Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel

En este artículo se describe cómo una solución de Administración de eventos e información de seguridad (SIEM) como Microsoft Sentinel puede usar indicadores de amenaza para detectar ciberamenazas existentes o potenciales, proporcionar contexto e informar de las respuestas correspondientes.

La inteligencia sobre ciberamenazas (CTI) puede proceder de muchos lugares; por ejemplo, fuentes de distribución de datos de código abierto, comunidades que comparten inteligencia sobre amenazas, fuentes de inteligencia de pago e investigaciones de seguridad dentro de las organizaciones. La CTI puede abarcar desde informes escritos sobre las motivaciones, la infraestructura y las técnicas de un actor de amenaza hasta observaciones específicas sobre direcciones IP, dominios y hash de archivo. La CTI proporciona un contexto esencial para actividades inusuales a fin de que el personal de seguridad pueda actuar rápidamente para proteger las personas y los recursos.

La CTI más utilizada en soluciones SIEM como Microsoft Sentinel son los datos indicadores de amenazas, a veces denominados indicadores de riesgo (IOC). Los indicadores de amenazas asocian direcciones URL, hash de archivo, direcciones IP y otros datos con una actividad de amenaza conocida, como el phishing, las redes de bots (botnets) o el malware. Esta forma de inteligencia sobre amenazas suele llamarse inteligencia sobre amenazas táctica porque los productos de seguridad y automatización pueden usarla a gran escala para proteger y detectar posibles amenazas. Microsoft Sentinel puede ayudar a detectar ciberactividades maliciosas, responder a ellas y proporcionar el contexto de CTI.

Posibles casos de uso

• Conéctese a los datos del indicador de amenazas de código abierto de los servidores públicos para identificar actividades de amenazas, analizarlas y responder a ellas.
• Use las plataformas de inteligencia sobre amenazas existentes o las soluciones personalizadas con la API tiIndicators de Microsoft Graph conectarse a los datos indicadores de amenazas y controlar el acceso a ellos.
• Proporcione contexto e informes de CTI para los investigadores de seguridad y las partes interesadas.

Architecture

Flujo de trabajo

Puede usar Microsoft Sentinel para lo siguiente:

• Importar indicadores de amenaza de servidores de Structured Threat Information Expression (STIX) y Trusted Automated Exchange of Intelligence Information (TAXII) o de cualquier solución de Plataforma de inteligencia sobre amenazas (TIP) .
• Ver y consultar los datos de indicadores de amenazas.
• Crear reglas de análisis para generar alertas de seguridad, incidentes y respuestas automatizadas a partir de datos de CTI.
• Visualizar información clave de CTI de libros.

Conectores de datos del indicador de amenazas

Para importar indicadores de amenazas, como cualquier otro dato de eventos, Microsoft Sentinel usa conectores de datos. Los dos conectores de datos de Microsoft Sentinel para los indicadores de amenaza son Inteligencia sobre amenazas: TAXII y Plataformas de inteligencia sobre amenazas. Puede usar uno o ambos conectores de datos, dependiendo del origen de los datos indicadores de amenazas de la organización. Habilite los conectores de datos en cada área de trabajo en que quiera que se reciban datos.

Conector de datos Inteligencia sobre amenazas: TAXII

El estándar del sector más popular para la transmisión de CTI es el formato de datos STIX y el protocolo TAXII. Las organizaciones que reciben indicadores sobre amenazas de soluciones de la versión 2.x de STIX/TAXII actual, pueden usar el conector de datos Inteligencia sobre amenazas: TAXII para importar los indicadores de amenaza a Microsoft Sentinel. El cliente TAXII integrado de Microsoft Sentinel importa inteligencia sobre amenazas de servidores TAXII 2.x.

Para obtener instrucciones detalladas para la importación de datos de indicadores de amenazas STIX/TAXII en Microsoft Sentinel, consulte Importar indicadores de amenazas con el conector de datos TAXII.

Conector de datos de plataformas de inteligencia sobre amenazas

Muchas organizaciones usan soluciones de TIP como MISP, Anomali ThreatStream, ThreatConnect o Palo Alto Networks MineMeld para agregar fuentes de indicadores de amenazas de diversos orígenes. Las organizaciones usan TIP para seleccionar los datos y, a continuación, elegir qué indicadores de amenazas se aplicarán a varias soluciones de seguridad, como dispositivos de red, soluciones de protección contra amenazas avanzadas o SIEM como Microsoft Sentinel. El conector de datos de plataformas de inteligencia sobre amenazas permite a las organizaciones usar su solución de TIP integrada con Microsoft Sentinel.

El conector de datos Plataformas de inteligencia sobre amenazas usa la API Security tiIndicators de Microsoft Graph. Cualquier organización que tenga una TIP personalizada puede usar este conector de datos para aprovechar la API tiIndicators y enviar indicadores a Microsoft Sentinel y a otras soluciones de seguridad de Microsoft, como ATP de Defender.

Para obtener instrucciones detalladas para la importación de datos de TIP en Microsoft Sentinel, consulte Importar indicadores de amenazas con el conector de datos de plataformas.

Registros de indicadores de amenazas

Después de importar indicadores de amenazas en Microsoft Sentinel mediante los conectores de datos Inteligencia sobre amenazas: TAXII o Plataformas de inteligencia sobre amenazas, puede ver los datos importados en la tabla ThreatIntelligenceIndicator de Registros, donde se almacenan todos los datos de eventos de Microsoft Sentinel. Las características de Microsoft Sentinel como Analytics y Libros también usan esta tabla.

Para ver los indicadores de amenazas:

1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

   

2. Seleccione el área de trabajo en que ha importado indicadores de amenazas.

3. En el panel de navegación izquierdo, seleccione Registros.

4. En la pestaña Tablas, busque y seleccione la tabla ThreatIntelligenceIndicator.

5. Seleccione el icono vista previa de datos junto al nombre de la tabla para ver los datos de la tabla.

6. Seleccione Ver en el editor de consultas y, a continuación, seleccione la flecha desplegable situada a la izquierda de cualquiera de los resultados para ver información como en el ejemplo siguiente:

   

Análisis de Microsoft Sentinel

El uso más importante de los indicadores de amenazas en las soluciones SIEM es el de facilitar análisis que asocien eventos con indicadores de amenazas a fin de producir alertas de seguridad, incidentes y respuestas automatizadas. El Análisis de Microsoft Sentinel crear reglas de análisis que se desencadenan según la programación para generar alertas. Los parámetros de regla se expresan como consultas y se configura la frecuencia con la que se ejecuta la regla, los resultados de la consulta que generan alertas e incidentes de seguridad y las respuestas automatizadas a las alertas.

Puede crear nuevas reglas de análisis desde cero o partir de un conjunto de plantillas de reglas de Microsoft Sentinel que puede usar tal cual o modificar para satisfacer sus necesidades. Las plantillas de reglas de análisis que coinciden con los indicadores de amenaza con los datos de evento se titulan a partir del mapa de TI y funcionan de forma similar. Las diferencias son qué tipo de indicadores de amenazas se usan: dominio, correo electrónico, hash de archivo, dirección IP o dirección URL y con qué tipos de evento deben coincidir. En cada plantilla se muestran los orígenes de datos requeridos para el funcionamiento de la regla, de modo que puede ver a simple vista si tiene ya importados los eventos necesarios en Microsoft Sentinel.

Para obtener instrucciones detalladas sobre cómo crear una regla de análisis a partir de una plantilla, consulte Crear una regla de análisis a partir de una plantilla.

En Microsoft Sentinel, las reglas de análisis habilitadas están en la pestaña Reglas activas de la sección Análisis. Puede editar, habilitar, deshabilitar, duplicar o eliminar las reglas activas.

Las alertas de seguridad generadas están en la tabla SecurityAlert de la sección Registros de Microsoft Sentinel. Las alertas de seguridad también generan incidentes de seguridad, que se encuentran en la sección Incidentes. Los equipos de operaciones de seguridad seleccionan e investigan los incidentes para determinar las respuestas adecuadas. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.

También puede establecer que se desencadene la automatización cuando las reglas generen alertas de seguridad. La automatización en Microsoft Sentinel usa cuadernos de estrategias con tecnología de Azure Logic Apps. Para más información, consulte Tutorial: Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel.

Libro de inteligencia sobre amenazas de Microsoft Sentinel

Los libros proporcionan paneles interactivos eficaces que proporcionan información sobre todos los aspectos de Microsoft Sentinel. Puede usar un libro de Microsoft Sentinel para visualizar la información de CTI clave. Las plantillas proporcionadas ofrecen un punto de partida y puede personalizarlas fácilmente según sus necesidades empresariales, crear nuevos paneles que combinen muchos orígenes de datos diferentes y visualizar los datos de maneras únicas. Los libros de Microsoft Sentinel se basan en los libros de Azure Monitor, de modo que ya hay una gran cantidad de documentación y plantillas disponibles.

Para obtener instrucciones detalladas sobre cómo ver y editar el libro de inteligencia sobre amenazas de Microsoft Sentinel, consulte Ver y editar el libro de inteligencia sobre amenazas.

Alternativas

• Los indicadores de amenazas proporcionan un contexto útil en otras experiencias de Microsoft Sentinel, como búsquedas y cuadernos. Para obtener más información sobre el uso de CTI en cuadernos, consulte Jupyter Notebook en Sentinel.

• Cualquier organización que tenga una TIP personalizada puede usar la API Security tiIndicators de Microsoft Graph para enviar indicadores de amenaza a otras soluciones de seguridad de Microsoft, como ATP de Defender.

• Microsoft Sentinel proporciona muchos otros conectores de datos integrados a soluciones de Microsoft, como Protección contra amenazas de Microsoft, orígenes de Microsoft 365 y Microsoft Defender for Cloud Apps. Además, hay conectores integrados en el amplio ecosistema de seguridad para soluciones que no son de Microsoft. También puede usar el formato de evento común, Syslog o la API de REST para conectar los orígenes de datos con Microsoft Sentinel. Para obtener más información, consulte Conexión con orígenes de datos.

Consideraciones

• Los conectores de datos de inteligencia sobre amenazas de Microsoft Sentinel se encuentran actualmente en versión preliminar pública. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.

• Microsoft Sentinel usa el control de acceso basado en roles de Azure (RBAC de Azure) para asignar los roles integrados de Colaborador, Lector y Respondedor a usuarios, grupos y servicios de Azure. Estos pueden interactuar con los roles de Azure (Propietario, Colaborador, Lector) y los de Log Analytics (lector de Log Analytics, colaborador de Log Analytics). Puede crear roles personalizados y usar RBAC de Azure avanzado en los datos que almacena en Microsoft Sentinel. Para más información, consulte Permisos de Microsoft Sentinel.

• Microsoft Sentinel es gratuito durante los primeros 31 días de cualquier área de trabajo de Log Analytics de Azure Monitor. Después, puede usar los modelos de reserva de capacidad y pago por uso para los datos que se ingieren y almacenan. Para más información, consulte Precios de Microsoft Sentinel.

Implementación de este escenario

En las siguientes secciones se proporcionan pasos detallados para:

• habilitar los conectores de datos Inteligencia sobre amenazas: TAXII y Plataformas de inteligencia sobre amenazas;
• crear un ejemplo de regla de análisis de Microsoft Sentinel para generar alertas e incidentes de seguridad a partir de los datos de CTI;
• ver y editar el libro de inteligencia sobre amenazas de Microsoft Sentinel.

Importar indicadores de amenaza con el conector de datos TAXII

Los servidores TAXII 2.x anuncian raíces de API, que son direcciones URL que hospedan colecciones de inteligencia sobre amenazas. Si ya sabe con qué Raíz de API e Id. de colección del servidor TAXII quiere trabajar, puede omitir este paso y habilitar el conector TAXII en Microsoft Sentinel.

Si no tiene la raíz de la API, normalmente puede obtenerla en la página de documentación del proveedor de inteligencia sobre amenazas, pero, a veces, la única información disponible es la dirección URL del punto de conexión de detección. Puede encontrar la raíz de la API mediante el punto de conexión de detección. En el ejemplo siguiente se usa el extremo de detección del servidor TAXII 2.0 de ThreatStream Anomali Limo.

1. Desde un explorador, navegue hasta el punto de conexión de detección del servidor TAXII 2.0, https://limo.anomali.com/taxii, e inicie sesión con el nombre de usuario guest y la contraseña guest. Después de iniciar sesión, verá la información siguiente:

   {
      "api_roots":
      [
          "https://limo.anomali.com/api/v1/taxii2/feeds/",
          "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
          "https://limo.anomali.com/api/v1/taxii2/search_filters/"
      ],
      "contact": "info@anomali.com",
      "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
      "description": "TAXII 2.0 Server (guest)",
      "title": "ThreatStream Taxii 2.0 Server"
   }
   

2. Para examinar colecciones, especifique la Raíz de API que obtuvo del paso anterior en el explorador: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Verá información como la siguiente:

   {
    "collections":
    [
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "107",
            "title": "Phish Tank"
        },
            ...
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "41",
            "title": "CyberCrime"
        }
    ]
   }
   

Ahora tiene la información que necesita para conectar Microsoft Sentinel a una o varias colecciones del servidor TAXII proporcionadas por Anomali Limo. Por ejemplo:

Para habilitar el conector de datos Inteligencia sobre amenazas: TAXII en Microsoft Sentinel:

1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

2. Seleccione el área de trabajo donde quiera importar indicadores de amenazas desde el servicio TAXII.

3. Seleccione Conectores de datos en el panel de navegación izquierdo, busque y seleccione Inteligencia sobre amenazas: TAXII (versión preliminar) y seleccione Open connector page (Abrir página del conector).

4. En la página Configuración, escriba un Nombre descriptivo (para el servidor) , como el título de la colección, la URL raíz de la API y el Id. de colección que quiera importar, así como el Nombre de usuario y la Contraseña, si es necesario. A continuación, seleccione Agregar.

   

Podrá ver la conexión en la Lista de servidores TAXII 2.0 configurados. Repita la configuración para cada colección que quiera conectar desde el mismo servidor TAXII o uno distinto.

Importación de indicadores de amenaza con el conector de datos Plataformas

La API tiIndicators necesita el Id. de aplicación (cliente), Id. de directorio (inquilino) y Secreto de cliente de la TIP o solución personalizada para conectarse a indicadores de amenaza y enviarlos a Microsoft Sentinel. Para obtener esta información, registre la TIP o aplicación de solución en Azure Active Directory (Azure AD) y concédale los permisos necesarios.

En primer lugar, registre la aplicación en Azure AD:

1. En Azure Portal, busque y seleccione Registros de aplicaciones y, a continuación, Nuevo registro.

2. En la página Registrar una aplicación, escriba un nombre para el registro de la TIP o aplicación de solución personalizada, seleccione Solo las cuentas de este directorio organizativo y, a continuación, elija Registrar.

   

3. Una vez completado el registro, copie y guarde los valores de Id. de aplicación (cliente) e Id. de directorio (inquilino) de la página Información general de la aplicación registrada.

A continuación, conceda los permisos para la TIP o solución personalizada para conectarse a la API tiIndicators de Microsoft Graph y enviar indicadores de amenaza. Un administrador global de Azure AD también debe conceder el consentimiento a la aplicación para su organización.

1. Seleccione permisos de API en el panel de navegación izquierdo de la TIP o aplicación de solución personalizada y, a continuación, Agregar un permiso.

2. En la página Solicitud de permisos de API, seleccione Microsoft Graph y, después, Permisos de la aplicación.

3. Busque y seleccione ThreatIndicators.ReadWrite.OwnedBy, y, a continuación, elija Agregar permisos.

   

4. Seleccione Conceder consentimiento del administrador para <su inquilino> en la página Permisos de API de la aplicación para conceder consentimiento para la organización. Si no tiene el rol de administrador global en su cuenta, este botón está deshabilitado. Pida a un administrador global de la organización que realice este paso. Una vez que se haya concedido el consentimiento a la aplicación, debería ver una marca de verificación verde en Estado.

   

5. Una vez concedidos los permisos y el consentimiento, seleccione Certificados y secretos en el panel de navegación izquierdo de la aplicación y elija Nuevo secreto de cliente.

6. Seleccione Agregar para obtener una clave de API secreta para la aplicación.

   

   Asegúrese de copiar y guardar el secreto de cliente ahora, ya que no puede recuperar el secreto una vez que salga de esta página.

En la TIP o solución personalizada integrada, escriba los valores de Id. de aplicación (cliente) , el Id. de directorio (inquilino) y el secreto de cliente que guardó. Establezca Microsoft Sentinel como destino y una acción para cada indicador. La alerta es la acción más importante para la mayoría de usos de Microsoft Sentinel. La API tiIndicators de Microsoft Graph ahora envía indicadores de amenazas a Microsoft Sentinel, que están disponibles para todas las áreas de trabajo de Microsoft Sentinel de la organización.

Por último, habilite el conector de datos Plataformas de inteligencia sobre amenazas de Microsoft Sentinel para importar los indicadores de amenaza que la TIP o solución personalizada envía a la API tiIndicators de Microsoft Graph:

1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.
2. Seleccione el área de trabajo en que quiera importar los indicadores de amenazas de la TIP o solución personalizada.
3. Seleccione Conectores de datos en el panel de navegación izquierdo y, a continuación, busque y seleccione Plataformas de inteligencia sobre amenazas (versión preliminar) . Por último, elija Open connector page (Abrir página del conector).
4. Dado que ya ha completado los pasos de registro y la configuración, seleccione Conectar.

En cuestión de minutos, los indicadores de amenazas de la TIP o solución personalizada deberían empezar a fluir en el área de trabajo de Microsoft Sentinel.

Creación de una regla de análisis a partir de una plantilla

En este ejemplo se usa la plantilla de regla denominada TI map IP entity to AzureActivity, que compara cualquier indicador de amenaza de tipo dirección IP con todos los eventos de direcciones IP de la actividad de Azure. Cualquier correspondencia genera una alerta de seguridad y el incidente correspondiente para que lo investigue el equipo de operaciones de seguridad.

En este ejemplo se asume que ha usado uno o los dos conectores de datos de inteligencia sobre amenazas o ambos (para importar indicadores de amenazas), y el conector de datos Actividad de Azure (para importar los eventos de nivel de suscripción de Azure). Necesita ambos tipos de datos para usar esta regla de análisis correctamente.

1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

2. Seleccione el área de trabajo donde haya importado los indicadores de amenazas con cualquiera de los conectores de datos de inteligencia sobre amenazas.

3. En el panel de navegación izquierdo, seleccione Análisis.

4. En la pestaña Plantillas de reglas, busque y seleccione la regla (versión preliminar) TI map IP entity to AzureActivity y, a continuación, seleccione Crear regla.

5. En la primera página Asistente para reglas de análisis > Create new rule from template (Crear nueva regla a partir de la plantilla) , asegúrese de que la regla Estado esté establecida en Habilitado y cambie el nombre o la descripción de la regla si quiere. Seleccione Siguiente: Establecer la lógica de la regla.

