Detección de amenazas de seguridad y respuesta a ellas mediante Azure Sentinel

  • 4 minutos

La administración de la seguridad a gran escala puede beneficiarse de un sistema de administración de eventos e información de seguridad (SIEM) dedicado. Un sistema SIEM agrega datos de seguridad de muchos orígenes diferentes (siempre y cuando esos orígenes admitan un formato de registro de estándar abierto). También proporciona funciones para la detección de amenazas y la respuesta a ellas.

Azure Sentinel es el sistema SIEM basado en la nube de Microsoft. Usa análisis de seguridad inteligente y análisis de amenazas.

Capacidades de Azure Sentinel

Azure Sentinel permite:

  • Recopilación de datos en la nube a gran escala Recopile datos de todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto locales como de varias nubes.
  • Detección de amenazas no detectadas anteriormente Minimice los falsos positivos mediante el análisis y la inteligencia sobre amenazas completos de Microsoft.
  • Investigación de amenazas con inteligencia artificial Examine actividades sospechosas a gran escala y saque provecho de los años de experiencia en el campo de la ciberseguridad de Microsoft.
  • Respuesta rápida a los incidentes Use la orquestación y la automatización de tareas comunes integradas.

Conexión de los orígenes de datos

Tailwind Traders decide explorar las capacidades de Azure Sentinel. En primer lugar, la empresa identifica y conecta sus orígenes de datos.

Azure Sentinel admite una serie de orígenes de datos que puede analizar en busca de eventos de seguridad. Estas conexiones las administran conectores integrados o API y formatos de registro estándar del sector.

  • Conexión de soluciones de Microsoft Los conectores proporcionan integración en tiempo real para servicios como las soluciones de Protección contra amenazas de Microsoft, orígenes de Microsoft 365 (incluido Office 365), Azure Active Directory y Firewall de Windows Defender.
  • Conexión de otros servicios y soluciones Hay conectores disponibles para servicios y soluciones comunes que no son de Microsoft, incluidos AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud y Okta SSO.
  • Conexión de orígenes de datos estándar del sector Azure Sentinel admite datos de otros orígenes que usan el estándar de mensajería Formato de evento común (CEF), Syslog o la API REST.

Detectar amenazas

Tailwind Traders debe recibir notificaciones de cualquier actividad sospechosa. Decide usar tanto análisis integrados como reglas personalizadas para detectar las amenazas.

Los análisis integrados usan plantillas diseñadas por el equipo de expertos y analistas de seguridad de Microsoft que se basan en amenazas conocidas, vectores de ataque comunes y cadenas de escalado de actividades sospechosas. Estas plantillas se pueden personalizar y buscan cualquier actividad que parezca sospechosa en el entorno. En algunas plantillas se usan análisis de comportamiento de aprendizaje automático que se basan en algoritmos propiedad de Microsoft.

Los análisis personalizados son reglas que se crean para buscar criterios concretos en el entorno. Se puede obtener una vista previa del número de resultados que generaría la consulta (en función de eventos de registro pasados) y establecer una programación para que se ejecute la consulta. También se puede establecer un umbral de alerta.

Investigación y respuesta

Cuando Azure Sentinel detecta eventos sospechosos, Tailwind Traders puede investigar alertas o incidentes (un grupo de alertas relacionadas) concretos. Con el grafo de investigación, la empresa puede revisar información de entidades directamente conectadas a la alerta y ver consultas de exploración comunes para ayudar a guiar la investigación.

Este es un ejemplo en el que se muestra el aspecto de un grafo de investigación en Azure Sentinel.

Ejemplo de grafo de investigación de incidentes en Azure Sentinel.

La empresa también usará Libros de Azure Monitor para automatizar las respuestas a las amenazas. Por ejemplo, puede establecer una alerta que busque direcciones IP malintencionadas que accedan a la red y crear un libro que siga estos pasos:

  1. Cuando se desencadene la alerta, abrir una incidencia en el sistema de incidencias de TI.
  2. Enviar un mensaje al canal de operaciones de seguridad de Microsoft Teams o Slack para asegurarse de que los analistas de seguridad conocen el incidente.
  3. Enviar toda la información de la alerta al administrador de red sénior y al administrador de seguridad. El mensaje de correo electrónico incluye dos botones de opción de usuario: Bloquear u Omitir.

Cuando un administrador selecciona Bloquear, la dirección IP se bloquea en el firewall y el usuario se deshabilita en Azure Active Directory. Cuando un administrador selecciona Omitir, la alerta se cierra en Azure Sentinel y el incidente se cierra en el sistema de incidencias de TI.

El libro se sigue ejecutando después de recibir una respuesta de los administradores.

Los libros se pueden ejecutar manual o automáticamente cuando una regla desencadena una alerta.