Investigación de incidentes con Microsoft Sentinel (heredado)

  • Se aplica a: Microsoft Sentinel in the Azure portal

Este artículo le ayuda a usar la experiencia heredada de investigación de incidentes de Microsoft Sentinel. Si usa la versión más reciente de la interfaz, use el conjunto más reciente de instrucciones para que coincidan. Para obtener más información, consulte Navegación e investigación de incidentes en Microsoft Sentinel.

Después de conectar los orígenes de datos a Microsoft Sentinel, quiere recibir una notificación cuando se produzca algo sospechoso. Para que pueda hacerlo, Microsoft Sentinel le permite crear reglas de análisis avanzadas que generan incidentes que puede asignar e investigar.

Un incidente puede incluir varias alertas. Es una agregación de todas las pruebas pertinentes para una investigación específica. Un incidente se crea en función de las reglas de análisis que ha creado en la página Análisis . Las propiedades relacionadas con las alertas, como la gravedad y el estado, se establecen en el nivel de incidente. Después de que Microsoft Sentinel sepa qué tipos de amenazas está buscando y cómo encontrarlas, puede supervisar las amenazas detectadas mediante la investigación de incidentes.

Importante

Las características anotadas están actualmente en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Requisitos previos

  • Solo podrá investigar el incidente si usó los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.

  • Si tiene un usuario invitado que necesita asignar incidentes, se le debe asignar el rol Lector de directorios en el inquilino de Microsoft Entra. Los usuarios normales (nonguest) tienen este rol asignado de forma predeterminada.

Investigación de incidentes

  1. Seleccione Incidentes. La página Incidentes le permite saber cuántos incidentes tiene y si son nuevos, activos o cerrados. Para cada incidente, puede ver la hora en que se produjo y el estado del incidente. Examine la gravedad para decidir qué incidentes debe controlar primero.

    Captura de pantalla de la vista de gravedad del incidente.

  2. Puede filtrar los incidentes según sea necesario, por ejemplo por estado o gravedad. Para obtener más información, consulte Búsqueda de incidentes.

  3. Para comenzar una investigación, seleccione un incidente específico. A la derecha, puede ver información detallada sobre el incidente, incluida su gravedad, el resumen del número de entidades implicadas, los eventos sin procesar que desencadenaron este incidente, el identificador único del incidente y cualquier táctica o técnica de MITRE ATT asignada&CK.

  4. Para ver más detalles sobre las alertas y entidades del incidente, seleccione Ver detalles completos en la página del incidente y revise las pestañas pertinentes que resumen la información del incidente.

    Captura de pantalla de la vista de los detalles de la alerta.

    • Si actualmente usa la nueva experiencia, desactive esta opción en la parte superior derecha de la página de detalles del incidente para usar la experiencia heredada en su lugar.

    • En la pestaña Escala de tiempo , revise la escala de tiempo de las alertas y marcadores del incidente, lo que puede ayudarle a reconstruir la escala de tiempo de la actividad del atacante.

    • En la pestaña Incidentes similares (versión preliminar), verá una colección de hasta 20 incidentes más similares al incidente actual. Esto le permite ver el incidente en un contexto mayor y ayuda a dirigir la investigación. Más información sobre incidentes similares a continuación.

    • En la pestaña Alertas , revise las alertas incluidas en este incidente. Verá toda la información relevante sobre las alertas: las reglas de análisis que las generaron, el número de resultados devueltos por alerta y la capacidad de ejecutar cuadernos de estrategias en las alertas. Para profundizar aún más en el incidente, seleccione el número de eventos. Esto abre la consulta que generó los resultados y los eventos que desencadenaron la alerta en Log Analytics.

    • En la pestaña Marcadores , verá los marcadores que usted u otros investigadores hayan vinculado a este incidente. Obtenga más información sobre los marcadores.

    • En la pestaña Entidades , puede ver todas las entidades que ha asignado como parte de la definición de la regla de alertas. Estos son los objetos que desempeñaron un papel en el incidente, ya sean usuarios, dispositivos, direcciones, archivos o cualquier otro tipo.

    • Por último, en la pestaña Comentarios , puede agregar sus comentarios a la investigación y ver los comentarios realizados por otros analistas e investigadores. Obtenga más información sobre los comentarios.

