Uso de reglas de análisis de detección de anomalías en Microsoft Sentinel
La característica de anomalías personalizables de Microsoft Sentinel proporciona plantillas de anomalías integradas para obtener un valor inmediato. Estas plantillas de anomalías se desarrollaron para ser sólidas mediante miles de orígenes de datos y millones de eventos, pero esta característica también permite cambiar los umbrales y parámetros de las anomalías fácilmente en la interfaz de usuario. Las reglas de anomalías están habilitadas o activadas de forma predeterminada, por lo que generarán anomalías inmediatas. Puede encontrar y consultar estas anomalías en la tabla Anomalías de la sección Registros.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Visualización de plantillas de reglas de anomalías personalizables
Ahora puede encontrar reglas de anomalías mostradas en una cuadrícula en la pestaña Anomalías de la página Análisis.
Para los usuarios de Microsoft Sentinel en el portal Azure, seleccione Análisis en el menú de navegación de Microsoft Sentinel.
Para los usuarios del portal de Microsoft Defender, seleccione Microsoft Sentinel > Configuración > Análisis en el menú de navegación de Microsoft Defender.
En la página Análisis, seleccione la pestaña Anomalías.
Para filtrar la lista por uno o varios de los siguientes criterios, seleccione Agregar filtro y elija en el que corresponda.
Estado: si la regla está habilitada o deshabilitada.
Tácticas: las tácticas del marco ATT&CK de MITRE cubiertas por la anomalía.
Técnicas: las técnicas del marco ATT&CK de MITRE cubiertas por la anomalía.
Orígenes de datos: el tipo de registros que se deben ingerir y analizar para que se defina la anomalía.
Seleccione una regla y vea la siguiente información en el panel de detalles:
El campo Descripción explica cómo funciona la anomalía y los datos que necesita.
Las tácticas y técnicas son las tácticas y técnicas del marco MITRE ATT&CK cubiertas por la anomalía.
Parámetros son los atributos configurables de la anomalía.
Umbral es un valor configurable que indica hasta qué grado debe ser inusual un evento para crear una anomalía.
Frecuencia de la regla es el tiempo que transcurre entre los trabajos de procesamiento de registros que encuentran las anomalías.
Estado de la regla indica si la regla se ejecuta en modo de producción o de lanzamiento como paquetes piloto (ensayo) cuando está habilitado.
Versión de anomalía muestra la versión de la plantilla que usa una regla. Si desea cambiar la versión que usa una regla que ya está activa, debe volver a crear la regla.
Las reglas que vienen integradas con Microsoft Sentinel no se pueden editar ni eliminar. Para personalizar una regla, primero debe crear un duplicado de la regla y, después, personalizarlo. Consulte las instrucciones completas.
Nota
¿Por qué hay un botón Editar si no se puede editar la regla?
Aunque no puede cambiar la configuración de una regla de anomalías inmediatas, puede llevar a cabo dos procedimientos:
Puede alternar el estado de la regla entre Producción y Lanzamiento como paquete piloto.
Puede enviar comentarios a Microsoft sobre su experiencia con las anomalías personalizables.
Evaluación de la calidad de las anomalías
Para ver el rendimiento de una regla de anomalías, revise una muestra de las anomalías creadas por una regla durante el último período de 24 horas.
Para los usuarios de Microsoft Sentinel en el portal Azure, seleccione Análisis en el menú de navegación de Microsoft Sentinel.
Para los usuarios del portal de Microsoft Defender, seleccione Microsoft Sentinel > Configuración > Análisis en el menú de navegación de Microsoft Defender.
En la página Análisis, seleccione la pestaña Anomalías.
Seleccione la regla que desea evaluar y copie su id. desde la parte superior del panel de detalles de la derecha.
En el menú de navegación de Microsoft Sentinel, seleccione Registros.
Si aparece una galería de consultas en la parte superior, ciérrela.
Seleccione la pestaña Tablas en el panel izquierdo de la página Registros.
Establezca el filtro Intervalo de tiempo en Últimas 24 horas.
Copie la consulta de Kusto siguiente y péguela en la ventana de consulta (donde dice "Escriba la consulta aquí o..."):
Anomalies | where RuleId contains "<RuleId>"
Pegue el id. de la regla que copió anteriormente en lugar de
<RuleId>
que se encuentra entre las comillas.Seleccione Run (Ejecutar).
Cuando tenga algunos resultados, puede empezar a evaluar la calidad de las anomalías. Si no obtiene resultados, pruebe a aumentar el intervalo de tiempo.
Expanda los resultados de cada anomalía y, a continuación, expanda el campo AnomalyReasons. Esto le mostrará por qué se ha desencadenado la anomalía.
La "razonabilidad" o "utilidad" de una anomalía puede depender de las condiciones del entorno, pero una razón habitual para que una regla de anomalías produzca demasiadas anomalías es que el umbral sea demasiado bajo.
Ajuste de reglas de anomalías
Aunque las reglas de anomalías están diseñadas para obtener la máxima eficacia de forma inmediata, cada situación es única y, a veces, es necesario ajustar las reglas de anomalías.
Puesto que no se puede editar una regla activa original, primero debe duplicar una regla de anomalías activa y, a continuación, personalizar la copia.
La regla de anomalías original seguirá ejecutándose hasta que la deshabilite o la elimine.
Esto es así de manera intencionada, para ofrecerle la oportunidad de comparar los resultados generados por la configuración original y la nueva. Las reglas duplicadas están deshabilitadas de manera predeterminada. Solo puede realizar una copia personalizada de cualquier regla de anomalías determinada. Se producirá un error si intenta realizar una segunda copia.
Para cambiar la configuración de una regla de anomalías, seleccione la regla de la lista en la pestaña Anomalías.
Haga clic con el botón derecho en cualquier lugar de la fila de la regla o haga clic con el botón izquierdo en los puntos suspensivos (...) al final de la fila y, a continuación, seleccione Duplicar del menú contextual.
Aparecerá una nueva regla en la lista con las siguientes características:
- El nombre de la regla será el mismo que el original, con "- Personalizada" anexado al final.
- El estado de la regla será Deshabilitado.
- El distintivo FLGT aparecerá al principio de la fila para indicar que la regla está en modo Lanzamiento como paquete piloto.
Para personalizar esta regla, selecciónela y haga clic en Editar en el panel de detalles o en el menú contextual de la regla.
La regla se abre en el asistente para reglas de Analytics. Aquí puede cambiar los parámetros de la regla y su umbral. Los parámetros que se pueden cambiar varían con cada tipo de anomalía y algoritmo.
Puede obtener una vista previa de los resultados de los cambios en el panel Vista previa de los resultados. Seleccione un identificador de anomalía en la vista previa de los resultados para ver por qué el modelo de ML identifica esa anomalía.
Habilite la regla personalizada para generar resultados. Algunos de los cambios pueden requerir que la regla se vuelva a ejecutar, por lo que debe esperar a que finalice y volver para comprobar los resultados en la página de registros. La regla de anomalías personalizada se ejecuta en modo Lanzamiento como paquete piloto (pruebas) de forma predeterminada. La regla original continúa ejecutándose en modo Producción de manera predeterminada.
Para comparar los resultados, vuelva a la tabla Anomalías en Registros para evaluar la nueva regla como se indicó antes; busque solo la consulta siguiente en su lugar para buscar anomalías generadas por la regla original y la regla duplicada.
Anomalies | where AnomalyTemplateId contains "<RuleId>"
Pegue el id. de la regla que copió de la regla original en lugar de
<RuleId>
que se encuentra entre las comillas. El valor deAnomalyTemplateId
de las reglas originales y duplicadas es idéntico al valor deRuleId
de la regla original.
Si está de acuerdo con los resultados de la regla personalizada, puede volver a la pestaña Anomalías, seleccionar la regla personalizada, seleccionar el botón Editar y, en la pestaña General, cambiarla del modo Lanzamiento como paquete piloto a Producción. La regla original cambiará automáticamente a Lanzamiento como paquete piloto ya que no se pueden tener dos versiones de la misma regla en producción al mismo tiempo.
Pasos siguientes
En este documento, aprendió a trabajar con reglas de análisis de detección de anomalías personalizables en Microsoft Sentinel.
- Obtenga información general sobre las anomalías personalizables.
- Consulte los tipos de anomalías disponibles en Microsoft Sentinel.
- Explore otros tipos de reglas de análisis.