   

   La página de la lógica de reglas contiene la consulta de la regla, las entidades que se van a asignar, la programación de reglas y el número de resultados de la consulta que generan una alerta de seguridad. La configuración de la plantilla se ejecuta una vez cada hora, identifica cualquier IoC de dirección IP que coincida con cualquiera de las direcciones IP de eventos de Azure y genera alertas de seguridad para todas las coincidencias. Puede conservar esta configuración o cambiarla para satisfacer sus necesidades. Al acabar, seleccione Siguiente: Configuración de incidentes (versión preliminar) .

6. En Configuración de incidentes (versión preliminar) , asegúrese de que la opción Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis esté establecida en Habilitado y seleccione Siguiente: Respuesta automatizada.

   Este paso le permite configurar la automatización para que se desencadene cuando la regla genere una alerta de seguridad. La automatización en Microsoft Sentinel usa cuadernos de estrategias con tecnología de Azure Logic Apps. Para más información, consulte Tutorial: Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel. En este ejemplo, solo tiene que seleccionar Siguiente: Revisar y, después de revisar la configuración, seleccione Crear.

La regla se activa inmediatamente cuando se crea y, en adelante, se desencadena en la programación normal.

Visualización y edición del libro de inteligencia sobre amenazas

1. En Azure Portal, busque Microsoft Sentinel y selecciónelo.

2. Seleccione el área de trabajo donde haya importado los indicadores de amenazas con cualquiera de los conectores de datos de inteligencia sobre amenazas.

3. En el panel de navegación izquierdo, seleccione Libros.

4. Busque y seleccione el libro titulado Inteligencia sobre amenazas.

5. Asegúrese de que tiene los datos y las conexiones necesarios tal y como se muestra y, a continuación, seleccione Guardar.

   

   En la ventana emergente, seleccione una ubicación y, a continuación, Aceptar. En este paso se guarda el libro para que pueda modificarlo y guardar los cambios.

6. Seleccione Ver libro guardado para abrir el libro y ver los gráficos predeterminados que proporciona la plantilla.

Para editar el libro, seleccione Editar en la barra de herramientas de la parte superior de la página. Puede seleccionar Editar junto a cualquier gráfico para editar la consulta y la configuración de dicho gráfico.

Para agregar un nuevo gráfico que muestre los indicadores de amenaza por tipo de amenaza:

1. Seleccione Editar en la parte superior de la página, desplácese hasta la parte inferior de la página, seleccione Agregar y, a continuación, Agregar consulta.

2. En Log Analytics workspace Logs Query (Consulta de registros del área de trabajo de Log Analytics), escriba la consulta siguiente:

   
   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

3. Seleccione Gráfico de barras en la lista desplegable Visualización y, a continuación, seleccione Edición finalizada.

4. En la parte superior de la página, seleccione Edición finalizada y, después, seleccione el icono Guardar para guardar el nuevo gráfico y el libro.

   

Pasos siguientes

Visite Microsoft Sentinel en GitHub para ver las contribuciones de la comunidad en general y de Microsoft. Aquí encontrará nuevas ideas, plantillas y conversaciones sobre todas las áreas destacadas de Microsoft Sentinel.

Los libros de Microsoft Sentinel se basan en los libros de Azure Monitor, de modo que ya hay una gran cantidad de documentación y plantillas disponibles. Un buen punto de partida es el artículo Creación de informes interactivos con los libros de Azure Monitor. Hay una completa comunidad de usuarios del libro de Azure Monitor en GitHub donde puede descargar plantillas adicionales y aportar sus propias plantillas.

Para más información sobre las tecnologías destacadas, consulte los siguientes artículos:

• ¿Qué es Microsoft Sentinel?
• Inicio rápido: Incorporación a Microsoft Sentinel
• API Security tiIndicators de Microsoft Graph
• Tutorial: Investigación de incidentes con Microsoft Sentinel
• Tutorial: Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel

Recursos relacionados

• Automatización de la integración de Sentinel con Azure DevOps
• Supervisión de la seguridad híbrida mediante Microsoft Defender for Cloud y Microsoft Sentinel
• Soluciones de seguridad de Azure para AWS
• Supervisión de la seguridad híbrida mediante Microsoft Defender for Cloud y Microsoft Sentinel