Trabajar con reglas de análisis de detección de anomalías en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Importante

Las detecciones personalizadas ahora son la mejor manera de crear nuevas reglas en Microsoft Sentinel Microsoft Defender XDR SIEM. Con las detecciones personalizadas, puede reducir los costos de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración sin problemas con Defender XDR datos, funciones y acciones de corrección con la asignación automática de entidades. Para obtener más información, lea este blog.

La característica de anomalías personalizables de Microsoft Sentinel proporciona plantillas de anomalías integradas para el valor inmediato de forma inmediata. Estas plantillas de anomalías se desarrollaron para ser sólidas mediante el uso de miles de orígenes de datos y millones de eventos, pero esta característica también permite cambiar umbrales y parámetros para las anomalías fácilmente dentro de la interfaz de usuario. Las reglas de anomalías están habilitadas o activadas de forma predeterminada, por lo que generarán anomalías de forma inmediata. Puede buscar y consultar estas anomalías en la tabla Anomalías de la sección Registros .

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Visualización de plantillas de regla de anomalías personalizables

Ahora puede encontrar reglas de anomalías que se muestran en una cuadrícula en la pestaña Anomalías de la página Análisis .

  1. Para los usuarios del portal de Microsoft Defender, seleccione Microsoft Sentinel > Configuration > Analytics en el menú de navegación de Microsoft Defender.

    Para los usuarios de Microsoft Sentinel en el Azure Portal, seleccione Análisis en el menú de navegación Microsoft Sentinel.

  2. En la página Análisis , seleccione la pestaña Anomalías .

  3. Para filtrar la lista por uno o varios de los criterios siguientes, seleccione Agregar filtro y elija en consecuencia.

    • Estado : si la regla está habilitada o deshabilitada.

    • Tácticas : las tácticas del marco mitre att&CK cubiertas por la anomalía.

    • Técnicas: las técnicas del marco de trabajo de MITRE ATT&CK cubiertas por la anomalía.

    • Orígenes de datos : el tipo de registros que se deben ingerir y analizar para que se defina la anomalía.

  4. Seleccione una regla y vea la siguiente información en el panel de detalles:

    • Descripción explica cómo funciona la anomalía y los datos que necesita.

    • Las tácticas y técnicas son las tácticas y técnicas del marco de trabajo de MITRE ATT&CK cubiertas por la anomalía.

    • Los parámetros son los atributos configurables para la anomalía.

    • Threshold es un valor configurable que indica el grado en el que un evento debe ser inusual antes de que se cree una anomalía.

    • La frecuencia de regla es el tiempo entre los trabajos de procesamiento de registros que encuentran las anomalías.

    • El estado de la regla indica si la regla se ejecuta en el modo producción o piloto (ensayo) cuando está habilitada.

    • La versión de anomalía muestra la versión de la plantilla que usa una regla. Si desea cambiar la versión usada por una regla que ya está activa, debe volver a crear la regla.

Las reglas que vienen con Microsoft Sentinel de fábrica no se pueden editar ni eliminar. Para personalizar una regla, primero debe crear un duplicado de la regla y, a continuación, personalizar el duplicado. Consulte las instrucciones completas.

Nota:

¿Por qué hay un botón Editar si la regla no se puede editar?

Aunque no puede cambiar la configuración de una regla de anomalías integrada, puede hacer dos cosas:

  1. Puede alternar el estado de regla de la regla entre Producción y Piloto.

  2. Puede enviar comentarios a Microsoft sobre su experiencia con anomalías personalizables.

Evaluación de la calidad de las anomalías

Puede ver el rendimiento de una regla de anomalías revisando un ejemplo de las anomalías creadas por una regla durante el último período de 24 horas.

  1. Para los usuarios de Microsoft Sentinel en el Azure Portal, seleccione Análisis en el menú de navegación Microsoft Sentinel.

    Para los usuarios del portal de Microsoft Defender, seleccione Microsoft Sentinel > Configuration > Analytics en el menú de navegación de Microsoft Defender.

  2. En la página Análisis , seleccione la pestaña Anomalías .

  3. Seleccione la regla que desea evaluar y copie su identificador en la parte superior del panel de detalles a la derecha.

