Detección de un ataque avanzado de varias fases en Microsoft Sentinel
Microsoft Sentinel usa Fusion, un motor de correlación basado en algoritmos de aprendizaje automático escalable, para detectar automáticamente ataques de varias fases (también conocidos como amenazas persistentes avanzadas o APT) al identificar combinaciones de comportamientos anómalos y de actividades sospechosas que se observan en diversas fases de la cadena de eliminación. A partir de estas detecciones, Microsoft Sentinel genera incidentes que, de otro modo, serían muy difíciles de detectar. Estos incidentes incluyen dos o más alertas o actividades. Por diseño, estos incidentes tienen poco volumen, alta fidelidad y alta gravedad.
Cuando se personaliza para adaptarla a su entorno, esta tecnología de detección no solo reduce las tasas de falsos positivos, sino que también puede detectar ataques con información limitada o que falta.
Dado que Fusion correlaciona varias señales de diferentes productos para detectar ataques avanzados en varias fases, las detecciones de Fusion correctas se presentan comoincidentes de Fusion en la página Incidentes de Microsoft Sentinel y no como alertas, y se almacenan en la tabla SecurityIncident de Registros y no en la tabla SecurityAlert.
Configuración de Fusion
Fusion está habilitado de forma predeterminada en Microsoft Sentinel como una regla de análisis denominada Detección avanzada de ataques de varias fases. Puede ver y cambiar el estado de la regla, configurar las señales de origen para que se incluyan en el modelo de ML de Fusion o excluir patrones de detección específicos que podrían no ser aplicables a su entorno desde la detección de Fusion. Aprenda a configurar la regla de Fusion.
Nota
Actualmente, Microsoft Sentinel usa 30 días de datos del historial para entrenar los algoritmos de aprendizaje automático de Fusion. Estos datos siempre se cifran mediante las claves de Microsoft cuando pasan por la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante claves administradas por el cliente (CMK) si CMK se ha habilitado en el área de trabajo de Microsoft Sentinel. Para deshabilitar Fusion, vaya a Microsoft Sentinel>Configuración>Análisis > Reglas activas, haga clic con el botón derecho en la regla Detección avanzada de ataques de varias fases y seleccione Deshabilitar.
En el caso de las áreas de trabajo de Microsoft Sentinel que se incorporan al portal de Microsoft Defender, Fusion está deshabilitada. Su funcionalidad se reemplaza por el motor de correlación XDR de Microsoft Defender.
Fusion para amenazas emergentes
Importante
Las detecciones de Fusion indicadas están actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Configuración de Fusion
Fusion está habilitado de forma predeterminada en Microsoft Sentinel como una regla de análisis denominada Detección avanzada de ataques de varias fases. Puede ver y cambiar el estado de la regla, configurar las señales de origen que se incluirán en el modelo de Fusion ML o excluir patrones de detección específicos que podrían no ser aplicables al entorno de la detección de Fusion. Aprenda a configurar la regla de Fusion.
Es posible que prefiera no participar en Fusion si ha habilitado Claves administradas por el cliente (CMK) en el área de trabajo. Microsoft Sentinel usa actualmente 30 días de datos históricos para entrenar los algoritmos de aprendizaje automático del motor de Fusion y estos datos siempre se cifran mediante claves de Microsoft a medida que pasa a través de la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante CMK. Para no participar en Fusion, deshabilite la regla de análisis Detección avanzada de ataques multistage en Microsoft Sentinel. Para obtener más información, vea Configurar reglas de Fusion.
Fusion está deshabilitado en áreas de trabajo de Microsoft Sentinel que se incorporan a la plataforma de operaciones de seguridad unificadas (SecOps) de Microsoft en el portal de Microsoft Defender. En su lugar, al trabajar con la plataforma unificada de SecOps de Microsoft, la funcionalidad proporcionada por Fusion se reemplaza por el motor de correlación XDR de Microsoft Defender.
Fusión para amenazas emergentes (versión preliminar)
El volumen de eventos de seguridad sigue creciendo y el ámbito y la sofisticación de los ataques no paran de crecer. Podemos definir los escenarios de ataque conocidos, pero ¿qué pasa con las amenazas emergentes y desconocidas del entorno?
El motor de Fusion con tecnología de ML de Microsoft Sentinel puede ayudarle a encontrar las amenazas emergentes y desconocidas del entorno mediante la aplicación de análisis extendido de ML y la correlación de un ámbito más amplio de señales anómalas al mismo tiempo que reduce la fatiga por alertas.
Los algoritmos de ML del motor de Fusion aprenden constantemente de los ataques existentes y aplican análisis en función de cómo piensan los analistas de seguridad. Por lo tanto, puede detectar amenazas no detectadas previamente de millones de comportamientos anómalos en la cadena de eliminación en todo el entorno, lo que le ayuda a estar un paso por delante de los atacantes.
Fusion para amenazas emergentes admite la recopilación y el análisis de datos de los orígenes siguientes:
Alertas de los servicios de Microsoft:
- Protección de Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender para IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Defender para Office 365
Alertas de reglas de análisis programadas. Las reglas de análisis deben contener información sobre la cadena de terminación (táctica) y la asignación de entidades para que Fusion las pueda usar.
No es necesario que haya conectado todos los orígenes de datos enumerados anteriormente para que Fusion funcione para las amenazas emergentes. Sin embargo, cuantos más orígenes de datos haya conectado, mayor será la cobertura y más amenazas encontrará Fusion.
Cuando las correlaciones del motor de Fusion dan lugar a la detección de una amenaza emergente, Microsoft Sentinel genera un incidente de alta gravedad titulado Posibles actividades de ataque multistage detectadas por Fusion.
Fusion para ransomware
El motor de Fusion de Microsoft Sentinel genera un incidente cuando detecta varias alertas de diferentes tipos de los siguientes orígenes de datos y determina que podrían estar relacionados con la actividad de ransomware:
- Microsoft Defender for Cloud
- Microsoft Defender para punto de conexión
- Conector de Microsoft Defender for Identity
- Microsoft Defender para aplicaciones en la nube
- Reglas de análisis programadas de Microsoft Sentinel. Fusion solo tiene en cuenta las reglas de análisis programadas con información táctica y entidades asignadas.
Esos incidentes de Fusion se denominan Se han detectado varias alertas posiblemente relacionadas con la actividad de ransomware y se generan cuando se detectan alertas relevantes durante un período de tiempo específico. Además, están asociadas a las fases Ejecución y Evasión defensiva de un ataque.
Por ejemplo, Microsoft Sentinel generaría un incidente para posibles actividades de ransomware si se desencadenan las siguientes alertas en el mismo host en un período de tiempo específico:
| Alerta | Source | Gravedad |
|---|---|---|
| Error de Windows y eventos de advertencia | Reglas de análisis programadas de Microsoft Sentinel | Informational (Informativa) |
| Se evitó el ransomware “GandCrab” . | Microsoft Defender for Cloud | medio |
| Se detectó el malware “Emotet” . | Microsoft Defender para punto de conexión | Informational (Informativa) |
| Se detectó la puerta trasera "Tofsee" . | Microsoft Defender for Cloud | low |
| Se detectó el malware “Parite” . | Microsoft Defender para punto de conexión | Informational (Informativa) |
Detecciones de Fusion basadas en escenarios
En la sección siguiente se enumeran los tipos de ataques de varias fases basados en escenario, agrupados por clasificación de amenazas, que Microsoft Sentinel detecta mediante el motor de correlación de Fusion.
Para habilitar estos escenarios de detección de ataques con tecnología de Fusion, sus orígenes de datos asociados deben ingerirse en el área de trabajo de Log Analytics. Seleccione los vínculos de la tabla siguiente para obtener información sobre cada escenario y sus orígenes de datos asociados.
Contenido relacionado
Para más información, vea: