Correlación de alertas y combinación de incidentes en el portal de Microsoft Defender

• Se aplica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo el motor de correlación del portal de Microsoft Defender agrega y correlaciona las alertas recopiladas de todos los orígenes que las generan y las envía al portal. En él se explica cómo Defender crea incidentes a partir de estas alertas y cómo continúa supervisando su evolución, combinando los incidentes entre sí si la situación lo garantiza. Para obtener más información sobre las alertas y sus orígenes y cómo los incidentes agregan valor en el portal de Microsoft Defender, consulte Incidentes y alertas en el portal de Microsoft Defender.

Creación de incidentes y correlación de alertas

Cuando los distintos mecanismos de detección del portal de Microsoft Defender generan alertas, como se describe en Incidentes y alertas en el portal de Microsoft Defender, se colocan en incidentes nuevos o existentes según la lógica siguiente:

• Si la alerta es lo suficientemente única en todos los orígenes de alerta dentro de un período de tiempo determinado, Defender crea un nuevo incidente y le agrega la alerta.
• Si la alerta está suficientemente relacionada con otras alertas (desde el mismo origen o entre orígenes) dentro de un período de tiempo determinado, Defender agrega la alerta a un incidente existente.

Los criterios utilizados por el portal de Defender para correlacionar las alertas en un único incidente forman parte de su lógica de correlación interna propietaria. Esta lógica también es responsable de proporcionar un nombre adecuado al nuevo incidente.

Correlación manual de alertas

Aunque Microsoft Defender ya usa mecanismos de correlación avanzados, es posible que desee decidir de forma diferente si una alerta determinada pertenece a un incidente determinado o no. En tal caso, puede desvincular una alerta de un incidente y vincularla a otro. Cada alerta debe pertenecer a un incidente, por lo que puede vincular la alerta a otro incidente existente o a un nuevo incidente que cree en el lugar.

Para obtener más información sobre cómo mover una alerta de un incidente a otro, consulte Traslado de alertas de un incidente a otro en el portal de Microsoft Defender.

Correlación y combinación de incidentes

Las actividades de correlación del portal de Defender no se detienen cuando se crean incidentes. Defender sigue detectando las similitudes y las relaciones entre incidentes y alertas entre incidentes. Cuando se determina que dos o más incidentes son lo suficientemente parecidos, Defender combina los incidentes en un único incidente.

Criterios para combinar incidentes

El motor de correlación de Defender combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes, en función de su profundo conocimiento de los datos y del comportamiento de ataque. Algunos de estos elementos incluyen:

• Entidades: recursos como usuarios, dispositivos, buzones de correo y otros
• Artefactos: archivos, procesos, remitentes de correo electrónico y otros
• Períodos de tiempo
• Secuencias de eventos que apuntan a ataques de varias fases, por ejemplo, un evento de clic de correo electrónico malintencionado que sigue de cerca una detección de correo electrónico de suplantación de identidad (phishing).

Detalles del proceso de combinación

Cuando se combinan dos o más incidentes, no se crea un nuevo incidente para absorberlos. En su lugar, el contenido de un incidente (el "incidente de origen") se migra al otro incidente (el "incidente de destino") y el incidente de origen se cierra automáticamente. El incidente de origen ya no está visible ni está disponible en el portal de Defender y cualquier referencia a él se redirige al incidente de destino. El incidente de origen, aunque cerrado, sigue siendo accesible en Microsoft Sentinel en el Azure Portal.

Dirección de combinación

La dirección de la combinación de incidentes hace referencia a qué incidente es el origen y cuál es el destino. Esta dirección viene determinada por Microsoft Defender, en función de su propia lógica interna, con el objetivo de maximizar la retención y el acceso a la información. El usuario no tiene ninguna entrada en esta decisión.

Contenido del incidente

El contenido de los incidentes se controla de las siguientes maneras:

• Todas las alertas contenidas en el incidente de origen se quitan del incidente de origen y se agregan al incidente de destino.
• Las etiquetas aplicadas al incidente de origen se quitan del incidente de origen y se agregan al incidente de destino.
• Se agrega una Redirected etiqueta al incidente de origen.
• Las entidades (recursos, etc.) siguen las alertas a las que están vinculadas.
• Las reglas de análisis registradas como implicadas en la creación del incidente de origen se agregan a las reglas registradas en el incidente de destino.
• Actualmente, los comentarios y las entradas del registro de actividad en el incidente de origen no se mueven al incidente de destino.

Para ver los comentarios y el historial de actividad del incidente de origen, abra el incidente en Microsoft Sentinel en el Azure Portal. El historial de actividades incluye el cierre del incidente y la adición y eliminación de alertas, etiquetas y otros elementos relacionados con la combinación de incidentes. Estas actividades se atribuyen a la Microsoft Defender XDR de identidad: correlación de alertas.

Cuando los incidentes no se combinan

Incluso cuando la lógica de correlación indica que se deben combinar dos incidentes, Defender no combina los incidentes en las siguientes circunstancias:

• Uno de los incidentes tiene el estado "Cerrado". Los incidentes que se resuelven no se vuelven a abrir.
• Los incidentes de origen y de destino se asignan a dos personas diferentes.
• Los incidentes de origen y de destino tienen dos clasificaciones diferentes (por ejemplo, verdadero positivo y falso positivo).
• La combinación de los dos incidentes elevaría el número de entidades del incidente de destino por encima del máximo permitido.
• Los dos incidentes contienen dispositivos en grupos de dispositivos diferentes según lo definido por la organización.
  (Esta condición no está en vigor de forma predeterminada; debe estar habilitada).

Pasos siguientes

Para obtener más información sobre cómo priorizar y administrar incidentes, consulte los artículos siguientes:

• Administración de incidentes en Microsoft Defender

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

Vea también

• El poder de los incidentes en Microsoft Defender XDR
• Dentro de Microsoft Defender XDR: Correlación y consolidación de ataques en incidentes