  4. En el menú de navegación Microsoft Sentinel, seleccione Registros.

  5. Si aparece una galería de consultas en la parte superior, ciérrela.

  6. Seleccione la pestaña Tablas en el panel izquierdo de la página Registros .

  7. Establezca el filtro Intervalo de tiempo en Últimas 24 horas.

  8. Copie la consulta kusto siguiente y péguela en la ventana de consulta (donde dice "Escriba la consulta aquí o..."):

    Anomalies 
| where RuleId contains "<RuleId>"

    Pegue el identificador de regla que copió anteriormente en lugar de <RuleId> entre comillas.

  9. Seleccione Ejecutar.

Cuando tenga algunos resultados, puede empezar a evaluar la calidad de las anomalías. Si no tiene resultados, intente aumentar el intervalo de tiempo.

Expanda los resultados de cada anomalía y, a continuación, expanda el campo AnomalyReasons . Esto le indicará por qué se desencadenó la anomalía.

La "razonabilidad" o "utilidad" de una anomalía puede depender de las condiciones de su entorno, pero una razón común para que una regla de anomalías produzca demasiadas anomalías es que el umbral es demasiado bajo.

Ajustar reglas de anomalías

Aunque las reglas de anomalías están diseñadas para lograr la máxima eficacia de forma inmediata, cada situación es única y, a veces, es necesario ajustar las reglas de anomalías.

Dado que no puede editar una regla activa original, primero debe duplicar una regla de anomalía activa y, a continuación, personalizar la copia.

La regla de anomalías original seguirá ejecutándose hasta que la deshabilite o la elimine.

Esto es por diseño, para ofrecerle la oportunidad de comparar los resultados generados por la configuración original y la nueva. Las reglas duplicadas están deshabilitadas de forma predeterminada. Solo puede realizar una copia personalizada de cualquier regla de anomalía determinada. Se producirá un error al intentar realizar una segunda copia.

  1. Para cambiar la configuración de una regla de anomalías, seleccione la regla en la lista de la pestaña Anomalías .

  2. Haga clic con el botón derecho en cualquier lugar de la fila de la regla o haga clic con el botón izquierdo en los puntos suspensivos (...) al final de la fila y, a continuación, seleccione Duplicar en el menú contextual.

    Aparecerá una nueva regla en la lista, con las siguientes características:

    • El nombre de la regla será el mismo que el original, con " - Custom" anexado al final.
    • El estado de la regla será Deshabilitado.
    • El distintivo FLGT aparecerá al principio de la fila para indicar que la regla está en modo piloto.

  3. Para personalizar esta regla, seleccione la regla y seleccione Editar en el panel de detalles o en el menú contextual de la regla.

  4. La regla se abre en el Asistente para reglas de Analytics. Aquí puede cambiar los parámetros de la regla y su umbral. Los parámetros que se pueden cambiar varían según cada tipo de anomalía y algoritmo.

    Puede obtener una vista previa de los resultados de los cambios en el panel Vista previa de resultados. Seleccione un id. de anomalía en la vista previa de resultados para ver por qué el modelo de ML identifica esa anomalía.

  5. Habilite la regla personalizada para generar resultados. Algunos de los cambios pueden requerir que la regla se vuelva a ejecutar, por lo que debe esperar a que finalice y volver a comprobar los resultados en la página de registros. La regla de anomalías personalizada se ejecuta en modo piloto (pruebas) de forma predeterminada. La regla original continúa ejecutándose en modo de producción de forma predeterminada.

  6. Para comparar los resultados, vuelva a la tabla Anomalías de Registros para evaluar la nueva regla como antes, solo use la siguiente consulta en su lugar para buscar anomalías generadas por la regla original, así como la regla duplicada.

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    Pegue el identificador de regla que copió de la regla original en lugar de <RuleId> entre comillas. El valor de AnomalyTemplateId en las reglas original y duplicada es idéntico al valor de en RuleId la regla original.

Si está satisfecho con los resultados de la regla personalizada, puede volver a la pestaña Anomalías , seleccionar la regla personalizada, seleccionar el botón Editar y, en la pestaña General , cambiarla de Piloto a Producción. La regla original cambiará automáticamente a Flighting , ya que no puede tener dos versiones de la misma regla en producción al mismo tiempo.

Pasos siguientes

En este documento, ha aprendido a trabajar con reglas personalizables de análisis de detección de anomalías en Microsoft Sentinel.

  • Last updated on