Creación de una regla de análisis programada desde cero
Ya configuró conectores y otros medios de recopilación de datos de actividad en su patrimonio digital. Ahora debe profundizar en todos los datos para detectar patrones de actividad y detectar actividades que no se ajusten a esos patrones y que puedan representar una amenaza de seguridad.
Microsoft Sentinel y sus numerosas soluciones proporcionadas en el Centro de contenido ofrecen plantillas para los tipos de reglas de análisis más comunes. Le recomendamos encarecidamente que use esas plantillas y las personalice para adaptarlas a los escenarios específicos de su empresa. Sin embargo, es posible que necesite algo completamente distinto, por lo que en ese caso puede crear una regla desde cero mediante el Asistente para reglas de Analytics.
En este artículo se describe el proceso de creación de una regla de análisis desde cero, incluido el uso del asistente para reglas de análisis. Va acompañado de capturas de pantalla e instrucciones para acceder al asistente tanto en Azure Portal como en el portal de Defender.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Debe tener el rol de colaborador de Microsoft Sentinel o cualquier otro rol o conjunto de permisos que incluya permisos de escritura en el área de trabajo de Log Analytics y su grupo de recursos.
Debe tener al menos conocimientos básicos sobre ciencia y análisis de datos, y el lenguaje de consulta Kusto.
Debe familiarizarse con el Asistente para reglas de análisis y todas las opciones de configuración disponibles. Para más información, vea Reglas de análisis programadas en Microsoft Sentinel.
Diseño y compilación de la consulta
Antes de hacer nada, debe diseñar y compilar una consulta en el Lenguaje de consulta Kusto (KQL), que la regla usará para consultar una o varias tablas en el área de trabajo de Log Analytics.
Determine un origen de datos, o un conjunto de orígenes de datos, en el que quiera buscar para detectar actividades inusuales o sospechosas. Busque el nombre de la tabla de Log Analytics en la que se ingieren los datos desde esos orígenes. Encontrará el nombre de la tabla en la página del conector de datos de ese origen. Use el nombre de esa tabla (o una función basada en ella) como base para la consulta.
Decida qué tipo de análisis debe realizar la consulta en la tabla. Esta decisión determinará qué comandos y funciones se deben usar en la consulta.
Decida qué elementos de datos (campos o columnas) se deben obtener de los resultados de la consulta. Esta decisión determinará cómo se estructurará el resultado de la consulta.
Compile y pruebe las consultas en la pantalla Registros. Cuando esté conforme, guarde la consulta para usarla en la regla.
Para obtener algunas sugerencias útiles a fin de crear consultas de Kusto, vea Procedimientos recomendados para las consultas de reglas de análisis.
Para obtener más ayuda para crear consultas de Kusto, consulte Lenguaje de consulta Kusto en Microsoft Sentinel y Procedimientos recomendados para consultas del Lenguaje de consulta Kusto.
Creación de una regla de análisis
En esta sección se describe cómo crear una regla mediante los portales de Azure o Defender.
Introducción a la creación de una regla de consulta programada
Para empezar, vaya a la página Análisis de Microsoft Sentinel para crear una regla de análisis programada.
Para Microsoft Sentinel en Azure Portal, en Configuración, seleccione Análisis.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>Análisis.Selecciona +Crear y, luego, Regla de consulta programada.
Asignación de un nombre a la regla y definición de la información general
En Azure Portal, las fases se representan visualmente como pestañas. En el portal de Defender, se representan visualmente como hitos en una escala de tiempo.
Escriba la siguiente información para la regla.
Campo Descripción Nombre Un nombre único para la regla. Descripción Una descripción en texto libre para la regla. Gravedad Equipare el impacto que podría tener la actividad que desencadena la regla en el entorno de destino, si la regla es un verdadero positivo.
Información: no afecta al sistema, pero la información podría ser indicativa de los pasos futuros planeados por un actor de amenaza.
Baja: el impacto inmediato sería mínimo. Es probable que un actor de amenazas tenga que llevar a cabo varios pasos antes de lograr un impacto en un entorno.
Media: el actor de amenaza podría tener algún impacto en el entorno con esta actividad, pero sería limitado en el ámbito o requeriría actividad adicional.
Alta: la actividad identificada proporciona al actor de amenaza acceso amplio para realizar acciones en el entorno o se desencadena mediante el impacto en el entorno.MITRE ATT&CK Elija las actividades de amenaza que se aplican a la regla. Seleccione entre las tácticas y técnicas de MITRE ATT&CK presentadas en la lista desplegable. Puede hacer selecciones múltiples.
Para más información sobre cómo maximizar la cobertura del panorama de amenazas de MITRE ATT&CK, vea Descripción de la cobertura de seguridad mediante el marco MITRE ATT&CK®.Estado Habilitado: la regla se ejecuta inmediatamente después de la creación, o en la fecha y hora específicas que elija programar (actualmente en versión preliminar).
Deshabilitado: se crea la regla, pero no se ejecuta. Habilite más adelante desde la pestaña Reglas activas cuando lo necesite.Seleccione Siguiente: Establecer la lógica de la regla.
Definición de la lógica de la regla
El siguiente paso consiste en establecer la lógica de regla que incluye agregar la consulta Kusto que ha creado.
Escriba la consulta de regla y la configuración de mejora de alertas.
Configuración Descripción Consulta de la regla Pegue la consulta que ha diseñado, compilado y probado en la ventana Consulta de regla. Cada cambio que realice en esta ventana se valida al instante, por lo que si hay algún error, verá una indicación justo debajo de la ventana. Asignar entidades Expanda Asignación de entidades y defina hasta 10 tipos de entidad reconocidos por Microsoft Sentinel en los campos de los resultados de la consulta. Esta asignación integra las entidades identificadas en el campo Entidades del esquema de alertas.
Para ver las instrucciones completas sobre la asignación de entidades, consulte Asignación de campos de datos a entidades en Microsoft Sentinel.Exposición de detalles personalizados en las alertas Expanda Detalles personalizados y defina los campos de los resultados de la consulta que quiere que se muestren en las alertas como detalles personalizados. Estos campos también aparecen en los incidentes resultantes.
Para ver las instrucciones completas para mostrar detalles personalizados, consulte Exposición de detalles de eventos personalizados de alertas en Microsoft Sentinel.Personalización de detalles de la alerta Expanda Detalles de la alerta y personalice las propiedades de alerta estándar, en función del contenido de varios campos de cada alerta individual. Por ejemplo, personalice el nombre o la descripción de la alerta para incluir en ella un nombre de usuario o una dirección IP.
Para ver las instrucciones completas para personalizar los detalles de las alertas, consulte Personalización de los detalles de la alerta de Microsoft Sentinel.Programación y ámbito de la consulta. Establezca los parámetros siguientes en la sección Programación de consultas:
Configuración Descripción / Opciones Ejecutar consulta cada Controla el intervalo de consulta: frecuencia con la que se ejecuta la consulta.
Intervalo permitido: de 5 minutos a 14 días.Buscar datos del último Determina el período de búsqueda: el período de tiempo cubierto por la consulta.
Intervalo permitido: de 5 minutos a 14 días.
Debe ser mayor o igual que el intervalo de consulta.Empezar a ejecutar Automáticamente: la regla se ejecutará por primera vez después de crearse y después de eso en el intervalo de consulta.
A una hora específica (versión preliminar): establezca una fecha y hora para que la regla se ejecute por primera vez, después de lo cual se ejecutará en el intervalo de consulta.
Intervalo permitido: de 10 minutos a 30 días después de la hora de creación, o habilitación, de la regla.Establecer el umbral para crear alertas.
Use la sección Umbral de alerta para definir el nivel de confidencialidad de la regla. Por ejemplo, establezca un umbral mínimo de 100:
Configuración Descripción Generar alerta cuando el número de resultados de consulta Es mayor que Cantidad de eventos 100
Si no quiere establecer un umbral, escriba
0
en el campo de número.Configurar la agrupación de eventos.
En Agrupación de eventos, elija una de las dos formas de controlar la agrupación de eventos en alertas:
Configuración Comportamiento Agrupar todos los eventos en una misma alerta
(predeterminado).La regla genera una única alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados de los especificados en el umbral de alerta anterior. Esta única alerta resume todos los eventos devueltos en los resultados de la consulta. Desencadenar una alerta para cada evento La regla genera una alerta única para cada evento devuelto por la consulta. Esto resulta útil si quiere que los eventos se muestren individualmente, o si quiere agruparlos según determinados parámetros (por ejemplo, por usuario, nombre de host o cualquier otro elemento). Puede definir estos parámetros en la consulta. Suprimir temporalmente la regla después de generar una alerta.
Para suprimir una regla más allá de su siguiente hora de ejecución si se genera una alerta, establezca Detener la ejecución de la consulta después de que se genere la alerta en Activado. Si lo activa, establezca Detener la ejecución de la consulta durante en la cantidad de tiempo que se debe detener la ejecución de la consulta, hasta un máximo de 24 horas.
Simular los resultados de la consulta y la configuración de la lógica.
En el área Simulación de resultados, seleccione Prueba con datos actuales para ver el aspecto de los resultados de la regla si se hubiera ejecutado sobre los datos actuales. Microsoft Sentinel simula la ejecución de la regla 50 veces sobre los datos actuales, mediante la programación definida y muestra un gráfico de los resultados (eventos de registro). Si modifica la consulta, vuelva a seleccionar Probar con los datos actuales para actualizar el gráfico. En el gráfico se muestra el número de resultados sobre el periodo de tiempo definido por la configuración de la sección Programación de consultas.
Seleccione Siguiente: Configuración de incidentes.
Configuración de la creación de incidentes
En la pestaña Configuración de incidentes, elija si Microsoft Sentinel convertirá las alertas en incidentes sobre los que se puedan realizar acciones, y si las alertas se agruparán en incidentes y cómo.
Habilitar la creación de incidentes.
En la sección Configuración de los incidentes, el valor predeterminado de Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis es Habilitado, lo que significa que Microsoft Sentinel creará un solo incidente independiente para cada una de las alertas que desencadene la regla.
Si no desea que esta regla provoque la aparición de incidentes (por ejemplo, si esta regla es solo para recopilar información para su posterior análisis), seleccione Disabled (Deshabilitado).
Importante
Si ha incorporado Microsoft Sentinel al portal de Microsoft Defender, deje esta configuración Habilitado.
Si desea que se cree un solo incidente a partir de un grupo de alertas, en lugar de uno para cada alerta, consulte la sección siguiente.
Establecer la configuración de agrupación de alertas.
En la sección Alert grouping (Agrupación de alertas), si desea que se genere un solo incidente a partir de un grupo de hasta 150 alertas similares o recurrentes (consulte la nota), en Group related alerts, triggered by this analytics rule, into incidents (Agrupar en incidentes alertas relacionadas desencadenadas por esta regla de análisis) seleccione Enabled (Habilitado) y establezca los siguientes parámetros.
Limitar el grupo a las alertas creadas dentro del período de tiempo seleccionado: establezca el período de tiempo en el que se agrupan las alertas similares o periódicas. Las alertas fuera de este periodo de tiempo generan un incidente, o conjunto de incidentes, independientes.
Agrupar las alertas desencadenadas por esta regla de análisis en un único incidente: elija cómo se agrupan las alertas:
Opción Descripción Agrupar las alertas en un solo incidente si todas las entidades coinciden Las alertas se agrupan si comparten los mismos valores entre todas las entidades asignadas, definidas en la pestaña Set rule logic (Establecer lógica de regla) anterior. Esta es la configuración recomendada. Agrupar todas las alertas desencadenadas por esta regla en un único incidente Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos. Agrupar las alertas en un solo incidente si las entidades seleccionadas y los detalles coinciden Las alertas se agrupan si comparten valores idénticos para todas las entidades asignadas, los detalles de las alertas y los detalles personalizados seleccionados en las listas desplegables correspondientes. Vuelva a abrir los incidentes coincidentes cerrados: si se ha resuelto y cerrado un incidente y, posteriormente, se genera otra alerta que habría pertenecido a ese incidente, establezca esta opción en Enabled (Habilitado) si quiere que el incidente cerrado se vuelva a abrir, o bien déjela como Disabled (Deshabilitado) si quiere que la alerta cree un incidente nuevo.
Nota
Se pueden agrupar hasta 150 alertas en un solo incidente.
El incidente solo se creará después de que se hayan generado todas las alertas. Todas las alertas se agregarán al incidente inmediatamente después de su creación.
Si hay más de 150 alertas generadas por una regla que las agrupa en un solo incidente, se generará un nuevo incidente con los mismos detalles del incidente que el original, y las alertas sobrantes se agruparán en el nuevo incidente.
Seleccione Siguiente: Respuesta automatizada.
Revisión o adición de respuestas automatizadas
En la pestaña Respuestas automatizadas, vea las reglas de automatización que se muestran en la lista. Si quiere agregar respuestas que aún no estén cubiertas por las reglas existentes, tiene dos opciones:
- Edite una regla existente si quiere que la respuesta agregada se aplique a muchas reglas o a todas.
- Seleccione Agregar nueva para crear una regla de automatización que solo se aplicará a esta regla de análisis.
Para más información sobre para qué puede usar las reglas de automatización, vea Automatización de la respuesta a amenazas en Microsoft Sentinel mediante reglas de automatización
- En Automatización de alertas (clásico) en la parte inferior de la pantalla, verá los cuadernos de estrategias que haya configurado para que se ejecuten automáticamente cuando se genere una alerta mediante el método anterior.
A partir de junio de 2023, ya no puede agregar cuadernos de estrategias a esta lista. Los cuadernos de estrategias que ya aparecen aquí seguirán ejecutándose hasta que este método esté en desuso, a partir de marzo de 2026.
Si sigue teniendo alguno de los cuadernos de estrategias enumerados aquí, debe crear una regla de automatización basada en el desencadenador creado por la alerta e invocar el cuaderno de estrategias desde la regla de automatización. Una vez hecho esto, seleccione los puntos suspensivos al final de la línea del cuaderno de estrategias que se muestra aquí y seleccione Quitar. Consulte Migración de cuadernos de estrategias de desencadenamiento de alertas de Microsoft Sentinel a reglas de automatización para ver las instrucciones completas.
- Seleccione Siguiente: Revisar y crear para revisar toda la configuración de la nueva regla de análisis.
Validación de la configuración y creación de la regla
Cuando aparezca el mensaje “Validación superada”, seleccione Crear.
Si en su lugar aparece un error, busque y seleccione la X de color rojo en la pestaña del asistente donde se ha producido el error.
Corrija el error y vuelva a la pestaña Revisar y crear para volver a ejecutar la validación.
Visualización de la regla y su salida
Visualización de la definición de la regla
Puede encontrar la regla personalizada recién creada (de tipo "Programado") en la tabla en la pestaña Reglas activas de la pantalla Análisis principal. Desde esta lista puede habilitar, deshabilitar o eliminar cada regla.
Visualización de los resultados de la regla
Para ver los resultados de las reglas de análisis que cree en Azure Portal, vaya a la página Incidentes, donde puede evaluar las prioridades con respecto a los incidentes, investigarlos y solucionar las amenazas.
Ajuste de la regla
- Puede actualizar la consulta de regla para excluir falsos positivos. Para obtener más información, consulte Control de falsos positivos en Microsoft Sentinel.
Nota
Las alertas generadas en Microsoft Sentinel están disponibles a través de Seguridad de Microsoft Graph. Para obtener más información, vea la documentación sobre alertas de Seguridad de Microsoft Graph.
Exportación de la regla a una plantilla de ARM
Si desea empaquetar la regla para administrarla e implementarla como código, puede exportarla fácilmente a una plantilla de Azure Resource Manager (ARM). También puede importar reglas de archivos de plantilla para verlos y editarlos en la interfaz de usuario.
Pasos siguientes
Al usar reglas de análisis para detectar amenazas de Microsoft Sentinel, asegúrese de habilitar todas las reglas asociadas a los orígenes de datos conectados para garantizar la cobertura de seguridad completa para su entorno.
Para automatizar la habilitación de reglas, inserte reglas en Microsoft Sentinel mediante API y PowerShell, aunque para ello es necesario un trabajo adicional. Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden ser útiles al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.
Para más información, vea:
- Solución de problemas de reglas de análisis en Microsoft Sentinel
- Exploración e investigación de incidentes en Microsoft Sentinel
- Entidades en Microsoft Sentinel
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
Además, obtenga información de un ejemplo del uso de reglas de análisis personalizadas al supervisar Zoom con un conector personalizado.