  5. Si está investigando activamente un incidente, es una buena idea establecer el estado del incidente en Activo hasta que lo cierre.

  6. Los incidentes se pueden asignar a un usuario específico o a un grupo. Para cada incidente, puede asignar un propietario estableciendo el campo Propietario . Todos los incidentes comienzan como sin asignar. También puede agregar comentarios para que otros analistas puedan comprender lo que investigó y cuáles son sus preocupaciones en torno al incidente.

    Captura de pantalla de la asignación de un incidente al usuario.

    Los usuarios y grupos seleccionados recientemente aparecen en la parte superior de la lista desplegable de imágenes.

  7. Seleccione Investigar para ver el mapa de investigación.

Uso del gráfico de investigación para profundizar

El gráfico de investigación permite a los analistas formular las preguntas adecuadas para cada investigación. El gráfico de investigación le ayuda a comprender el ámbito e identificar la causa principal de una posible amenaza de seguridad mediante la correlación de datos pertinentes con cualquier entidad implicada. Puede profundizar e investigar cualquier entidad que se presente en el gráfico seleccionándolo y eligiendo entre diferentes opciones de expansión.

El gráfico de investigación proporciona lo siguiente:

  • Contexto visual de datos sin procesar: el gráfico visual dinámico muestra las relaciones de entidad extraídas automáticamente de los datos sin procesar. Esto le permite ver fácilmente las conexiones entre diferentes orígenes de datos.

  • Detección de ámbito de investigación completa: expanda el ámbito de investigación mediante consultas de exploración integradas para exponer el ámbito completo de una infracción.

  • Pasos de investigación integrados: use opciones de exploración predefinidas para asegurarse de que está haciendo las preguntas adecuadas frente a una amenaza.

Para usar el gráfico de investigación:

  1. Seleccione un incidente y, a continuación, seleccione Investigar. Esto le lleva al gráfico de investigación. El gráfico proporciona un mapa ilustrativo de las entidades conectadas directamente a la alerta y cada recurso conectado aún más.

    Ver mapa.

    Importante

    • Solo podrá investigar el incidente si usó los campos de asignación de entidades al configurar la regla de análisis. El gráfico de investigación requiere que el incidente original incluya entidades.

    • Microsoft Sentinel admite actualmente la investigación de incidentes de hasta 30 días de antigüedad.

  2. Seleccione una entidad para abrir el panel Entidades , de modo que pueda revisar la información sobre esa entidad.

    Visualización de entidades en el mapa

  3. Expanda la investigación manteniendo el puntero sobre cada entidad para mostrar una lista de preguntas diseñada por nuestros expertos y analistas de seguridad por tipo de entidad para profundizar en la investigación. Llamamos a estas consultas de exploración de opciones.

    Explorar más detalles

    Por ejemplo, puede solicitar alertas relacionadas. Si selecciona una consulta de exploración, los títulos resultantes se vuelven a agregar al gráfico. En este ejemplo, al seleccionar Alertas relacionadas se devuelven las siguientes alertas en el gráfico:

    Captura de pantalla: visualización de alertas relacionadas

    Vea que las alertas relacionadas aparecen conectadas a la entidad por líneas de puntos.

  4. Para cada consulta de exploración, puede seleccionar la opción para abrir los resultados de eventos sin procesar y la consulta usada en Log Analytics; para ello, seleccione Eventos>.

  5. Para comprender el incidente, el gráfico proporciona una escala de tiempo paralela.

    Captura de pantalla: ver escala de tiempo en el mapa.

  6. Mantenga el puntero sobre la escala de tiempo para ver qué cosas del gráfico se produjeron en qué momento.

    Captura de pantalla: use la escala de tiempo en el mapa para investigar alertas.

Centrar la investigación

Obtenga información sobre cómo puede ampliar o restringir el ámbito de la investigación agregando alertas a los incidentes o quitando las alertas de los incidentes.

Incidentes similares (versión preliminar)

Como analista de operaciones de seguridad, al investigar un incidente, quiere prestar atención a su contexto más amplio. Por ejemplo, querrá ver si otros incidentes como este han ocurrido antes o están ocurriendo ahora.

  • Es posible que desee identificar incidentes simultáneos que podrían formar parte de la misma estrategia de ataque más grande.

  • Es posible que quiera identificar incidentes similares en el pasado para usarlos como puntos de referencia para la investigación actual.

  • Es posible que quiera identificar a los propietarios de incidentes similares pasados, para encontrar a las personas del SOC que pueden proporcionar más contexto o a quién puede escalar la investigación.

La pestaña Incidentes similares de la página de detalles del incidente, ahora en versión preliminar, presenta hasta 20 incidentes más que son los más similares al actual. La similitud se calcula mediante algoritmos de Microsoft Sentinel internos y los incidentes se ordenan y se muestran en orden descendente de similitud.

Captura de pantalla de la pantalla de incidentes similares.

Cálculo de similitud

Hay tres criterios por los que se determina la similitud:

  • Entidades similares: Un incidente se considera similar a otro incidente si ambos incluyen las mismas entidades. Cuantos más entidades tengan dos incidentes en común, más similares se considerarán.

  • Regla similar: Un incidente se considera similar a otro incidente si ambos se crearon mediante la misma regla de análisis.

  • Detalles de alerta similares: Un incidente se considera similar a otro incidente si comparten el mismo título, nombre de producto o detalles personalizados.

Los motivos por los que aparece un incidente en la lista de incidentes similares se muestran en la columna Motivo de similitud . Mantenga el puntero sobre el icono de información para mostrar los elementos comunes (entidades, nombre de regla o detalles).

Captura de pantalla de la visualización emergente de detalles de incidentes similares.

Período de tiempo de similitud

La similitud del incidente se calcula en función de los datos de los 14 días anteriores a la última actividad del incidente, que es la hora de finalización de la alerta más reciente del incidente.

La similitud de incidentes se vuelve a calcular cada vez que se escribe la página de detalles del incidente, por lo que los resultados pueden variar entre sesiones si se crean o actualizan nuevos incidentes.

Comentario sobre incidentes

Como analista de operaciones de seguridad, al investigar un incidente, querrá documentar exhaustivamente los pasos que realice, tanto para garantizar la creación de informes precisos a la administración como para permitir una cooperación y colaboración sin problemas entre compañeros de trabajo. Microsoft Sentinel le proporciona un entorno de comentarios enriquecido para ayudarle a lograrlo.

Otra cosa importante que puede hacer con los comentarios es enriquecer los incidentes automáticamente. Al ejecutar un cuaderno de estrategias sobre un incidente que captura información relevante de orígenes externos (por ejemplo, comprobar un archivo para detectar malware en VirusTotal), puede hacer que el cuaderno de estrategias coloque la respuesta del origen externo (junto con cualquier otra información que defina) en los comentarios del incidente.

Los comentarios son fáciles de usar. Puede acceder a ellos a través de la pestaña Comentarios de la página de detalles del incidente.

Captura de pantalla de la visualización y la entrada de comentarios.

Preguntas más frecuentes sobre los comentarios de incidentes

Hay varias consideraciones que se deben tener en cuenta al usar comentarios de incidentes. La siguiente lista de preguntas apunta a estas consideraciones.

¿Qué tipos de entrada se admiten?

  • Texto: Los comentarios de Microsoft Sentinel admiten entradas de texto en texto sin formato, HTML básico y Markdown. También puede pegar texto copiado, HTML y Markdown en la ventana de comentario.

  • Imágenes: Puede insertar vínculos a imágenes en comentarios y las imágenes se muestran en línea, pero las imágenes ya deben estar hospedadas en una ubicación accesible públicamente, como Dropbox, OneDrive, Google Drive y similares. Las imágenes no se pueden cargar directamente en los comentarios.

¿Hay un límite de tamaño en los comentarios?

  • Por comentario: Un solo comentario puede contener hasta 30 000 caracteres.

  • Por incidente: Un único incidente puede contener hasta 100 comentarios.

    Nota:

    El límite de tamaño de un único registro de incidentes en la tabla SecurityIncident de Log Analytics es de 64 KB. Si se supera este límite, los comentarios (a partir de los primeros) se truncarán, lo que puede afectar a los comentarios que aparecerán en los resultados de búsqueda avanzados .

    Los registros de incidentes reales de la base de datos de incidentes no se verán afectados.

¿Quién puede editar o eliminar comentarios?

  • Edición: Solo el autor de un comentario tiene permiso para editarlo.

  • Eliminación de: Solo los usuarios con el rol colaborador de Microsoft Sentinel tienen permiso para eliminar comentarios. Incluso el autor del comentario debe tener este rol para eliminarlo.

Cerrar un incidente

Una vez que resuelva un incidente determinado (por ejemplo, cuando la investigación haya llegado a su conclusión), debe establecer el estado del incidente en Cerrado. Cuando lo haga, se le pedirá que clasifique el incidente especificando el motivo por el que lo cierra. Este paso es obligatorio. Seleccione Seleccionar clasificación y elija una de las siguientes opciones en la lista desplegable:

  • Verdadero positivo: actividad sospechosa
  • Positivo benigno: sospechoso pero esperado
  • Falso positivo: lógica de alerta incorrecta
  • Falso positivo: datos incorrectos
  • Sin determinar

Captura de pantalla que resalta las clasificaciones disponibles en la lista Seleccionar clasificación.

Para obtener más información sobre los falsos positivos y los positivos benignos, consulte Control de falsos positivos en Microsoft Sentinel.

Después de elegir la clasificación adecuada, agregue texto descriptivo en el campo Comentario . Esto resulta útil en caso de que necesite volver a hacer referencia a este incidente. Seleccione Aplicar cuando haya terminado y el incidente esté cerrado.

Captura de pantalla del cierre de un incidente.

Búsqueda de incidentes

Para buscar rápidamente un incidente específico, escriba una cadena de búsqueda en el cuadro de búsqueda situado encima de la cuadrícula de incidentes y presione Entrar para modificar la lista de incidentes que se muestra en consecuencia. Si el incidente no se incluye en los resultados, es posible que desee restringir la búsqueda mediante las opciones de búsqueda avanzada .

Para modificar los parámetros de búsqueda, seleccione el botón Buscar y, a continuación, seleccione los parámetros donde desea ejecutar la búsqueda.

Por ejemplo:

Captura de pantalla del cuadro de búsqueda de incidentes y el botón para seleccionar opciones de búsqueda básicas o avanzadas.

De forma predeterminada, las búsquedas de incidentes se ejecutan solo en los valores Id. de incidente, Título, Etiquetas, Propietario y Nombre del producto . En el panel de búsqueda, desplácese hacia abajo por la lista para seleccionar uno o varios otros parámetros para buscar y seleccione Aplicar para actualizar los parámetros de búsqueda. Seleccione Establecer para restablecer de forma predeterminada los parámetros seleccionados a la opción predeterminada.

Nota:

Las búsquedas en el campo Propietario admiten nombres y direcciones de correo electrónico.

El uso de opciones de búsqueda avanzadas cambia el comportamiento de la búsqueda de la siguiente manera:

Comportamiento de búsqueda Description
Color del botón Buscar El color del botón de búsqueda cambia, en función de los tipos de parámetros que se usan actualmente en la búsqueda.
  • Siempre que solo se seleccionen los parámetros predeterminados, el botón será gris.
  • En cuanto se seleccionan diferentes parámetros, como los parámetros de búsqueda avanzada, el botón se vuelve azul.
Actualización automática El uso de parámetros de búsqueda avanzada impide que seleccione para actualizar automáticamente los resultados.
Parámetros de entidad Todos los parámetros de entidad son compatibles con las búsquedas avanzadas. Al buscar en cualquier parámetro de entidad, la búsqueda se ejecuta en todos los parámetros de entidad.
Cadenas de búsqueda La búsqueda de una cadena de palabras incluye todas las palabras de la consulta de búsqueda. Las cadenas de búsqueda distinguen mayúsculas de minúsculas.
Compatibilidad entre áreas de trabajo Las búsquedas avanzadas no se admiten para vistas entre áreas de trabajo.
Número de resultados de búsqueda mostrados Cuando se usan parámetros de búsqueda avanzada, solo se muestran 50 resultados a la vez.

Sugerencia

Si no encuentra el incidente que está buscando, quite los parámetros de búsqueda para expandir la búsqueda. Si la búsqueda da como resultado demasiados elementos, agregue más filtros para restringir los resultados.

Contenido relacionado

En este artículo, ha aprendido a empezar a investigar incidentes mediante Microsoft Sentinel. Para más información, vea:

  • Last updated on