Detección de un ataque avanzado de varias fases en Microsoft Sentinel

Importante

Algunas detecciones de Fusion (consulte las que se indican a continuación) se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Microsoft Sentinel usa Fusion, un motor de correlación basado en algoritmos de aprendizaje automático escalable, para detectar automáticamente ataques de varias fases (también conocidos como amenazas persistentes avanzadas o APT) al identificar combinaciones de comportamientos anómalos y de actividades sospechosas que se observan en diversas fases de la cadena de eliminación. A partir de estas detecciones, Microsoft Sentinel genera incidentes que, de otro modo, serían muy difíciles de detectar. Estos incidentes incluyen dos o más alertas o actividades. Por diseño, estos incidentes tienen poco volumen, alta fidelidad y alta gravedad.

Cuando se personaliza para adaptarla a su entorno, esta tecnología de detección no solo reduce las tasas de falsos positivos, sino que también puede detectar ataques con información limitada o que falta.

Dado que Fusion correlaciona varias señales de diferentes productos para detectar ataques avanzados en varias fases, las detecciones de Fusion correctas se presentan comoincidentes de Fusion en la página Incidentes de Microsoft Sentinel y no como alertas, y se almacenan en la tabla SecurityIncident de Registros y no en la tabla SecurityAlert.

Configuración de Fusion

Fusion está habilitado de forma predeterminada en Microsoft Sentinel como una regla de análisis denominada Detección avanzada de ataques de varias fases. Puede ver y cambiar el estado de la regla, configurar las señales de origen para que se incluyan en el modelo de ML de Fusion o excluir patrones de detección específicos que podrían no ser aplicables a su entorno desde la detección de Fusion. Aprenda a configurar la regla de Fusion.

Nota

Actualmente, Microsoft Sentinel usa 30 días de datos del historial para entrenar los algoritmos de aprendizaje automático de Fusion. Estos datos siempre se cifran mediante las claves de Microsoft cuando pasan por la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante claves administradas por el cliente (CMK) si CMK se ha habilitado en el área de trabajo de Microsoft Sentinel. Para deshabilitar Fusion, vaya a Microsoft Sentinel>Configuración>Análisis > Reglas activas, haga clic con el botón derecho en la regla Detección avanzada de ataques de varias fases y seleccione Deshabilitar.

En las áreas de trabajo de Microsoft Sentinel que se incorporan a la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender, Fusion está deshabilitada, ya que su funcionalidad se reemplaza por el motor de correlación de Microsoft Defender XDR.

Fusion para amenazas emergentes

Importante

• La detección basada en Fusion para amenazas emergentes se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

El volumen de eventos de seguridad sigue creciendo y el ámbito y la sofisticación de los ataques no paran de crecer. Podemos definir los escenarios de ataque conocidos, pero ¿qué pasa con las amenazas emergentes y desconocidas del entorno?

El motor de Fusion con tecnología de ML de Microsoft Sentinel puede ayudarle a encontrar las amenazas emergentes y desconocidas del entorno mediante la aplicación de análisis extendido de ML y la correlación de un ámbito más amplio de señales anómalas al mismo tiempo que reduce la fatiga por alertas.

Los algoritmos de ML del motor de Fusion aprenden constantemente de los ataques existentes y aplican análisis en función de cómo piensan los analistas de seguridad. Por lo tanto, puede detectar amenazas no detectadas previamente de millones de comportamientos anómalos en la cadena de eliminación en todo el entorno, lo que le ayuda a estar un paso por delante de los atacantes.

Fusion para amenazas emergentes admite la recopilación y el análisis de datos de los orígenes siguientes:

• Detección rápida de anomalías
• Alertas de productos de Microsoft:
  • Protección de Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender para IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365
• Alertas de reglas de análisis programadas, tanto integradas como creadas por los analistas de seguridad. Las reglas de análisis deben contener información sobre la cadena de terminación (táctica) y la asignación de entidades para que Fusion las pueda usar.

No es necesario que haya conectado todos los orígenes de datos enumerados anteriormente para que Fusion funcione para las amenazas emergentes. Sin embargo, cuantos más orígenes de datos haya conectado, mayor será la cobertura y más amenazas encontrará Fusion.

Cuando las correlaciones del motor de Fusion generan la detección de una amenaza emergente, se genera un incidente de gravedad alta denominado Possible multistage attack activities detected by Fusion (Posibles actividades de ataque de varias fases detectadas por Fusion) en la tabla de incidentes del área de trabajo de Microsoft Sentinel.

Fusion para ransomware

El motor Fusion de Microsoft Sentinel genera un incidente cuando detecta varias alertas de tipos diferentes de los siguientes orígenes de datos y determina que pueden estar relacionadas con la actividad de ransomware:

• Microsoft Defender for Cloud
• Microsoft Defender para punto de conexión
• Conector de Microsoft Defender for Identity
• Microsoft Defender para aplicaciones en la nube
• Reglas de análisis programadas de Microsoft Sentinel. Fusion solo tiene en cuenta las reglas de análisis programadas con información táctica y entidades asignadas.

Esos incidentes de Fusion se denominan Se han detectado varias alertas posiblemente relacionadas con la actividad de ransomware y se generan cuando se detectan alertas relevantes durante un período de tiempo específico. Además, están asociadas a las fases Ejecución y Evasión defensiva de un ataque.

Por ejemplo, Microsoft Sentinel generaría un incidente para posibles actividades de ransomware si se desencadenan las siguientes alertas en el mismo host en un período de tiempo específico:

Alerta	Source	Gravedad
Error de Windows y eventos de advertencia	Reglas de análisis programadas de Microsoft Sentinel	Informational (Informativa)
Se evitó el ransomware “GandCrab” .	Microsoft Defender for Cloud	medio
Se detectó el malware “Emotet” .	Microsoft Defender para punto de conexión	Informational (Informativa)
Se detectó la puerta trasera "Tofsee" .	Microsoft Defender for Cloud	low
Se detectó el malware “Parite” .	Microsoft Defender para punto de conexión	Informational (Informativa)

Detecciones de Fusion basadas en escenarios

En la sección siguiente se enumeran los tipos de ataques de varias fases basados en escenario, agrupados por clasificación de amenazas, que Microsoft Sentinel detecta mediante el motor de correlación de Fusion.

Para habilitar estos escenarios de detección de ataques con tecnología de Fusion, sus orígenes de datos asociados deben ingerirse en el área de trabajo de Log Analytics. Seleccione los vínculos de la tabla siguiente para obtener información sobre cada escenario y sus orígenes de datos asociados.

Nota

Algunos de estos escenarios se encuentran en versión preliminar. Aparecerá indicado.

Clasificación de amenazas	Escenarios
Uso abusivo de recursos de proceso	(VERSIÓN PRELIMINAR) Varias actividades de creación de máquinas virtuales después del inicio de sesión sospechoso de Microsoft Entra
Acceso de credencial	(VERSIÓN PRELIMINAR) Restablecimiento de varias contraseñas por parte del usuario después de un inicio de sesión sospechoso (VERSIÓN PRELIMINAR) Inicio de sesión sospechoso que coincide con un inicio de sesión correcto en una VPN de Palo Alto por IP con múltiples inicios de sesión fallidos de Microsoft Entra
Recolección de credenciales	Ejecución de la herramienta de robo de credenciales malintencionada después de un inicio de sesión sospechoso Sospecha de actividad de robo de credenciales después de un inicio de sesión sospechoso
Minería de cifrado	Actividad de minería de cifrado después del inicio de sesión sospechoso
Destrucción de datos	Eliminación masiva de archivos después de un inicio de sesión sospechoso de Microsoft Entra (VERSIÓN PRELIMINAR) Eliminación masiva de archivos después del inicio de sesión correcto de Microsoft Entra desde una IP bloqueada por un dispositivo de firewall de Cisco (VERSIÓN PRELIMINAR) Eliminación masiva de archivos después de un inicio de sesión correcto en una VPN de Palo Alto por IP con múltiples inicios de sesión fallidos de Microsoft Entra (VERSIÓN PRELIMINAR) Actividad de eliminación de correo electrónico sospechosa después de un inicio de sesión sospechoso en Microsoft Entra
Filtración de datos	(VERSIÓN PRELIMINAR) Actividades de reenvío de correo después de nueva actividad en la cuenta de administrador que no se ha visto recientemente Descarga masiva de archivos después de un inicio de sesión sospechoso de Microsoft Entra (VERSIÓN PRELIMINAR) Descarga masiva de archivos después del inicio de sesión correcto de Microsoft Entra desde una IP bloqueada por un dispositivo de firewall de Cisco (VERSIÓN PRELIMINAR) Descarga masiva de archivos que coincide con la operación de archivos de SharePoint desde una dirección IP no vista previamente Uso compartido masivo de archivos después de un inicio de sesión sospechoso de Microsoft Entra (VERSIÓN PRELIMINAR) Varias actividades de uso compartido de informes de Power BI después de un inicio de sesión sospechoso en Microsoft Entra Filtración de buzones de Office 365 después de un inicio de sesión sospechoso de Microsoft Entra (VERSIÓN PRELIMINAR) Operación de archivo de SharePoint desde una dirección IP que no se ha visto previamente después de la detección de malware (VERSIÓN PRELIMINAR) Establecimiento de reglas de manipulación sospechosa de la bandeja de entrada después de un inicio de sesión sospechoso en Microsoft Entra (VERSIÓN PRELIMINAR) Uso compartido sospechoso de informes de Power BI después de un inicio de sesión sospechoso en Microsoft Entra
Denegación de servicio	(VERSIÓN PRELIMINAR) Varias actividades de eliminación de VM después de un inicio de sesión sospechoso en Microsoft Entra
Desplazamiento lateral	Suplantación de Office 365 después de un inicio de sesión sospechoso de Microsoft Entra (VERSIÓN PRELIMINAR) Establecimiento de reglas de manipulación sospechosa de la bandeja de entrada después de un inicio de sesión sospechoso en Microsoft Entra
Actividad administrativa malintencionada	Actividad de administración de aplicaciones en la nube sospechosa después de un inicio de sesión sospechoso en Microsoft Entra (VERSIÓN PRELIMINAR) Actividades de reenvío de correo después de nueva actividad en la cuenta de administrador que no se ha visto recientemente
Ejecución malintencionada con un proceso legítimo	(VERSIÓN PRELIMINAR) PowerShell estableció una conexión de red sospechosa, seguida por tráfico anómalo marcado por el firewall de Palo Alto Networks (VERSIÓN PRELIMINAR) Ejecución de WMI remota sospechosa seguida por tráfico anómalo marcado por el firewall de Palo Alto Networks Línea de comandos de PowerShell sospechosa después del inicio de sesión sospechoso
Comando y control (C2) o descarga de malware	(VERSIÓN PRELIMINAR) Patrón de señal detectado por Fortinet después de varios inicios de sesión de usuario con error en un servicio (VERSIÓN PRELIMINAR) Patrón de señal detectado por Fortinet después de un inicio de sesión sospechoso en Microsoft Entra (VERSIÓN PRELIMINAR) Solicitud de red a un servicio de anonimización de TOR, seguida por tráfico anómalo marcado por el firewall de Palo Alto Networks (VERSIÓN PRELIMINAR) Conexión saliente a IP con un historial de intentos de acceso no autorizados, seguida por tráfico anómalo marcado por el firewall de Palo Alto Networks
Persistencia	(VERSIÓN PRELIMINAR) Consentimiento poco frecuente de la aplicación después de un inicio de sesión sospechoso
Ransomware	Ejecución de ransomware después de un inicio de sesión sospechoso de Microsoft Entra
Explotación remota	(VERSIÓN PRELIMINAR) Sospecha de uso de un marco de ataque seguida por tráfico anómalo marcado por el firewall de Palo Alto Networks
Secuestro de recursos	(VERSIÓN PRELIMINAR) Implementación sospechosa de un recurso o un grupo de recursos por parte de un autor de una llamada que nunca se había visto después de un inicio de sesión sospechoso de Microsoft Entra

Pasos siguientes

Para obtener más información sobre la detección avanzada de ataques de varias fases de Fusion:

• Obtenga más información sobre las detecciones de ataques basadas en escenarios de Fusion.
• Aprenda a configurar las reglas de Fusion.

Ahora que conoce más detalles sobre la detección avanzada de ataques de varias fases, puede que le interese el siguiente inicio rápido para aprender a obtener visibilidad sobre sus datos y a detectar posibles amenazas: Introducción a Microsoft Sentinel.

Si está preparado para investigar los incidentes que se han creado, consulte el siguiente tutorial:Investigar incidentes con Microsoft Sentinel.