Agregación de entidades a la inteligencia sobre amenazas en Microsoft Sentinel
Durante una investigación, se examinan las entidades y su contexto como parte importante de la comprensión del ámbito y la naturaleza de un incidente. Al detectar una entidad como un nombre de dominio malintencionado, una dirección URL, un archivo o una dirección IP en el incidente, se debe etiquetar y realizar un seguimiento como un indicador de peligro (IOC) en la inteligencia sobre amenazas.
Por ejemplo, puede detectar una dirección IP que realiza exámenes de puerto en la red o funciona como un nodo de comando y control mediante el envío o recepción de transmisiones de un gran número de nodos de la red.
Con Microsoft Sentinel, puede marcar estos tipos de entidades desde dentro de la investigación de incidentes y agregarlos a la inteligencia sobre amenazas. Puede ver los indicadores agregados en Registros eInteligencia sobre amenazas, y usarlos en el área de trabajo de Microsoft Sentinel.
Adición de una entidad a la inteligencia sobre amenazas
La página de detalles del incidente y el gráfico de investigación proporcionan dos maneras de agregar entidades a la inteligencia sobre amenazas.
En el menú de Microsoft Sentinel, seleccione Incidentes en la sección Administración de amenazas.
Seleccione un incidente para investigar. En el panel Detalles del incidente, seleccione Ver detalles completos para abrir la página Detalles del incidente.
En el panel Entidades, busque la entidad que desea agregar como indicador de amenazas. (Puede filtrar la lista o escribir una cadena de búsqueda para ayudarle a localizarla).
Seleccione los tres puntos a la derecha de la entidad y seleccione Agregar a TI en el menú emergente.
Agregue solo los siguientes tipos de entidades como indicadores de amenazas:
- Nombre de dominio
- Dirección IP (IPv4 e IPv6)
- URL
- Archivo (hash)
Sea cual sea la interfaz que elija, acabará aquí.
Se abre el panel lateral Nuevo indicador. Los campos siguientes se rellenan automáticamente:
Tipos
- Tipo de indicador representado por la entidad que va a agregar.
- Lista desplegable con valores posibles:
ipv4-addr
,ipv6-addr
,URL
,file
ydomain-name
.
- Lista desplegable con valores posibles:
- Necesario. Rellenado automáticamente en función del tipo de entidad.
- Tipo de indicador representado por la entidad que va a agregar.
Valor
- El nombre de este campo cambia dinámicamente al tipo de indicador seleccionado.
- Valor del indicador propiamente.
- Necesario. Rellenado automáticamente por el valor de la entidad.
Etiquetas
- Etiquetas de texto libre que puede agregar al indicador.
- Opcional. Rellenado automáticamente por el identificador de incidente. Puede añadir otros.
Nombre
- Nombre del indicador. Este nombre es el que aparece en tu lista de indicadores.
- Opcional. Rellenado automáticamente por el nombre de incidente.
Creado por
- Creador del indicador.
- Opcional. Rellenado automáticamente por el usuario que inició sesión en Microsoft Sentinel.
Rellene los campos restantes en consecuencia.
Tipos de amenaza
- Tipo de amenaza representado por el indicador.
- Opcional. Texto libre.
Descripción
- Descripción del indicador.
- Opcional. Texto libre.
Revocada
- Estado revocado del indicador. Active la casilla para revocar el indicador. Desactive la casilla para activarla.
- Opcional. booleano.
Confianza
- Puntuación que refleja la confianza en la exactitud de los datos, por porcentaje.
- Opcional. Entero, 1-100.
Cadenas de eliminación
- Fases de Cyber Kill Chain de Kockheed Martin a las que corresponde el indicador.
- Opcional. Texto libre.
Válido desde
- Hora a partir de la cual este indicador se considera válido.
- Necesario. Fecha y hora.
Válido hasta
- Hora a partir de la cual este indicador ya no debe considerarse válido.
- Opcional. Fecha y hora.
Cuando todos los campos estén rellenados como quiera, seleccione Aplicar. Aparece un mensaje en la esquina superior derecha para confirmar que se creó el indicador.
La entidad se agrega como indicador de amenaza en el área de trabajo. Puede encontrarlo en la lista de indicadores de la página Inteligencia sobre amenazas. También puede encontrarlo en la tabla ThreatIntelligenceIndicators en Registros.
Contenido relacionado
En este artículo, ha aprendido a agregar entidades a las listas de indicadores de amenazas. Vea los siguientes artículos para más información: