Tutorial: Respuesta a incidentes de seguridadTutorial: Respond to security incidents

Security Center analiza continuamente las cargas de trabajo de la nube híbrida y usa el análisis avanzado e inteligencia de amenazas para alertarle de cualquier actividad malintencionada.Security Center continuously analyzes your hybrid cloud workloads using advanced analytics and threat intelligence to alert you to malicious activity. Además, en Security Center se pueden integrar alertas de otros servicios y productos de seguridad, así como crear alertas personalizadas basadas en indicadores u orígenes de inteligencia propios.In addition, you can integrate alerts from other security products and services into Security Center, and create custom alerts based on your own indicators or intelligence sources. Una vez que se genera una alerta, es necesario investigarla y tomar las medidas correctoras de inmediato.Once an alert is generated, swift action is needed to investigate and remediate. En este tutorial, aprenderá a:In this tutorial, you will learn how to:

  • Evaluar las prioridades de las alertas de seguridadTriage security alerts
  • Investigar en profundidad para determinar la causa raíz y el alcance de un incidente de seguridadInvestigate further to determine the root cause and scope of a security incident
  • Buscar en los datos de seguridad para facilitar la investigaciónSearch security data to aid in investigation

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don’t have an Azure subscription, create a free account before you begin.

Requisitos previosPrerequisites

Para recorrer todas las características que se tratan en este tutorial, es preciso tener el plan de tarifa Estándar de Security Center.To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Dicho plan se puede probar de forma gratuita.You can try Security Center Standard at no cost. Para más información, consulte la página de precios.To learn more, see the pricing page. En Guía de inicio rápido de Azure Security Center le explicamos cómo realizar la actualización al plan de tarifa Estándar.The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

EscenarioScenario

Contoso migró recientemente algunos de sus recursos locales a Azure, incluidas algunas cargas de trabajo empresariales basadas en máquinas virtuales y bases de datos SQL.Contoso recently migrated some of their on-premises resources to Azure, including some virtual machine-based line-of-business workloads and SQL databases. Actualmente el equipo de respuesta a incidentes de seguridad informática central de Contoso (CSIRT) tiene un problema para investigar asuntos de seguridad, debido a la falta de inteligencia de seguridad integrada en sus herramientas actuales de respuesta a incidentes.Currently, Contoso's Core Computer Security Incident Response Team (CSIRT) has a problem investigating security issues because of security intelligence not being integrated with their current incident response tools. Esta falta de integración presenta un problema durante las fases de detección (demasiados falsos positivos), evaluación y diagnóstico.This lack of integration introduces a problem during the Detect stage (too many false positives), as well as during the Assess and Diagnose stages. Como parte de esta migración, decidió participar en Security Center para ayudar a solucionar el problema.As part of this migration, they decided to opt in for Security Center to help them address this problem.

La primera fase de migración terminó después de incorporar todos los recursos y abordar todas las recomendaciones de seguridad de Security Center.The first phase of this migration finished after they onboarded all resources and addressed all of the security recommendations from Security Center. El equipo CSIRT de Contoso es crucial para tratar los incidentes de seguridad informática.Contoso CSIRT is the focal point for dealing with computer security incidents. El equipo está formado por un grupo de personas encargadas de manejar los incidentes de seguridad.The team consists of a group of people with responsibilities for dealing with any security incident. Los miembros del equipo tienen tareas claramente definidas para asegurarse de que no quede sin cubrir ninguna área de respuesta.The team members have clearly defined duties to ensure that no area of response is left uncovered.

En este escenario, nos vamos a centrar en los roles de las siguientes personas que forman parte del equipo CSIRT de Contoso:For the purpose of this scenario, we're going to focus on the roles of the following personas that are part of Contoso CSIRT:

Ciclo de vida de respuesta a incidentes

Judy se encarga de las operaciones de seguridad.Judy is in security operations. Entre sus responsabilidades están:Their responsibilities include:

  • Supervisar y responder a amenazas de seguridad durante las 24 horas.Monitoring and responding to security threats around the clock.
  • Remitirlas al propietario de la carga de trabajo en la nube o al analista de seguridad, según sea necesario.Escalating to the cloud workload owner or security analyst as needed.

Sam es analista de seguridad y sus responsabilidades incluyen:Sam is a security analyst and their responsibilities include:

  • Investigar los ataques.Investigating attacks.
  • Solucionar las alertas.Remediating alerts.
  • Trabajar con los propietarios de la carga de trabajo para determinar y aplicar mitigaciones.Working with workload owners to determine and apply mitigations.

Como puede ver, Judy y Sam tienen responsabilidades diferentes, y deben trabajar juntos para compartir la información de Security Center.As you can see, Judy and Sam have different responsibilities, and they must work together to share Security Center information.

Evaluar las prioridades de las alertas de seguridadTriage security alerts

Security Center proporciona una vista unificada de todas las alertas de seguridad.Security Center provides a unified view of all security alerts. Las alertas de seguridad se clasifican en función de su gravedad y cuando se combinan varias posibles alertas relacionadas, se genera un incidente de seguridad.Security alerts are ranked based on the severity and when possible related alerts are combined into a security incident. Cuando la evolución de las prioridades de las alertas e incidentes debería:When triaging alerts and incidents, you should:

  • Descartar las alertas para las que no se necesitan acciones adicionales, por ejemplo, si la alerta es un falso positivoDismiss alerts for which no additional action is required, for example if the alert is a false positive
  • Actuar para corregir los ataques conocidos, por ejemplo bloqueando el tráfico de red procedente de una dirección IP malintencionadaAct to remediate known attacks, for example blocking network traffic from a malicious IP address
  • Determinar las alertas que requieren una posterior investigaciónDetermine alerts that require further investigation
  1. En el menú principal de Security Center, en DETECCIÓN, seleccione Alertas de seguridad:On the Security Center main menu under DETECTION, select Security alerts:

    Alertas de seguridad

  2. Para más información acerca de este incidente, en la lista de alertas, haga clic en un incidente de seguridad, que es una colección de alertas.In the list of alerts, click on a security incident, which is a collection of alerts, to learn more about this incident. Se abre Security incident detected (Incidente de seguridad detectado).Security incident detected opens.

    Incidente de seguridad

  3. En esta pantalla, la descripción del incidente de seguridad se encuentra en la parte superior y en el resto la lista de alertas que forman parte de este incidente.On this screen you have the security incident description on top, and the list of alerts that are part of this incident. Para más información, haga clic en la alerta que desea investigar en profundidad.Click on the alert that you want to investigate further to obtain more information.

    Incidente de seguridad

    El tipo de alerta puede variar. Para más información acerca del tipo de alerta y los posibles pasos para corregirla, lea el artículo Comprensión de las alertas de seguridad en Azure Security Center.The type of alert can vary, read Understanding security alerts in Azure Security Center for more details about the type of alert, and potential remediation steps. En las alertas que se puedan descartar de forma segura puede hacer clic con el botón derecho en la alerta y seleccione la opción Descartar:For alerts that can be safely dismissed, you can right click on the alert and select the option Dismiss:

    Alerta

  4. Si no se conocen la causa raíz ni el alcance de la actividad malintencionada, continúe con el paso siguiente para investigar la alerta en profundidad.If the root cause and scope of the malicious activity is unknown, proceed to the next step to investigate further.

Investigación de una alerta o un incidenteInvestigate an alert or incident

  1. En la página Alerta de seguridad, haga clic en el botón Iniciar investigación (si ya la ha iniciado, el nombre cambia a Continuar investigación).On the Security alert page, click Start investigation button (if you already started, the name changes to Continue investigation).

    Investigación

    El mapa de la investigación es una representación gráfica de las entidades que conectadas a esta alerta o incidente de seguridad.The investigation map is a graphical representation of the entities that are connected to this security alert or incident. Al hacer clic en cualquiera de las entidades en la asignación, la información acerca de ella mostrará nuevas entidades, lo que hará que el mapa se expanda.By clicking on an entity in the map, the information about that entity will show new entities, and the map expands. Las propiedades de la entidad seleccionada en el mapa están resaltadas en el panel del lado derecho de la página.The entity that is selected in the map has its properties highlighted in the pane on the right side of the page. La información disponible en cada pestaña variará en función de la entidad seleccionada.The information available on each tab will vary according to the selected entity. Durante el proceso de investigación, revise toda la información relevante para comprender mejor el movimiento del atacante.During the investigation process, review all relevant information to better understand the attacker’s movement.

  2. Si necesita más pruebas o debe investigar más las entidades que se encontraron durante la investigación, continúe con el paso siguiente.If you need more evidence, or must further investigate entities that were found during the investigation, proceed to the next step.

Búsqueda de datos para la investigaciónSearch data for investigation

Las funcionalidades de búsqueda de Security Center se pueden usar no solo para encontrar más evidencia de sistemas en peligro sino también para obtener más detalles acerca de las entidades que forman parte de la investigación.You can use search capabilities in Security Center to find more evidence of compromised systems, and more details about the entities that are part of the investigation.

Para realizar una búsqueda, abra el panel de Security Center, haga clic en Buscar en el panel de navegación izquierdo, seleccione el área de trabajo que contenga las entidades que desea buscar, escriba la consulta de la búsqueda y haga clic en el botón Buscar.To perform a search open the Security Center dashboard, click Search in the left navigation pane, select the workspace that contains the entities that you want to search, type the search query, and click the search button.

Limpieza de recursosClean up resources

Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta.Other quickstarts and tutorials in this collection build upon this quickstart. Si planea continuar trabajando con las guías rápidas y tutoriales posteriores, debe seguir ejecutando el plan de tarifa Estándar y mantener el aprovisionamiento automático habilitado.If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. Si no planea continuar o desea volver al nivel Gratis:If you do not plan to continue or wish to return to the Free tier:

  1. Vuelva al menú principal de Security Center y seleccione Directiva de seguridad.Return to the Security Center main menu and select Security Policy.
  2. Seleccione la suscripción o directiva que desea que vuelva al nivel Gratis.Select the subscription or policy that you want to return to Free. Se abre Directiva de seguridad.Security policy opens.
  3. En COMPONENTES DE LA DIRECTIVAS, seleccione Plan de tarifa.Under POLICY COMPONENTS, select Pricing tier.
  4. Seleccione Gratis para cambiar la suscripción de Estándar a Gratis.Select Free to change subscription from Standard tier to Free tier.
  5. Seleccione Guardar.Select Save.

Si desea deshabilitar el aprovisionamiento automático:If you wish to disable automatic provisioning:

  1. Vuelva al menú principal de Security Center y seleccione Directiva de seguridad.Return to the Security Center main menu and select Security policy.
  2. Seleccione la suscripción en la que quiere deshabilitar el aprovisionamiento automático.Select the subscription that you wish to disable automatic provisioning.
  3. En Directiva de seguridad: Colección de datos, en Incorporación, seleccione Desactivado para deshabilitar el aprovisionamiento automático.Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. Seleccione Guardar.Select Save.

Nota

La deshabilitación del aprovisionamiento automático no quita Microsoft Monitoring Agent de las máquinas virtuales de Azure en las que se ha aprovisionado el agente.Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. La deshabilitación del aprovisionamiento automático limita la supervisión de seguridad de los recursos.Disabling automatic provisioning limits security monitoring for your resources.

Pasos siguientesNext steps

En este tutorial, ha obtenido información acerca de las características de Security Center que se deben usar cuando se responde a un incidente de seguridad, como:In this tutorial, you learned about Security Center features to be used when responding to a security incident, such as:

  • Incidente de seguridad, que es una agregación de las alertas relacionadas de un recursoSecurity incident which is an aggregation of related alerts for a resource
  • Mapa de la investigación, que es una representación gráfica de las entidades que conectadas a un alerta o incidente de seguridadInvestigation map which is a graphical representation of the entities connected to a security alert or incident
  • Capacidades de búsqueda, para buscar más evidencia de los sistemas en peligroSearch capabilities to find more evidence of compromised systems

Para más información acerca de las características de investigación de Security Center, consulte:To learn more about Security Center's investigation feature see: