Comprender conceptos de inteligencia sobre amenazas

  • Artículo

Se aplica a:

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Varios eventos malintencionados complejos, atributos e información contextual comprenden ataques de ciberseguridad avanzados. Identificar y decidir cuál de estas actividades califica como sospechosas puede ser una tarea difícil. Su conocimiento de los atributos conocidos y las actividades anómalas específicas de su sector es fundamental para saber cuándo llamar a un comportamiento observado como sospechoso.

Con Microsoft Defender XDR, puede crear alertas de amenazas personalizadas que puedan ayudarle a realizar un seguimiento de las posibles actividades de ataque en su organización. Puede marcar eventos sospechosos para crear pistas y posiblemente detener una cadena de ataques. Estas alertas de amenazas personalizadas solo aparecerán en su organización y marcarán los eventos que establezca para realizar el seguimiento.

Antes de crear alertas de amenazas personalizadas, es importante conocer los conceptos subyacentes a las definiciones de alertas e indicadores de riesgo (IOC) y la relación entre ellas.

Definiciones de alertas

Las definiciones de alertas son atributos contextuales que se pueden usar colectivamente para identificar pistas tempranas sobre un posible ataque de ciberseguridad. Estos indicadores suelen ser una combinación de actividades, características y acciones realizadas por un atacante para lograr con éxito el objetivo de un ataque. La supervisión de estas combinaciones de atributos es fundamental para obtener un punto de vista frente a ataques y posiblemente interferir con la cadena de eventos antes de que se alcance el objetivo de un atacante.

Indicadores de compromiso (COI)

Los IOC son eventos malintencionados conocidos individualmente que indican que ya se ha infringido una red o un dispositivo. A diferencia de las definiciones de alerta, estos indicadores se consideran evidencia de una infracción. A menudo se ven después de que ya se haya llevado a cabo un ataque y se haya alcanzado el objetivo, como la filtración. El seguimiento de los IOC también es importante durante las investigaciones forenses. Aunque es posible que no pueda intervenir con una cadena de ataques, la recopilación de estos indicadores puede ser útil para crear mejores defensas para posibles ataques futuros.

Relación entre definiciones de alerta e IOC

En el contexto de Microsoft Defender XDR y Microsoft Defender para punto de conexión, las definiciones de alerta son contenedores para IOC y definen la alerta, incluidos los metadatos que se generan para una coincidencia de IOC específica. Se proporcionan varios metadatos como parte de las definiciones de alerta. Los metadatos, como el nombre de definición de alerta de ataque, gravedad y descripción, se proporcionan junto con otras opciones.

Cada COI define la lógica de detección concreta en función de su tipo, valor y acción, que determina cómo se compara. Se enlaza a una definición de alerta específica que define cómo se muestra una detección como una alerta en la consola de Microsoft Defender XDR.

Este es un ejemplo de un IOC:

  • Tipo: Sha1
  • Valor: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Acción: igual a

Los IOC tienen una relación de varios a uno con definiciones de alertas, de modo que una definición de alerta puede tener muchos IOC que se correspondan con ella.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.