acciones de respuesta siempre que haya coincidencias.

Permisos necesarios para administrar detecciones personalizadas

Para administrar las detecciones personalizadas, necesita roles que le permitan administrar los datos de destino de estas detecciones. Por ejemplo, para administrar detecciones personalizadas en varios orígenes de datos (Microsoft Defender XDR y Microsoft Sentinel, o varias cargas de trabajo de Defender), necesita todos los roles de Defender XDR y Sentinel aplicables. Para obtener más información, consulte las secciones siguientes.

Microsoft Defender XDR

Para administrar las detecciones personalizadas en Microsoft Defender XDR datos, debe tener asignado uno de estos roles:

• Configuración de seguridad (administrar): los usuarios con este permiso de Microsoft Defender XDR pueden administrar la configuración de seguridad en el portal de Microsoft Defender.

• Administrador de seguridad: los usuarios con este rol de Microsoft Entra pueden administrar la configuración de seguridad en el portal de Microsoft Defender y en otros portales y servicios.

• Operador de seguridad: los usuarios con este rol de Microsoft Entra pueden administrar alertas y tener acceso global de solo lectura a características relacionadas con la seguridad, incluida toda la información del portal de Microsoft Defender. Este rol es suficiente para administrar las detecciones personalizadas solo si el control de acceso basado en rol (RBAC) está desactivado en Microsoft Defender para punto de conexión. Si tiene RBAC configurado, también necesita el permiso Administrar configuración de seguridad para Defender para punto de conexión.

Puede administrar las detecciones personalizadas que se aplican a los datos de soluciones de Defender XDR específicas si tiene los permisos adecuados para ellas. Por ejemplo, si solo tiene permisos de administración para Microsoft Defender para Office 365, puede crear detecciones personalizadas mediante Email* tablas, pero no Identity* tablas.

Del mismo modo, dado que la IdentityLogonEvents tabla contiene información de actividad de autenticación de Microsoft Defender for Cloud Apps y Defender for Identity, debe tener permisos de administración para que ambos servicios administren detecciones personalizadas que consultan dicha tabla.

Microsoft Sentinel

Para administrar las detecciones personalizadas en Microsoft Sentinel datos, debe tener asignado el rol colaborador de Microsoft Sentinel. Los usuarios con este rol de Azure pueden administrar Microsoft Sentinel datos del área de trabajo SIEM, incluidas alertas y detecciones. Puede asignar este rol en un área de trabajo principal específica, Azure grupo de recursos o en una suscripción completa.

Administración de los permisos necesarios

Para administrar los permisos necesarios, un administrador global puede:

• Asigne el rol Administrador de seguridad o Operador de seguridad en Centro de administración de Microsoft 365 en Roles>Administrador de seguridad.

• Compruebe la configuración de RBAC para Microsoft Defender para punto de conexión en Microsoft Defender XDR enRolesde permisos>de configuración>. Seleccione el rol correspondiente para asignar el permiso administrar la configuración de seguridad .

Creación de una regla de detección personalizada

1. Preparar la consulta

En el portal de Microsoft Defender, vaya a Búsqueda avanzada y seleccione una consulta existente o cree una nueva consulta. Cuando use una nueva consulta, ejecute la consulta para identificar errores y comprender los posibles resultados.

Columnas necesarias en los resultados de la consulta

Para crear una regla de detección personalizada mediante Defender XDR datos, la consulta debe devolver las columnas siguientes:

1. Timestamp o TimeGenerated bien: esta columna establece la marca de tiempo para las alertas generadas. La consulta no debe manipular esta columna y debe devolverla exactamente como aparece en el evento sin procesar.

2. Para las detecciones basadas en tablas XDR, una columna o combinación de columnas que identifican de forma única el evento en estas tablas:

   • Para Microsoft Defender para punto de conexión tablas, las Timestampcolumnas , DeviceIdy ReportId deben aparecer en el mismo evento.
   • En el caso de las tablas De alerta*, Timestamp debe aparecer en el evento
   • Para las tablas Timestampobservation* y ObservationId debe aparecer en el mismo evento
   • Para todos los demás, Timestamp y ReportId deben aparecer en el mismo evento

3. Columna que contiene un identificador seguro para un recurso afectado. Para asignar automáticamente un recurso afectado en el asistente, proyecte una de las siguientes columnas que contengan un identificador seguro para un recurso afectado:

   • DeviceId
   • DeviceName
   • RemoteDeviceName
   • RecipientEmailAddress
   • SenderFromAddress (remitente de sobre o dirección de la Ruta de Devolución),
   • SenderMailFromAddress (dirección de remitente mostrada por el cliente de correo electrónico).
   • SenderObjectId
   • RecipientObjectId
   • AccountObjectId
   • AccountSid
   • AccountUpn
   • InitiatingProcessAccountSid
   • InitiatingProcessAccountUpn
   • InitiatingProcessAccountObjectId

Las consultas simples, como las que no usan el project operador o summarize para personalizar o agregar resultados, suelen devolver estas columnas comunes.

Hay varias maneras de garantizar que las consultas más complejas devuelvan estas columnas. Por ejemplo, si prefiere agregar y contar por entidad en una columna como DeviceId, todavía puede devolverlas Timestamp y ReportId obtenerlas del evento más reciente que implica cada único DeviceId.

La consulta de ejemplo siguiente cuenta el número de dispositivos únicos (DeviceId) con detecciones antivirus y usa este recuento para buscar solo los dispositivos con más de cinco detecciones. Para devolver la versión más reciente Timestamp y la correspondiente ReportId, usa el summarize operador con la arg_max función .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2. Crear nueva regla y proporcionar detalles de alerta

Con la consulta en el editor de consultas, seleccione Crear regla de detección y especifique los siguientes detalles de alerta:

• Nombre de detección : nombre de la regla de detección; debe ser único.
• Frecuencia : intervalo para ejecutar la consulta y realizar acciones. Consulte más instrucciones en la sección frecuencia de regla.
• Título de alerta : título mostrado con alertas desencadenadas por la regla; debe ser único y en texto sin formato. Las cadenas se desinfectan por motivos de seguridad, por lo que HTML, Markdown y otro código no funcionan. Las direcciones URL incluidas en el título deben seguir el formato de codificación de porcentaje para que se muestren correctamente.
• Gravedad : riesgo potencial del componente o la actividad identificados por la regla.
• Categoría : componente de amenaza o actividad identificado por la regla.
• Técnicas de MITRE ATT&CK : una o varias técnicas de ataque identificadas por la regla, tal como se documenta en el marco DE ATT de MITRE&CK. Esta sección está oculta para ciertas categorías de alertas, incluyendo malware, ransomware, actividad sospechosa y software no deseado.
• Informe de análisis de amenazas : vincule la alerta generada a un informe de análisis de amenazas existente para que aparezca en la pestaña Incidentes relacionados en análisis de amenazas.
• Descripción : más información sobre el componente o la actividad identificados por la regla. Las cadenas se desinfectan por motivos de seguridad, por lo que HTML, Markdown y otro código no funcionan. Las direcciones URL incluidas en la descripción deben seguir el formato de codificación de porcentaje para que se muestren correctamente.
• Acciones recomendadas : acciones adicionales que los respondedores pueden realizar en respuesta a una alerta.

Frecuencia de regla

Al guardar una nueva regla, se ejecuta y comprueba si hay coincidencias de los últimos 30 días de datos. A continuación, la regla se ejecuta de nuevo a intervalos fijos, aplicando un período de reversión en función de la frecuencia que elija:

• Cada 24 horas : se ejecuta cada 24 horas, comprobando los datos de los últimos 30 días.
• Cada 12 horas : se ejecuta cada 12 horas, comprobando los datos de las últimas 48 horas.
• Cada 3 horas : se ejecuta cada 3 horas, comprobando los datos de las últimas 12 horas.
• Cada hora : se ejecuta por hora, comprobando los datos de las últimas 4 horas.
• Continuo (NRT): se ejecuta continuamente, comprobando los datos de los eventos a medida que se recopilan y procesan casi en tiempo real (NRT), consulte Frecuencia continua (NRT).
• Personalizado : se ejecuta según la frecuencia seleccionada. Esta opción está disponible si la regla solo se basa en los datos que se ingieren para Microsoft Sentinel, consulte Frecuencia personalizada para Microsoft Sentinel datos (versión preliminar).

Al editar una regla, los cambios se aplican en el siguiente tiempo de ejecución programado según la frecuencia establecida. La frecuencia de la regla se basa en la marca de tiempo del evento y no en el tiempo de ingesta. También puede haber pequeños retrasos en ejecuciones específicas, por lo que la frecuencia configurada no es 100 % precisa.

Frecuencia continua (NRT)

Establecer una detección personalizada para que se ejecute en la frecuencia continua (NRT) aumenta la capacidad de la organización para identificar las amenazas más rápido. El uso de la frecuencia continua (NRT) tiene un impacto mínimo o nulo en el uso de los recursos y, por tanto, debe tenerse en cuenta para cualquier regla de detección personalizada calificada en su organización.

En la página reglas de detección personalizadas, puede migrar reglas de detecciones personalizadas que se ajusten a la frecuencia continua (NRT) con un solo botón, Migrar ahora:

Al seleccionar Migrar ahora se proporciona una lista de todas las reglas compatibles según su consulta de KQL. Puede elegir migrar todas las reglas o seleccionadas solo según sus preferencias:

Una vez que seleccione Guardar, la frecuencia de las reglas seleccionadas se actualizará a La frecuencia continua (NRT).

Consultas que se pueden ejecutar continuamente

Puede ejecutar una consulta continuamente siempre y cuando:

• La consulta solo hace referencia a una tabla.
• La consulta usa un operador de la lista de características de KQL admitidas. (Para matches regex, las expresiones regulares deben codificarse como literales de cadena y seguir las reglas de citas de cadena. Por ejemplo, la expresión \A regular se representa en KQL como "\\A". La barra diagonal inversa adicional indica que la otra barra diagonal inversa forma parte de la expresión \Aregular .
• La consulta no usa combinaciones, uniones ni el externaldata operador .
• La consulta no incluye ninguna línea o información de comentarios.

Tablas que admiten la frecuencia continua (NRT)

Las detecciones casi en tiempo real son compatibles con las tablas siguientes:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (excepto LatestDeliveryLocation y LatestDeliveryAction columnas)
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Frecuencia personalizada para Microsoft Sentinel datos (versión preliminar)

Microsoft Sentinel clientes que se incorporan a Microsoft Defender pueden seleccionar Frecuencia personalizada cuando la regla se basa solo en los datos que se ingieren para Microsoft Sentinel.

Al seleccionar esta opción de frecuencia, aparece la opción Ejecutar consulta cada componente de entrada . Escriba la frecuencia deseada para la regla y use la lista desplegable para seleccionar las unidades: minutos, horas o días. El intervalo admitido es cualquier valor de 5 minutos a 14 días. Al seleccionar una frecuencia, el período de devolución de la vista se determina automáticamente con la siguiente lógica:

1. En el caso de las detecciones establecidas para que se ejecuten con más frecuencia que una vez al día, el retroceso es cuatro veces la frecuencia. Por ejemplo, si la frecuencia es de 20 minutos, la devolución de la vista es de 80 minutos.
2. En el caso de las detecciones establecidas para ejecutarse una vez al día o con menos frecuencia, el retroceso es de 30 días. Por ejemplo, si se establece para ejecutarse cada tres días, el retroceso es de 30 días.

3. Definir detalles de enriquecimiento de alertas

Puede enriquecer las alertas proporcionando y definiendo más detalles, lo que le permite:

• Creación de un título y una descripción de alertas dinámicas
• Agregar detalles personalizados para mostrarlos en el panel lateral de alertas
• Vincular entidades

Creación de un título y una descripción de alertas dinámicas (versión preliminar)

Puede crear dinámicamente el título y la descripción de la alerta mediante los resultados de la consulta para que sean precisas e indicativas. Esta característica puede aumentar la eficacia de los analistas de SOC al evaluar las alertas e incidentes, y al intentar comprender rápidamente la esencia de una alerta.

Para configurar dinámicamente el título o la descripción de la alerta, inténtelos en la sección Detalles de la alerta mediante los nombres de texto libre de las columnas que están disponibles en los resultados de la consulta y que las rodean con dobles corchetes.

Por ejemplo: User {{AccountName}} unexpectedly signed in from {{Location}}

Para ayudarle a decidir los nombres de columna exactos a los que desea hacer referencia, puede seleccionar Explorar consulta y resultados, que abre el panel Contexto de búsqueda avanzada en la parte superior del Asistente para la creación de reglas, donde puede examinar la lógica de consulta y sus resultados.

Agregar detalles personalizados (versión preliminar)

Puede mejorar aún más la productividad de los analistas de SOC mostrando detalles importantes en el panel lateral de alertas. Puede exponer los datos de los eventos en alertas que se construyen a partir de esos eventos. Esta característica proporciona a los analistas de SOC visibilidad inmediata del contenido de los eventos de sus incidentes, lo que les permite evaluar, investigar y extraer conclusiones más rápidamente.

En la sección Detalles personalizados , agregue pares clave-valor correspondientes a los detalles que desea exponer:

• En el campo Clave , escriba un nombre de su elección que aparezca como nombre de campo en las alertas.
• En el campo Parámetro , elija el parámetro de evento que desea mostrar en las alertas de la lista desplegable. Esta lista se rellena con valores correspondientes a los nombres de columna que genera la consulta KQL.

En la captura de pantalla siguiente se muestra cómo se exponen los detalles personalizados en el panel lateral de la alerta:

Vincular entidades

Identifique las columnas de los resultados de la consulta donde espera encontrar la entidad principal afectada. Por ejemplo, una consulta podría devolver direcciones de remitente (SenderFromAddress o SenderMailFromAddress) y destinatario (RecipientEmailAddress). La identificación de cuál de estas columnas representa la entidad principal afectada ayuda al servicio a agregar alertas relevantes, correlacionar incidentes y acciones de respuesta al objetivo.

Solo puede seleccionar una columna para cada tipo de entidad (buzón, usuario o dispositivo). No puede seleccionar columnas que no devuelva la consulta.

Asignación de entidad expandida (versión preliminar)

Puede vincular una amplia gama de tipos de entidad a las alertas. La vinculación de más entidades ayuda a nuestras alertas de grupo de motor de correlación a los mismos incidentes y a correlacionar los incidentes entre sí. Si es un cliente Microsoft Sentinel, esto también significa que puede asignar cualquier entidad desde orígenes de datos de terceros que se ingieren en Microsoft Sentinel.

Para Microsoft Defender XDR datos, las entidades se seleccionan automáticamente. Si los datos proceden de Microsoft Sentinel, debe seleccionar las entidades manualmente.

Hay dos secciones en la sección de asignación de entidades expandida para las que puede seleccionar entidades:

• Activos afectados : agregue recursos afectados que aparecen en los eventos seleccionados. Se pueden agregar los siguientes tipos de recursos:
  • Cuenta
  • Dispositivo
  • Mailbox
  • Aplicación en la nube
  • Recurso de Azure
  • Recurso de Amazon Web Services
  • Recurso de Google Cloud Platform
• Evidencia relacionada : agregue nonassets que aparecen en los eventos seleccionados. Los tipos de entidad admitidos son:
  • Proceso
  • Archivo
  • Valor del Registro
  • IP
  • Aplicación OAuth
  • DNS
  • Grupo de seguridad
  • URL
  • Clúster de correo
  • Mensaje de correo

Después de seleccionar un tipo de entidad, seleccione un tipo de identificador que exista en los resultados de la consulta seleccionados para que se pueda usar para identificar esta entidad. Cada tipo de entidad tiene una lista de identificadores admitidos, como se muestra en el menú desplegable correspondiente. Lea la descripción que se muestra al mantener el puntero sobre cada identificador para comprenderlo mejor.

Después de seleccionar el identificador, seleccione una columna de los resultados de la consulta que contenga el identificador seleccionado. Seleccione Explorar consulta y resultados para abrir el panel de contexto de búsqueda avanzada. Esta opción le permite explorar la consulta y los resultados para asegurarse de elegir la columna correcta para el identificador seleccionado.

4. Especificar acciones

Si la regla de detección personalizada usa Defender XDR datos, puede realizar acciones automáticamente en dispositivos, archivos, usuarios o correos electrónicos que devuelve la consulta.

Acciones en dispositivos

Estas acciones se aplican a los dispositivos de la DeviceId columna de los resultados de la consulta:

• Aislar dispositivo: usa Microsoft Defender para punto de conexión para aplicar el aislamiento de red completo, lo que impide que el dispositivo se conecte a cualquier aplicación o servicio. Obtenga más información sobre Microsoft Defender para punto de conexión aislamiento de máquina.
• Recopilar paquete de investigación : recopila información del dispositivo en un archivo ZIP. Obtenga más información sobre el paquete de investigación de Microsoft Defender para punto de conexión.
• Ejecutar examen antivirus: realiza un examen completo Microsoft Defender antivirus en el dispositivo.
• Iniciar investigación : inicia una investigación automatizada en el dispositivo.
• Restringir la ejecución de aplicaciones: establece restricciones en el dispositivo para permitir que solo se ejecuten los archivos que están firmados con un certificado emitido por Microsoft. Obtenga más información sobre las restricciones de aplicaciones con Microsoft Defender para punto de conexión.

Acciones en archivos

• Cuando se selecciona, la acción Permitir/Bloquear se puede aplicar al archivo. Los archivos de bloqueo solo se permiten si tiene permisos de corrección para los archivos y si los resultados de la consulta han identificado un identificador de archivo, como sha1. Una vez bloqueado un archivo, también se bloquean otras instancias del mismo archivo en todos los dispositivos. Puede controlar a qué grupo de dispositivos se aplica el bloqueo, pero no a dispositivos específicos.

• Cuando se selecciona, la acción Poner en cuarentena archivo se puede aplicar a los archivos de la SHA1columna , InitiatingProcessSHA1, SHA256o InitiatingProcessSHA256 de los resultados de la consulta. Esta acción elimina el archivo de su ubicación actual y coloca una copia en cuarentena.

Acciones en usuarios

• Cuando se selecciona, la acción Marcar al usuario como comprometido se toma en los usuarios de la columna AccountObjectId, InitiatingProcessAccountObjectId o RecipientObjectId en los resultados de la consulta. Esta acción establece el nivel de riesgo de los usuarios en "alto" en Microsoft Entra ID, lo que desencadena las directivas de protección de identidad correspondientes.

• Seleccione Deshabilitar usuario para evitar temporalmente que un usuario inicie sesión.

• Seleccione Forzar el restablecimiento de contraseña para pedir al usuario que cambie su contraseña en la siguiente sesión de inicio de sesión.

• Tanto las Disable user opciones como Force password reset requieren el SID de usuario, que se encuentran en las columnas AccountSid, InitiatingProcessAccountSid, RequestAccountSidy OnPremSid.

Para obtener más información sobre las acciones de usuario, vea Acciones de corrección en Microsoft Defender for Identity.

Acciones en correos electrónicos

• Si la detección personalizada produce mensajes de correo electrónico, puede seleccionar Mover a la carpeta de buzón para mover el correo electrónico a una carpeta seleccionada (cualquiera de las carpetas Correo no deseado, Bandeja de entrada o Elementos eliminados ). En concreto, puede mover los resultados de correo electrónico de elementos en cuarentena (por ejemplo, en el caso de falsos positivos) seleccionando la opción Bandeja de entrada .

  

• Como alternativa, puede seleccionar Eliminar correo electrónico y, a continuación, elegir mover los correos electrónicos a Elementos eliminados (Eliminación temporal) o eliminar los correos electrónicos seleccionados permanentemente (Eliminar de forma rígida).

Las columnas NetworkMessageId y RecipientEmailAddress deben estar presentes en los resultados de salida de la consulta para aplicar acciones a los mensajes de correo electrónico.

5. Establecer el ámbito de regla

Establezca el ámbito para especificar qué dispositivos abarca la regla. El ámbito influye en las reglas que comprueban los dispositivos y no afectan a las reglas que solo comprueban buzones y cuentas de usuario o identidades.

Al establecer el ámbito, puede seleccionar:

• Todos los dispositivos
• Grupos de dispositivos específicos

La regla consulta los datos solo de los dispositivos del ámbito. Realiza acciones solo en esos dispositivos.

6. Revisar y activar la regla

Después de revisar la regla, seleccione Crear para guardarla. La regla de detección personalizada se ejecuta inmediatamente. Se ejecuta de nuevo en función de la frecuencia configurada para comprobar si hay coincidencias, generar alertas y realizar acciones de respuesta.

Cómo controlan las detecciones personalizadas las alertas duplicadas

Una consideración importante al crear y revisar reglas de detección personalizadas es el ruido y la fatiga de alertas. Las detecciones personalizadas agrupan y desduplican eventos en una única alerta. Si una detección personalizada se desencadena dos veces en un evento que contiene las mismas entidades, detalles personalizados y detalles dinámicos, solo crea una alerta para ambos eventos. Si la detección reconoce que los eventos son idénticos, registra solo uno de los eventos de la alerta creada y, a continuación, se encarga de los duplicados, que podrían producirse cuando el período de reversión es más largo que la frecuencia. Si los eventos son diferentes, la detección personalizada registra ambos eventos en la alerta.

Vea también

• Introducción a las detecciones personalizadas
• Administración de detecciones personalizadas
• Información general sobre la búsqueda avanzada de amenazas
• Conozca el lenguaje de consulta de búsqueda avanzada
• Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión
• API de seguridad de Microsoft Graph para detecciones personalizadas