Compartir vía


Obtención de recomendaciones de ajuste preciso para las reglas de análisis en Microsoft Sentinel

Importante

El ajuste de la detección se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

El ajuste preciso de las reglas de detección de amenazas de SIEM puede ser un proceso difícil, delicado y continuo de equilibrio entre maximizar la cobertura de detección de amenazas y minimizar las tasas de falsos positivos. Microsoft Sentinel simplifica este proceso mediante el uso del aprendizaje automático para analizar miles de millones de señales de los orígenes de datos, y sus respuestas a incidentes a lo largo del tiempo, deduciendo patrones y proporcionando recomendaciones y conclusiones útiles que pueden reducir significativamente la sobrecarga de optimización y permitirle centrarse en detectar y responder a amenazas reales.

Ahora, las recomendaciones y la información de optimización están integradas en las reglas de análisis. En este artículo se explica qué muestran estas conclusiones y cómo se pueden implementar las recomendaciones.

Visualización de conclusiones sobre las reglas y recomendaciones de ajuste

Para ver si Microsoft Sentinel tiene recomendaciones de ajuste para cualquiera de sus reglas de análisis, seleccione Análisis en el menú de navegación de Microsoft Sentinel.

Las reglas que tengan recomendaciones presentarán un icono de bombilla, como se muestra a continuación:

Captura de pantalla de la lista de reglas de análisis con un indicador de recomendación.

Edite la regla para ver las recomendaciones y el resto de conclusiones, que se mostrarán en la pestaña Establecer la lógica de la regla del asistente para reglas de análisis, debajo del área Results simulation (Simulación de resultados).

Captura de pantalla de las conclusiones de optimización en la regla de análisis.

Tipos de conclusiones

El área Optimización de conclusiones consta de varios paneles por los que puede desplazarse, y cada uno muestra algo diferente. El período de tiempo (14 días) para el que se muestran las conclusiones aparece en la parte superior del cuadro.

  1. El primer panel de conclusiones muestra información estadística: el número medio de alertas por incidente, el número de incidentes abiertos y el número de incidentes cerrados, agrupados por clasificación (verdadero/falso positivo). Esta información le ayuda a conocer la carga de esta regla y a comprender si es necesario realizar alguna optimización, por ejemplo, si hace falta ajustar la configuración de agrupación.

    Captura de pantalla de la información de eficiencia de la regla.

    Esta conclusión es el resultado de una consulta de Log Analytics. Si selecciona Average alerts per incident (Promedio de alertas por incidente), se le redirigirá a la consulta de Log Analytics que produjo esta conclusión. Si selecciona Incidentes abiertos, se le redirigirá a la hoja Incidentes.

  2. El segundo panel de conclusiones le recomienda que excluya una lista de entidades. Estas entidades están muy correlacionadas con los incidentes que ha cerrado y que ha clasificado como falsos positivos. Seleccione el signo más junto a cada entidad de la lista para excluirla de la consulta en ejecuciones futuras de esta regla.

    Captura de pantalla de la recomendación de exclusión de entidades.

    Esta recomendación la generan los modelos avanzados de ciencia de datos y Machine Learning de Microsoft. La inclusión de este panel en el área Optimización de conclusiones depende de si hay recomendaciones para mostrar.

  3. El tercer panel de conclusiones muestra las cuatro entidades asignadas que aparecen con más frecuencia en todas las alertas generadas por esta regla. La asignación de entidades debe configurarse en la regla para que esta conclusión produzca resultados. Esta conclusión podría ayudarle a tener en cuenta las entidades que "acaparan toda la atención" y desvían la atención del resto. Es posible que quiera controlar estas entidades por separado con una regla diferente, o bien puede decidir que son falsos positivos o entidades irrelevantes y excluirlas de la regla.

    Captura de pantalla de la conclusión sobre las entidades principales.

    Esta conclusión es el resultado de una consulta de Log Analytics. Si selecciona cualquiera de las entidades, se le redirigirá a la consulta de Log Analytics que produjo esta conclusión.

Pasos siguientes

Para más información, consulte: