Correlación de alertas y combinación de incidentes en el portal de Microsoft Defender

• Se aplica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo el portal de Microsoft Defender agrega y correlaciona las alertas que recopila de todos los orígenes que las generan y las envía al portal. En él se explica cómo Defender crea incidentes a partir de estas alertas y cómo continúa supervisando su evolución, combinando los incidentes entre sí si la situación lo garantiza. Para obtener más información sobre las alertas y sus orígenes y cómo los incidentes agregan valor en el portal de Microsoft Defender, consulte Incidentes y alertas en el portal de Microsoft Defender.

Creación de incidentes y correlación de alertas

Cuando los distintos mecanismos de detección del portal de Microsoft Defender generan alertas, como se describe en Incidentes y alertas en el portal de Microsoft Defender, se colocan en incidentes nuevos o existentes según la lógica siguiente:

• Si la alerta es lo suficientemente única en todos los orígenes de alerta dentro de un período de tiempo determinado, Defender crea un nuevo incidente y le agrega la alerta.
• Si la alerta está suficientemente relacionada con otras alertas (desde el mismo origen o entre orígenes) dentro de un período de tiempo determinado, Defender agrega la alerta a un incidente existente.

Los criterios utilizados por el portal de Defender para correlacionar las alertas en un único incidente forman parte de su lógica de correlación interna propietaria. Esta lógica también es responsable de proporcionar un nombre adecuado al nuevo incidente.

Correlación y combinación de incidentes

Las actividades de correlación del portal de Defender no se detienen cuando se crean incidentes. Defender sigue detectando las similitudes y las relaciones entre incidentes y entre alertas entre incidentes. Cuando se determina que dos o más incidentes son lo suficientemente parecidos, Defender combina los incidentes en un único incidente.

Criterios para combinar incidentes

El motor de correlación de Defender combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes, en función de su profundo conocimiento de los datos y del comportamiento de ataque. Algunos de estos elementos incluyen:

• Entidades: recursos como usuarios, dispositivos, buzones de correo y otros
• Artefactos: archivos, procesos, remitentes de correo electrónico y otros
• Períodos de tiempo
• Secuencias de eventos que apuntan a ataques de varias fases, por ejemplo, un evento de clic de correo electrónico malintencionado que sigue de cerca una detección de correo electrónico de suplantación de identidad (phishing).

Resultados del proceso de combinación

Cuando se combinan dos o más incidentes, no se crea un nuevo incidente para absorberlos. En su lugar, el contenido de un incidente se migra al otro incidente y el incidente abandonado en el proceso se cierra automáticamente. El incidente abandonado ya no está visible ni está disponible en el portal de Defender y cualquier referencia a él se redirige al incidente consolidado. El incidente abandonado y cerrado sigue siendo accesible en Microsoft Sentinel en el Azure Portal. El contenido de los incidentes se controla de las siguientes maneras:

• Las alertas contenidas en el incidente abandonado se quitan de él y se agregan al incidente consolidado.
• Las etiquetas aplicadas al incidente abandonado se quitan de él y se agregan al incidente consolidado.
• Se agrega una Redirected etiqueta al incidente abandonado.
• Las entidades (recursos, etc.) siguen las alertas a las que están vinculadas.
• Las reglas de análisis registradas como implicadas en la creación del incidente abandonado se agregan a las reglas registradas en el incidente consolidado.
• Actualmente, los comentarios y las entradas del registro de actividad en el incidente abandonado no se mueven al incidente consolidado.

Para ver los comentarios y el historial de actividad del incidente abandonado, abra el incidente en Microsoft Sentinel en el Azure Portal. El historial de actividades incluye el cierre del incidente y la adición y eliminación de alertas, etiquetas y otros elementos relacionados con la combinación de incidentes. Estas actividades se atribuyen a la Microsoft Defender XDR de identidad: correlación de alertas.

Cuando los incidentes no se combinan

Incluso cuando la lógica de correlación indica que se deben combinar dos incidentes, Defender no combina los incidentes en las siguientes circunstancias:

• Uno de los incidentes tiene el estado "Cerrado". Los incidentes que se resuelven no se vuelven a abrir.
• Los dos incidentes aptos para la combinación se asignan a dos personas diferentes.
• La combinación de los dos incidentes elevaría el número de entidades del incidente combinado por encima del máximo permitido de 50 entidades por incidente.
• Los dos incidentes contienen dispositivos en grupos de dispositivos diferentes según lo definido por la organización.
  (Esta condición no está en vigor de forma predeterminada; debe estar habilitada).

Correlación manual

Aunque Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que desee decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que puede vincular la alerta a otro incidente existente o a un nuevo incidente que cree en el lugar.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

Pasos siguientes

Para obtener más información sobre cómo priorizar y administrar incidentes, consulte los artículos siguientes:

• Administración de incidentes en Microsoft Defender

Recursos adicionales

• El poder de los incidentes en Microsoft Defender XDR
• Dentro de Microsoft Defender XDR: Correlación y consolidación de ataques en incidentes