Evidencia y entidades de un incidente

Completado

Microsoft Sentinel usa distintos orígenes de información de seguridad para crear incidentes. Debe entender estos orígenes para usar mejor la administración de incidentes en Microsoft Sentinel.

Evidencia de un incidente

La evidencia de un incidente se compone de la información del evento de seguridad y los recursos de Microsoft Sentinel relacionados que identifican las amenazas en el entorno de Microsoft Sentinel. La evidencia muestra cómo Microsoft Sentinel ha identificado una amenaza y establece vínculos con recursos específicos que pueden hacer que entienda mejor los detalles del incidente.

Eventos

Los eventos vinculan a uno o más eventos específicos del área de trabajo de Log Analytics asociada con Microsoft Sentinel. Por sí mismas, estas áreas de trabajo suelen contener miles de eventos que son demasiado numerosos para el análisis manual.

Si una consulta asociada a una regla analítica de Microsoft Sentinel devuelve eventos, esta asocia los eventos al incidente generado para que se pueda revisar más a fondo. Puede usar estos eventos para entender el ámbito y la frecuencia del incidente antes de investigar más.

Alertas

La mayoría de los incidentes se generan debido a una alerta de regla analítica. Los ejemplos de alertas incluyen:

• Detección de archivos sospechosos
• Detección de actividades de usuario sospechosas
• Intento de elevación de privilegios.

Las reglas analíticas generan alertas, ya sea en función de consultas del Lenguaje de consulta Kusto (KQL) o de la conexión directa con soluciones de seguridad de Microsoft, como Microsoft Defender for Cloud o Microsoft Defender XDR. Si habilita la agrupación de alertas, Microsoft Sentinel incluye cualquier evidencia de alertas relacionada del incidente.

Marcadores

Mientras se investiga un incidente, se pueden identificar eventos que se quieren seguir o marcar para una investigación posterior. Puede conservar las consultas ejecutadas en Log Analytics si selecciona uno o más eventos y los designa como marcadores. También puede registrar notas y etiquetas para informar mejor a los procesos de búsqueda de amenazas futuros. Los marcadores están disponibles para usted y sus compañeros de equipo.

Entidades de un incidente

Una entidad de incidente hace referencia a un recurso de red o de usuario que está implicado en un evento. Puede usar las entidades como puntos de entrada para explorar todas las alertas y correlaciones asociadas a esa entidad.

Las relaciones de entidad son útiles a la hora de investigar incidentes. En lugar de analizar las alertas de identidad, las alertas de red y las alertas de acceso a datos de forma individual, puede usar entidades para observar las alertas asociadas a un usuario, un host o una dirección concretos del entorno.

Entre algunos de los tipos de entidad se incluyen:

• Cuenta
• Host
• IP
• URL
• FileHash

Por ejemplo, las entidades pueden ayudarle a identificar todas las alertas asociadas a un usuario concreto en Contoso, la máquina host del usuario y otros hosts a los que el usuario se ha conectado. Puede determinar qué direcciones IP están asociadas a ese usuario, lo que expone los eventos y las alertas que pueden formar parte del mismo ataque.

Comprobar los conocimientos

1.

¿Cuál de los elementos siguientes es una evidencia de un incidente de Microsoft Sentinel?

Dirección IP.

Nombre de usuario.

Evento:

Nombre de host.

Debe responder todas las preguntas antes de comprobar su trabajo.