Detección de un ataque avanzado de varias fases en Microsoft Sentinel
Importante
Algunas detecciones de Fusion (consulte las que se indican a continuación) se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Microsoft Sentinel usa Fusion, un motor de correlación basado en algoritmos de aprendizaje automático escalable, para detectar automáticamente ataques de varias fases (también conocidos como amenazas persistentes avanzadas o APT) al identificar combinaciones de comportamientos anómalos y de actividades sospechosas que se observan en diversas fases de la cadena de eliminación. A partir de estas detecciones, Microsoft Sentinel genera incidentes que, de otro modo, serían muy difíciles de detectar. Estos incidentes incluyen dos o más alertas o actividades. Por diseño, estos incidentes tienen poco volumen, alta fidelidad y alta gravedad.
Cuando se personaliza para adaptarla a su entorno, esta tecnología de detección no solo reduce las tasas de falsos positivos, sino que también puede detectar ataques con información limitada o que falta.
Dado que Fusion correlaciona varias señales de diferentes productos para detectar ataques avanzados en varias fases, las detecciones de Fusion correctas se presentan comoincidentes de Fusion en la página Incidentes de Microsoft Sentinel y no como alertas, y se almacenan en la tabla SecurityIncident de Registros y no en la tabla SecurityAlert.
Configuración de Fusion
Fusion está habilitado de forma predeterminada en Microsoft Sentinel como una regla de análisis denominada Detección avanzada de ataques de varias fases. Puede ver y cambiar el estado de la regla, configurar las señales de origen para que se incluyan en el modelo de ML de Fusion o excluir patrones de detección específicos que podrían no ser aplicables a su entorno desde la detección de Fusion. Aprenda a configurar la regla de Fusion.
Nota
Actualmente, Microsoft Sentinel usa 30 días de datos del historial para entrenar los algoritmos de aprendizaje automático de Fusion. Estos datos siempre se cifran mediante las claves de Microsoft cuando pasan por la canalización de aprendizaje automático. Sin embargo, los datos de entrenamiento no se cifran mediante claves administradas por el cliente (CMK) si CMK se ha habilitado en el área de trabajo de Microsoft Sentinel. Para deshabilitar Fusion, vaya a Microsoft Sentinel>Configuración>Análisis > Reglas activas, haga clic con el botón derecho en la regla Detección avanzada de ataques de varias fases y seleccione Deshabilitar.
En el caso de las áreas de trabajo de Microsoft Sentinel que se incorporan al portal de Microsoft Defender, Fusion está deshabilitado. Su funcionalidad se reemplaza por el motor de correlación de Microsoft Defender XDR.
Fusion para amenazas emergentes
Importante
- La detección basada en Fusion para amenazas emergentes se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
El volumen de eventos de seguridad sigue creciendo y el ámbito y la sofisticación de los ataques no paran de crecer. Podemos definir los escenarios de ataque conocidos, pero ¿qué pasa con las amenazas emergentes y desconocidas del entorno?
El motor de Fusion con tecnología de ML de Microsoft Sentinel puede ayudarle a encontrar las amenazas emergentes y desconocidas del entorno mediante la aplicación de análisis extendido de ML y la correlación de un ámbito más amplio de señales anómalas al mismo tiempo que reduce la fatiga por alertas.
Los algoritmos de ML del motor de Fusion aprenden constantemente de los ataques existentes y aplican análisis en función de cómo piensan los analistas de seguridad. Por lo tanto, puede detectar amenazas no detectadas previamente de millones de comportamientos anómalos en la cadena de eliminación en todo el entorno, lo que le ayuda a estar un paso por delante de los atacantes.
Fusion para amenazas emergentes admite la recopilación y el análisis de datos de los orígenes siguientes:
- Detección rápida de anomalías
- Alertas de productos de Microsoft:
- Protección de Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender para IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Defender para Office 365
- Alertas de reglas de análisis programadas. Las reglas de análisis deben contener información sobre la cadena de terminación (táctica) y la asignación de entidades para que Fusion las pueda usar.
No es necesario que haya conectado todos los orígenes de datos enumerados anteriormente para que Fusion funcione para las amenazas emergentes. Sin embargo, cuantos más orígenes de datos haya conectado, mayor será la cobertura y más amenazas encontrará Fusion.
Cuando las correlaciones del motor de Fusion generan la detección de una amenaza emergente, se genera un incidente de gravedad alta denominado Possible multistage attack activities detected by Fusion (Posibles actividades de ataque de varias fases detectadas por Fusion) en la tabla de incidentes del área de trabajo de Microsoft Sentinel.
Fusion para ransomware
El motor Fusion de Microsoft Sentinel genera un incidente cuando detecta varias alertas de tipos diferentes de los siguientes orígenes de datos y determina que pueden estar relacionadas con la actividad de ransomware:
- Microsoft Defender for Cloud
- Microsoft Defender para punto de conexión
- Conector de Microsoft Defender for Identity
- Microsoft Defender para aplicaciones en la nube
- Reglas de análisis programadas de Microsoft Sentinel. Fusion solo tiene en cuenta las reglas de análisis programadas con información táctica y entidades asignadas.
Esos incidentes de Fusion se denominan Se han detectado varias alertas posiblemente relacionadas con la actividad de ransomware y se generan cuando se detectan alertas relevantes durante un período de tiempo específico. Además, están asociadas a las fases Ejecución y Evasión defensiva de un ataque.
Por ejemplo, Microsoft Sentinel generaría un incidente para posibles actividades de ransomware si se desencadenan las siguientes alertas en el mismo host en un período de tiempo específico:
Alerta | Source | Gravedad |
---|---|---|
Error de Windows y eventos de advertencia | Reglas de análisis programadas de Microsoft Sentinel | Informational (Informativa) |
Se evitó el ransomware “GandCrab” . | Microsoft Defender for Cloud | medio |
Se detectó el malware “Emotet” . | Microsoft Defender para punto de conexión | Informational (Informativa) |
Se detectó la puerta trasera "Tofsee" . | Microsoft Defender for Cloud | low |
Se detectó el malware “Parite” . | Microsoft Defender para punto de conexión | Informational (Informativa) |
Detecciones de Fusion basadas en escenarios
En la sección siguiente se enumeran los tipos de ataques de varias fases basados en escenario, agrupados por clasificación de amenazas, que Microsoft Sentinel detecta mediante el motor de correlación de Fusion.
Para habilitar estos escenarios de detección de ataques con tecnología de Fusion, sus orígenes de datos asociados deben ingerirse en el área de trabajo de Log Analytics. Seleccione los vínculos de la tabla siguiente para obtener información sobre cada escenario y sus orígenes de datos asociados.
Nota
Algunos de estos escenarios se encuentran en versión preliminar. Aparecerá indicado.
Pasos siguientes
Para obtener más información sobre la detección avanzada de ataques de varias fases de Fusion:
- Obtenga más información sobre las detecciones de ataques basadas en escenarios de Fusion.
- Aprenda a configurar las reglas de Fusion.
Ahora que conoce más detalles sobre la detección avanzada de ataques de varias fases, puede que le interese el siguiente inicio rápido para aprender a obtener visibilidad sobre sus datos y a detectar posibles amenazas: Introducción a Microsoft Sentinel.
Si está preparado para investigar los incidentes que se han creado, consulte el siguiente tutorial:Investigar incidentes con Microsoft Sentinel.