Investigación de incidentes con Microsoft Sentinel

  • Artículo

Importante

Actualmente, las características indicadas están en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Este artículo le ayuda a investigar incidentes con Microsoft Sentinel. Después de conectar los orígenes de datos a Microsoft Sentinel, querrá recibir una notificación cuando suceda algo sospechoso. Para ello, Microsoft Sentinel le permite crear reglas de análisis avanzadas que generan incidentes que se pueden asignar e investigar.

En este artículo se describe:

  • Investigación de incidentes
  • Uso del gráfico de investigación
  • Respuesta a amenazas

Un incidente puede incluir varias alertas, a modo de agregado de todas las pruebas relevantes en una investigación en concreto. Los incidentes se crearán en función de las reglas de análisis que haya creado en la página Análisis. Las propiedades relacionadas con alertas, como la gravedad y el estado, se establecen en el nivel de incidente. Después de indicar a Microsoft Sentinel qué tipos de amenazas está buscando y cómo detectarlas, puede supervisar las amenazas que se detecten investigando cada incidente.

Requisitos previos

  • Solo podrá investigar el incidente si ha usado los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.

  • Si tiene un usuario invitado que necesita asignar incidentes, al usuario se le debe asignar el rol Lector de directorio en el inquilino de Microsoft Entra. Los usuarios normales (no invitados) tienen asignado este rol de forma predeterminada.

Investigación de incidentes

  1. Seleccione Incidentes. La página Incidentes le permite saber cuántos incidentes tiene y si son nuevos, si están activos o cerrados. De cada incidente puede ver la hora a la que tuvo lugar y su estado. Valore la gravedad para decidir qué incidentes abordar primero.

    Screenshot of view of incident severity.

  2. Puede filtrar los incidentes según sea necesario, por ejemplo, por estado o gravedad. Para más información, consulte Búsqueda de incidentes.

  3. Para iniciar una investigación, seleccione un incidente específico. A la derecha, puede ver información detallada del incidente, incluyendo su gravedad, resumen del número de entidades implicadas, los eventos sin procesar que desencadenaron este incidente, el identificador único del incidente y cualquier táctica o técnicas mitre ATT&CK asignadas.

  4. Para ver más detalles sobre las alertas y las entidades del incidente, seleccione View full details (Ver detalles completos) en la página del incidente y revise las pestañas correspondientes donde se resume la información del incidente.

    Screenshot of view of alert details.

    • En la pestaña Escala de tiempo, revise la escala de tiempo de las alertas y los marcadores del incidente, para poder reconstruir la escala de tiempo de la actividad del atacante.

    • En la pestaña Incidentes similares (versión preliminar), verá una colección de hasta 20 otros incidentes que se parecen más al incidente actual. Esto le permite ver el incidente en un contexto más grande y ayuda a dirigir la investigación. Obtenga más información sobre incidentes similares a continuación.

    • En la pestaña Alertas, revise las alertas incluidas en este incidente. Verá toda la información pertinente sobre las alertas: las reglas de análisis que las produjeron, el número de resultados devueltos por alerta y la posibilidad de ejecutar cuadernos de estrategias en las alertas. Para explorar el incidente más en profundidad, seleccione el número de eventos. Esto abre la consulta que ha generado los resultados y los eventos que han desencadenado la alerta en Log Analytics.

    • En la pestaña Marcadores, verá los marcadores que usted u otros investigadores han vinculado a este incidente. Más información sobre los marcadores.

    • En la pestaña Entidades, puede ver todas las entidades que ha asignado como parte de la definición de regla de alerta. Estos son los objetos que desempeñan un papel en el incidente, ya sean usuarios, dispositivos, direcciones, archivos o cualquier otro tipo.

    • Por último, en la pestaña Comentarios, puede agregar sus comentarios a la investigación y ver los comentarios realizados por otros analistas e investigadores. Más información sobre los comentarios.

  5. Si está investigando un incidente de manera activa, una buena idea consiste en establecer el estado del incidente en Activo hasta que lo cierre.

  6. Los incidentes se pueden asignar a un usuario concreto o a un grupo. A todos los incidentes se les puede asignar un propietario y para ello es preciso establecer el campo Owner (Propietario). Todos los incidentes se inician sin tener un propietario asignado. También puede agregar comentarios para que otros analistas puedan comprender lo que ha investigado y sus preocupaciones en torno al incidente.

    Screenshot of assigning incident to user.

    Los usuarios y grupos seleccionados recientemente aparecerán en la parte superior de la lista desplegable que se muestra.

  7. Seleccione Investigar para ver el mapa de investigación.

Uso del gráfico de investigación para un análisis en profundidad

El gráfico de investigación permite a los analistas formular las preguntas adecuadas para cada investigación. El gráfico de investigación le ayuda a comprender el ámbito y a identificar la causa principal de una posible amenaza de seguridad al correlacionar los datos pertinentes con las entidades implicadas. Puede profundizar e investigar cualquier entidad presentada en el gráfico seleccionándola y eligiendo entre las diferentes opciones de expansión.

El gráfico de investigación le proporciona:

  • Contexto visual de datos sin procesar: El gráfico visual y dinámico, muestra las relaciones de entidad extraídas automáticamente de los datos sin procesar. Esto le permite ver fácilmente las conexiones entre distintos orígenes de datos.

  • Detección del ámbito completo de la investigación: Amplíe el ámbito de la investigación mediante consultas de exploración integradas para exponer el ámbito completo de una infracción de seguridad.

  • Pasos de investigación integrados: Use opciones de exploración predefinidas para asegurarse de que está formulando las preguntas adecuadas en caso de una amenaza.

Para usar el gráfico de investigación:

  1. Seleccione un incidente y, a continuación, seleccione Investigar. Esto le llevará al gráfico de investigación. El gráfico proporciona un mapa ilustrativo de las entidades conectadas directamente a la alerta y de cada recurso conectado más allá.

    View map.

    Importante

    • Solo podrá investigar el incidente si ha usado los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.

    • Actualmente, Microsoft Sentinel admite la investigación de incidentes cuya antigüedad no supere los 30 días.

  2. Seleccione una entidad para abrir el panelEntidades para que pueda revisar la información de esa entidad.

    View entities in map

  3. Amplíe su investigación manteniendo el puntero sobre cada entidad para mostrar una lista de preguntas diseñadas por nuestros expertos y analistas en seguridad clasificadas por tipo de entidad para profundizar en la investigación. Llamamos a estas opciones consultas de exploración.

    Explore more details

    Por ejemplo, en un equipo puede solicitar alertas relacionadas. Si selecciona una consulta de exploración, los derechos resultantes se agregan de nuevo al gráfico. En este ejemplo, al seleccionar Related Alerts (Alertas relacionadas) se devolvieron las siguientes alertas en el gráfico:

    Screenshot: view related alerts

    Vea que las alertas relacionadas aparecen conectadas a la entidad por líneas de puntos.

  4. Para cada consulta de exploración, puede seleccionar la opción para abrir los resultados de eventos sin procesar y la consulta usada en Log Analytics, seleccionando Eventos> .

  5. Para comprender el incidente, el gráfico le proporciona una escala de tiempo paralela.

    Screenshot: view timeline in map.

  6. Mantenga el puntero sobre la escala de tiempo para ver qué elementos del gráfico se produjeron en qué momento.

    Screenshot: use timeline in map to investigate alerts.'

Centrado de la investigación

Obtenga información sobre cómo puede ampliar o restringir el ámbito de la investigación mediante la adición de alertas a los incidentes o la eliminación de alertas de incidentes.

Incidentes similares (versión preliminar)

Como analista de operaciones de seguridad, al investigar un incidente querrá prestar atención a su contexto más amplio. Por ejemplo, querrá ver si otros incidentes como este han ocurrido antes o están ocurriendo ahora.

  • Es posible que quiera identificar incidentes simultáneos que pueden formar parte de la misma estrategia de ataque más grande.

  • Es posible que quiera identificar incidentes similares en el pasado para usarlos como puntos de referencia para la investigación actual.

  • Es posible que quiera identificar a los propietarios de incidentes similares anteriores para encontrar a las personas de su SOC que pueden proporcionar más contexto o a quienes puede escalar la investigación.

La pestaña Incidentes similares de la página de detalles del incidente, ahora en versión preliminar, presenta hasta 20 otros incidentes que son los más similares al actual. La similitud se calcula mediante algoritmos internos de Microsoft Sentinel y los incidentes se ordenan y muestran en orden descendente de similitud.

Screenshot of the similar incidents display.

Cálculo de similitud

Hay tres criterios por los que se determina la similitud:

  • Entidades similares: un incidente se considera similar a otro incidente si ambos incluyen las mismas entidades. Cuantas más entidades tengan dos incidentes en común, más similares se consideran.

  • Regla similar: un incidente se considera similar a otro incidente si ambos se crearon por la misma regla de análisis.

  • Detalles de alerta similares: un incidente se considera similar a otro incidente si comparten el mismo título, nombre de producto o detalles personalizados.

Los motivos por los que aparece un incidente en la lista de incidentes similares se muestran en la columna Motivo de similitud. Mantenga el puntero sobre el icono de información para mostrar los elementos comunes (entidades, nombre de regla o detalles).

Screenshot of pop-up display of similar incident details.

Período de tiempo de similitud

La similitud de incidentes se calcula en función de los datos de los 14 días anteriores a la última actividad del incidente, que es la hora de finalización de la alerta más reciente del incidente.

La similitud de los incidentes se recalcula cada vez que se entra en la página de detalles del incidente, por lo que los resultados pueden variar entre sesiones si se han creado o actualizado nuevos incidentes.

Comentarios sobre incidentes

Como analista de operaciones de seguridad, al investigar un incidente, querrá documentar exhaustivamente los pasos que se llevan a cabo, tanto para garantizar la creación de informes precisos para la administración como para permitir una cooperación y colaboración sin problemas entre compañeros de trabajo. Microsoft Sentinel le proporciona un entorno de comentarios enriquecido para ayudarle a lograr este objetivo.

Otro aspecto importante que puede hacer con los comentarios es enriquecer los incidentes automáticamente. Si ejecuta un cuaderno de estrategias en un incidente que contiene información significativa de orígenes externos (por ejemplo, al comprobar un archivo de malware en VirusTotal), puede hacer que el cuaderno de estrategias coloque la respuesta del origen externo (junto con cualquier otra información que defina) en los comentarios del incidente.

Los comentarios son fáciles de usar. Puede acceder a ellos a través de la pestaña Comentarios de la página de detalles del incidente.

Screenshot of viewing and entering comments.

Preguntas más frecuentes

Hay varias consideraciones que se deben tener en cuenta al usar comentarios de incidentes. La siguiente lista de preguntas hace referencia a estas consideraciones.

¿Qué clases de entradas se admiten?

  • Texto: los comentarios de Microsoft Sentinel admiten entradas de texto en texto sin formato, HTML básico y Markdown. También puede pegar texto copiado, HTML y Markdown en la ventana de comentarios.

  • Imágenes: puede insertar vínculos a imágenes en comentarios y las imágenes se mostrarán alineadas, pero estas ya deben estar hospedadas en una ubicación de acceso público, como Dropbox, OneDrive, Google Drive, etc. Las imágenes no se pueden cargar directamente en los comentarios.

¿Hay un límite de tamaño en los comentarios?

  • Por comentario: un solo comentario puede contener hasta 30 000 caracteres.

  • Por incidente: un solo incidente puede contener hasta 100 comentarios.

    Nota:

    El límite de tamaño de un solo registro de incidentes de la tabla SecurityIncident de Log Analytics es de 64 KB. Si se supera este límite, se truncarán los comentarios (empezando por el más antiguo), lo que puede afectar a los comentarios que aparecerán en los resultados de la búsqueda avanzada.

    Los registros de incidentes reales de la base de datos de incidentes no se verán afectados.

¿Quién puede editar o eliminar comentarios?

  • Editar: solo el autor de un comentario tiene permiso para editarlo.

  • Eliminar: solo los usuarios con el rol Colaborador de Microsoft Sentinel tienen permiso para eliminar comentarios. Incluso el autor del comentario debe tener este rol para eliminarlo.

Cierre de un incidente

Una vez que haya resuelto un incidente en particular (por ejemplo, cuando la investigación haya alcanzado su conclusión), debe establecer el estado del incidente en Cerrado. Al hacerlo, a los efectos de clasificar el incidente, se le pedirá que indique el motivo por el que lo cierra. Este paso es obligatorio. Haga clic en Seleccionar clasificación y elija una de las siguientes opciones de la lista desplegable:

  • Verdadero positivo: actividad sospechosa
  • Positivo inofensivo: sospechoso, pero esperado
  • Falso positivo: lógica de alerta incorrecta
  • Falso positivo: datos incorrectos
  • Indeterminada

Screenshot that highlights the classifications available in the Select classification list.

Para más información sobre los falsos positivos y los positivos inofensivos, consulte Control de falsos positivos en Microsoft Sentinel.

Después de elegir la clasificación adecuada, agregue texto descriptivo en el campo Comentario. Esto será útil en el caso de que tenga que volver a consultar este incidente. Haga clic en Aplicar cuando haya terminado, y el incidente se cerrará.

{alt-text}

Búsqueda de incidentes

Para buscar rápidamente un incidente concreto, escriba una cadena de búsqueda en el cuadro de búsqueda situado encima de la cuadrícula de incidentes y presione Entrar para modificar la lista de incidentes que se muestra en consecuencia. Si el incidente no se incluye en los resultados, es posible que desee restringir la búsqueda mediante las opciones de Búsqueda avanzada.

Para modificar los parámetros de búsqueda, seleccione el botón Buscar y, después, seleccione los parámetros donde desea ejecutar la búsqueda.

Por ejemplo:

Screenshot of the incident search box and button to select basic and/or advanced search options.

De forma predeterminada, las búsquedas de incidentes se ejecutan solo en los valores de Identificador de incidente, Título, Etiquetas, Propietario y Nombre de producto. En el panel de búsqueda, desplácese hacia abajo en la lista para seleccionar uno o varios otros parámetros para buscar y seleccione Aplicar para actualizar los parámetros de búsqueda. Seleccione Establecer como predeterminado para restablecer los parámetros seleccionados a la opción predeterminada.

Nota

Las búsquedas en el campo Propietario admiten nombres y direcciones de correo electrónico.

El uso de opciones de búsqueda avanzada cambia el comportamiento de búsqueda como se indica a continuación:

Comportamiento de búsqueda Descripción
Color del botón Buscar El color del botón de búsqueda cambia en función de los tipos de parámetros que se usen en la búsqueda.
  • Si solo están seleccionados los parámetros predeterminados, el botón será gris.
  • Si hay distintos parámetros seleccionados, como los parámetros de búsqueda avanzada, el botón se vuelve azul.
Actualización automática El uso de parámetros de búsqueda avanzada impide seleccionar que los resultados se actualicen automáticamente.
Parámetros de la entidad Todos los parámetros de la entidad se admiten para búsquedas avanzadas. Al buscar en cualquier parámetro de la entidad, la búsqueda se ejecuta en todos los parámetros de la entidad.
Búsqueda en las cadenas La búsqueda de una cadena de palabras incluye todas las palabras de la consulta de búsqueda. Las cadenas de búsqueda distinguen mayúsculas de minúsculas.
Compatibilidad entre áreas de trabajo Las búsquedas avanzadas no son compatibles con las vistas entre áreas de trabajo.
Número de resultados de búsqueda que se muestran Cuando se usan parámetros de búsqueda avanzados, no se muestran más de 50 resultados a la vez.

Sugerencia

Si no puede encontrar el incidente que busca, quite los parámetros de búsqueda para expandir la búsqueda. Si la búsqueda genera demasiados elementos, agregue más filtros para restringir los resultados.

Pasos siguientes

En este artículo ha aprendido cómo empezar a investigar incidentes mediante Microsoft Sentinel. Para más información, consulte: