Tutorial: Detección de amenazas integradaTutorial: Detect threats out-of-the-box

Importante

La detección de amenazas integrada se encuentra actualmente en versión preliminar pública.Out-of-the-box threat detection is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and it's not recommended for production workloads. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Después de conectar los orígenes de datos  a Azure Sentinel, querrá recibir una notificación cuando suceda algo sospechoso.Once you have connected your data sources to Azure Sentinel, you'll want to be notified when something suspicious occurs. Por este motivo, Azure Sentinel proporciona plantillas integradas predefinidas para ayudarle a crear reglas de detección de amenazas.That's why Azure Sentinel provides out-of-the-box, built-in templates to help you create threat detection rules. Estas plantillas fueron diseñadas por un equipo de expertos y analistas en seguridad de Microsoft basándose en amenazas conocidas, vectores de ataque habituales y cadenas de escalado de actividades sospechosas.These templates were designed by Microsoft's team of security experts and analysts based on known threats, common attack vectors, and suspicious activity escalation chains. Las reglas creadas a partir de estas plantillas buscarán automáticamente en el entorno las actividades que parezcan sospechosas.Rules created from these templates will automatically search across your environment for any activity that looks suspicious. Muchas de las plantillas se pueden personalizar para buscar o filtrar actividades, según sus necesidades.Many of the templates can be customized to search for activities, or filter them out, according to your needs. Las alertas generadas por estas reglas crearán incidentes que puede asignar e investigar en su entorno.The alerts generated by these rules will create incidents that you can assign and investigate in your environment.

Este tutorial ayuda a detectar amenazas con Azure Sentinel:This tutorial helps you detect threats with Azure Sentinel:

  • Uso de detecciones de amenazas predefinidasUse out-of-the-box threat detections
  • Automatizar las respuestas frente a amenazasAutomate threat responses

Acerca de las detecciones integradasAbout out-of-the-box detections

Para ver todas las detecciones estándar, vaya a Análisis y, después, a Rule templates (Plantillas de reglas).To view all the out-of-the-box detections, go to Analytics and then Rule templates. Esta pestaña contiene todas las reglas integradas de Azure Sentinel.This tab contains all the Azure Sentinel built-in rules.

Usar las detecciones integradas para encontrar amenazas con Azure Sentinel

Están disponibles los siguientes tipos de plantilla:The following template types are available:

  • Seguridad de MicrosoftMicrosoft security

    Las plantillas de seguridad de Microsoft crean automáticamente incidentes de Azure Sentinel a partir de las alertas generadas en otras soluciones de seguridad de Microsoft, en tiempo real.Microsoft security templates automatically create Azure Sentinel incidents from the alerts generated in other Microsoft security solutions, in real time. Puede usar las reglas de seguridad de Microsoft como plantilla para crear nuevas reglas con una lógica parecida.You can use Microsoft security rules as a template to create new rules with similar logic. Para más información sobre las reglas de seguridad, consulte Creación automática de incidentes a partir de alertas de seguridad de Microsoft.For more information about security rules, see Automatically create incidents from Microsoft security alerts.

  • FusiónFusion

    Basada en la tecnología de fusión, la detección avanzada de ataques de varias fases de Azure Sentinel emplea algoritmos de aprendizaje automático escalables que pueden correlacionar muchas alertas y eventos de baja fidelidad de varios productos con incidentes útiles y de alta fidelidad.Based on Fusion technology, advanced multistage attack detection in Azure Sentinel uses scalable machine learning algorithms that can correlate many low-fidelity alerts and events across multiple products into high-fidelity and actionable incidents. La fusión está habilitada de manera predeterminada.Fusion is enabled by default. Dado que la lógica está oculta y, por lo tanto, no se puede personalizar, solo puede crear una regla con esta plantilla.Because the logic is hidden and therefore not customizable, you can only create one rule with this template.

  • Análisis de comportamiento de aprendizaje automáticoMachine learning behavioral analytics

    Estas plantillas se basan en algoritmos de aprendizaje automático de Microsoft, por lo que no se puede ver la lógica interna de cómo funcionan y cuándo se ejecutan.These templates are based on proprietary Microsoft machine learning algorithms, so you cannot see the internal logic of how they work and when they run. Dado que la lógica está oculta y, por lo tanto, no se puede personalizar, solo puede crear una regla con cada plantilla de este tipo.Because the logic is hidden and therefore not customizable, you can only create one rule with each template of this type.

  • ProgramadoScheduled

    Las reglas de análisis programado se basan en consultas integradas escritas por expertos de seguridad de Microsoft.Scheduled analytics rules are based on built-in queries written by Microsoft security experts. Puede ver la lógica de consulta y realizar cambios en ella.You can see the query logic and make changes to it. Puede usar la plantilla de reglas programadas y personalizar la lógica de consulta y la configuración de programación para crear otras reglas.You can use the scheduled rules template and customize the query logic and scheduling settings to create new rules.

Usar detecciones integradasUse out-of-the-box detections

  1. Para usar una plantilla integrada, haga clic en el nombre de la plantilla y, luego, haga clic en el botón Crear regla en el panel de detalles para crear una regla activa basada en esa plantilla.In order to use a built-in template, click the template name, and then click the Create rule button on the details pane to create a new active rule based on that template. Cada plantilla tiene una lista de orígenes de datos necesarios.Each template has a list of required data sources. Al abrir la plantilla, se comprueba automáticamente la disponibilidad de los orígenes de datos.When you open the template, the data sources are automatically checked for availability. Si hay un problema de disponibilidad, es posible que el botón Crear regla esté deshabilitado, o puede que vea una advertencia a tal efecto.If there is an availability issue, the Create rule button may be disabled, or you may see a warning to that effect.

    Usar las detecciones integradas para encontrar amenazas con Azure Sentinel

  2. Al hacer clic en el botón Crear regla, se abre el Asistente para la creación de reglas basado en la plantilla seleccionada.Clicking the Create rule button opens the rule creation wizard based on the selected template. Todos los detalles se rellenan automáticamente y, con las plantillas Programado o Microsoft security (Seguridad de Microsoft), puede personalizar la lógica y otras configuraciones de reglas para satisfacer mejor sus necesidades específicas.All the details are autofilled, and with the Scheduled or Microsoft security templates, you can customize the logic and other rule settings to better suit your specific needs. Este proceso puede repetirse para crear reglas adicionales en función de la plantilla integrada.You can repeat this process to create additional rules based on the built-in template. Después de seguir los pasos del Asistente para la creación de reglas hasta el final, habrá terminado de crear una regla basada en la plantilla.After following the steps in the rule creation wizard to the end, you will have finished creating a rule based on the template. Las nuevas reglas aparecerán en la pestaña Active rules (Reglas activas).The new rules will appear in the Active rules tab.

    Para más información sobre cómo personalizar las reglas en el Asistente para la creación de reglas, consulte Tutorial: Creación de reglas de análisis personalizadas para detectar amenazas.For more details on how to customize your rules in the rule creation wizard, see Tutorial: Create custom analytics rules to detect threats.

Pasos siguientesNext steps

En este tutorial ha aprendido a detectar amenazas casos mediante Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Para aprender a automatizar las respuestas a las amenazas, consulte Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel.To learn how to automate your responses to threats, Set up automated threat responses in Azure Sentinel.