Compartir vía


Realice una búsqueda proactiva de amenazas de extremo a extremo en Microsoft Sentinel

La búsqueda proactiva de amenazas es un proceso en el que los analistas de seguridad buscan amenazas no detectadas y comportamientos malintencionados. Mediante la creación de una hipótesis, la búsqueda a través de datos y la validación de esa hipótesis, determinan qué actuar. Las acciones pueden incluir la creación de nuevas detecciones, la nueva inteligencia sobre amenazas o la creación de un nuevo incidente.

Utilice la experiencia de caza de extremo a extremo dentro de Microsoft Sentinel para:

  • Busca proactivamente en función de técnicas MITRE específicas, actividad potencialmente malintencionada, amenazas recientes o tu propia hipótesis personalizada.
  • Usa consultas de búsqueda generadas por investigadores de seguridad o consultas de búsqueda personalizadas para investigar el comportamiento malicioso.
  • Realiza tus búsquedas utilizando varias pestañas de consultas persistentes que te permiten mantener el contexto a lo largo del tiempo.
  • Recopila pruebas, investiga las fuentes de UEBA y anota los hallazgos utilizando marcadores específicos de búsqueda.
  • Colabora y documenta tus hallazgos con comentarios.
  • Actúa sobre los resultados mediante la creación de nuevas reglas de análisis, nuevos incidentes, nuevos indicadores de amenazas y la ejecución de cuadernos de estrategias.
  • Realiza un seguimiento de las búsquedas nuevas, activas y cerradas en un solo lugar.
  • Consulta las métricas basadas en hipótesis validadas y resultados tangibles.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener una versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para usar la característica de búsqueda, debes tener asignado un rol integrado de Microsoft Sentinel o un rol RBAC de Azure personalizado. Aquí están tus opciones:

Definición de la hipótesis

Definir una hipótesis es un proceso flexible abierto y flexible y puede incluir cualquier idea que quiera validar. Entre las hipótesis comunes se incluyen:

  • Comportamiento sospechoso: investiga la actividad potencialmente malintencionada que está visible en el entorno para determinar si se está produciendo un ataque.
  • Nueva campaña de amenazas: busca tipos de actividad malintencionada basadas en actores, técnicas o vulnerabilidades recién detectados. Puede que haya escuchado hablar de esto en un artículo sobre seguridad.
  • Brechas de detección: aumente la cobertura de detección mediante el mapa MITRE ATT&CK para identificar brechas.

Microsoft Sentinel te ofrece flexibilidad a medida que se encuentra cero en el conjunto adecuado de consultas de búsqueda para investigar la hipótesis. Al crear una búsqueda, iníciala con consultas de búsqueda preseleccionadas o agrega consultas a medida que avances. Estas son recomendaciones para consultas preseleccionadas basadas en las hipótesis más comunes.

Hipótesis: comportamiento sospechoso

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Consultas. Para identificar comportamientos potencialmente maliciosos, ejecute todas las consultas.

  3. Selecciona Ejecutar todas las consultas> para esperar a que se ejecuten las consultas. Este proceso puede tardar algo de tiempo.

  4. Selecciona Agregar filtro>Resultados> deselecciona las casillas de verificación "!", "N/A", "-" y valores "0" >Aplicar La captura de pantalla muestra el filtro descrito en el paso 3.

  5. Ordene estos resultados por la columna Delta de resultados para ver lo que ha cambiado más recientemente. Estos resultados proporcionan instrucciones iniciales sobre la búsqueda.

Hipótesis: nueva campaña de amenazas

El concentrador de contenidos ofrece soluciones basadas en campañas de amenazas y dominios para buscar ataques específicos. En los pasos siguientes, se instala uno de estos tipos de soluciones.

  1. Ir al Centro de Contenidos.

  2. Instale una campaña de amenazas o una solución basada en dominios como la Detección de vulnerabilidades Log4J o Apache Tomcat.

    La captura de pantalla muestra el centro de contenido en vista de cuadrícula con las soluciones Log4J y Apache seleccionadas.

  3. Una vez instalada la solución, en Microsoft Sentinel, vaya a Búsqueda.

  4. Seleccione la pestaña Consultas.

  5. Búsqueda por nombre de la solución, o filtrado por Nombre de origen de la solución.

  6. Seleccione la consulta y Ejecutar consulta.

Hipótesis: brechas de detección

El mapa MITRE ATT&CK le ayuda a identificar brechas específicas en su cobertura de detección. Utilice consultas de búsqueda predefinidas para técnicas específicas de MITRE ATT&CK como punto de partida para desarrollar una nueva lógica de detección.

  1. Vaya a la página MITRE ATT&CK (versión preliminar).

  2. Anula la selección de elementos en el menú desplegable Activo.

  3. Selecciona Consultas de búsqueda en el filtro Simulado para ver qué técnicas tienen consultas de búsqueda asociadas.

    Captura de pantalla que muestra la página MITRE ATT&CK con la opción para consultas de búsqueda simuladas seleccionadas.

  4. Selecciona la tarjeta con la técnica deseada.

  5. Selecciona el vínculo Ver situado junto a Consultas de búsqueda en la parte inferior del panel de detalles. Este vínculo te lleva a una vista filtrada de la pestaña Consultas de la página Búsqueda en función de la técnica seleccionada.

    Captura de pantalla que muestra la vista de tarjeta MITRE ATT&CK con el vínculo de vista Consultas de búsqueda.

  6. Seleccionar todas las consultas de esa técnica.

Crear una búsqueda

Hay dos formas principales de crear una búsqueda.

  1. Si comenzó con una hipótesis en la que seleccionó consultas, seleccione el menú desplegable Acciones de búsqueda >Crear nueva búsqueda. Todas las consultas seleccionadas se clonan para esta nueva búsqueda.

    La captura de pantalla muestra las consultas seleccionadas y la opción de menú Crear nueva búsqueda seleccionada.

  2. Si aún no te has decidido por las consultas, selecciona la pestaña Búsquedas (versión preliminar)>Nueva búsqueda para crear una búsqueda en blanco.

    La captura de pantalla muestra el menú para crear una búsqueda en blanco sin consultas preseleccionadas.

  3. Rellena el nombre de la búsqueda y los campos opcionales. La descripción es un buen lugar para verbalizar su hipótesis. El menú desplegable Hipótesis es donde se establece el estado de la hipótesis de trabajo.

  4. Selecciona Crear para empezar.

    La captura de pantalla muestra la página de creación de la búsqueda con el nombre de la búsqueda, la descripción, el propietario, el estado y el estado de la hipótesis.

Ver los detalles de la búsqueda

  1. Selecciona la pestaña Búsquedas (versión preliminar) para ver la nueva búsqueda.

  2. Selecciona el vínculo de búsqueda por nombre para ver los detalles y realizar acciones.

    Captura de pantalla que muestra una nueva caza en la pestaña Búsqueda.

  3. Vea el panel de detalles con el Nombre de la búsqueda, la Descripción, el Contenido, la Hora de la última actualización y la Hora de creación.

  4. Fíjate en las pestañas de Consultas, Marcadores y Entidades.

    Captura de pantalla que muestra los detalles de la búsqueda.

Pestaña Consultas

La pestaña Consultas contiene consultas de búsqueda específicas de esta búsqueda. Estas consultas son clones de las originales, independientes de todas las demás del área de trabajo. Actualice o elimine las consultas sin que ello afecte a su conjunto global de consultas de búsqueda o a las consultas de otras búsquedas.

Agregar una consulta a la búsqueda

  1. Selecciona Acciones de consulta>para agregar consultas a la búsqueda
  2. Selecciona las consultas que deseas agregar. La captura de pantalla muestra el menú de acciones de consulta en la página de la pestaña de consultas.

Ejecutar consultas

  1. Selecciona Ejecutar todas las consultas o elige consultas específicas y selecciona Ejecutar consultas seleccionadas.
  2. Selecciona Cancelar para cancelar la ejecución de consultas en cualquier momento.

Administración de consultas

  1. Haz clic con el botón derecho en una consulta y selecciona una de las siguientes opciones en el menú contextual:

    • Ejecutar
    • Editar
    • Clonar
    • Eliminar
    • Creación de una regla de análisis

    La captura de pantalla muestra las opciones del menú contextual del botón derecho en la pestaña Consultas de una búsqueda.

    Estas opciones se comportan igual que la tabla de consultas existente en la página Búsqueda , excepto las acciones que solo se aplican dentro de esta búsqueda. Cuando decides crear una regla de análisis, el nombre, la descripción y la consulta de KQL se rellenan previamente en la nueva creación de reglas. Se crea un vínculo para ver la nueva regla de análisis que se encuentra en Reglas de análisis relacionadas.

    Captura de pantalla que muestra los detalles de la búsqueda con la regla de análisis relacionada.

Vista de resultados

Esta característica te permite ver los resultados de la consulta de búsqueda en la experiencia de búsqueda de Log Analytics. A partir de aquí, analiza los resultados, afina las consultas y crea marcadores para registrar información e investigar aún más los resultados de las filas individuales.

  1. Selecciona el botón Ver resultados.
  2. Si pasas a otra parte del portal de Microsoft Sentinel y luego vuelves a la experiencia de búsqueda de registro de LA desde la página de búsqueda, todas las pestañas de consulta de LA permanecerán.
  3. Estas pestañas de consulta de LA se pierden si cierra la pestaña del navegador. Si desea conservar las consultas a largo plazo, debe guardar la consulta, crear una nueva consulta de búsqueda o copiarla en un comentario para usarla más adelante dentro de la búsqueda.

Agregar un marcador

Cuando encuentres resultados interesantes o filas importantes de datos, agrega esos resultados a la búsqueda mediante la creación de un marcador. Para obtener más información, consulta Usar marcadores de búsqueda para investigaciones de datos.

  1. Selecciona la fila o filas deseadas.

  2. Arriba de la tabla de resultados, seleccione Agregar marcador. Captura de pantalla que muestra el panel Agregar marcador con campos opcionales completados.

  3. Asigne un nombre al marcador.

  4. Establezca la columna de hora del evento.

  5. Asignar identificadores de entidad.

  6. Establezca las tácticas y técnicas de MITRE.

  7. Agregar etiquetas y notas.

    Los marcadores conservan los resultados de fila específicos, la consulta KQL y el intervalo de tiempo que generaron el resultado.

  8. Selecciona Crear para agregar el marcador a la búsqueda.

Visualizar marcadores

  1. Vaya a la pestaña de favoritos de la búsqueda para ver sus favoritos.

    Captura de pantalla que muestra un marcador con todos sus detalles y el menú de acciones de búsqueda abierto.

  2. Selecciona un marcador deseado y realiza las siguientes acciones:

    • Selecciona vínculos de entidad para ver la página de entidad UEBA correspondiente.
    • Consulta los resultados sin procesar, las etiquetas y las notas.
    • Selecciona Ver consulta de origen para ver la consulta de origen en Log Analytics.
    • Selecciona Ver registros de marcadores para ver el contenido del marcador en la tabla de marcadores de búsqueda de Log Analytics.
    • Seleccione el botón Investigar para ver el marcador y las entidades relacionadas en el gráfico de investigación.
    • Selecciona el botón Editar para actualizar las etiquetas, las tácticas y técnicas de MITRE y las notas.

Interacción con entidades

  1. Navega a la pestaña Entidades de tu búsqueda para ver, buscar y filtrar las entidades contenidas en tu búsqueda. Esta lista se genera a partir de la lista de entidades de los marcadores. La pestaña Entidades resuelve automáticamente las entradas duplicadas.

  2. Selecciona los nombres de entidad para visitar la página de entidad UEBA correspondiente.

  3. Haz clic con el botón derecho en la entidad para tomar medidas adecuadas para los tipos de entidad, como agregar una dirección IP a TI o ejecutar un cuaderno de estrategias específico de tipo de entidad.

    Captura de pantalla que muestra el menú contextual de las entidades.

Agregar comentarios

Los comentarios son un excelente lugar para colaborar con compañeros, conservar notas y encontrar documentos.

  1. Seleccione .

  2. Escribe y da formato al comentario en el cuadro de edición.

  3. Agrega un resultado de consulta como vínculo para que los colaboradores comprendan rápidamente el contexto.

  4. Selecciona el botón Comentario para aplicar los comentarios.

    Captura de pantalla que muestra el cuadro de edición de comentarios con la consulta LA como enlace.

Creación de incidentes

Hay dos opciones para la creación de incidentes durante la búsqueda.

Opción 1: usar marcadores.

  1. Selecciona un marcador o marcadores.

  2. Selecciona el botón Acciones de incidente.

  3. Selecciona Crear nuevo incidente o Agregar a incidente existente

    Captura de pantalla que muestra el menú de acciones de incidentes desde la ventana de marcadores.

    • Para Crear nuevo incidente, sigue los pasos guiados. La pestaña de marcadores se rellena previamente con los marcadores seleccionados.
    • En Agregar al incidente existente, selecciona el incidente y el botón Aceptar .

Opción 2: usa las Acciones de búsqueda.

  1. Seleccione el menú Acciones de búsqueda >Crear incidente y sigue los pasos guiados.

    Captura de pantalla que muestra el menú de acciones de búsqueda desde la ventana de marcadores.

  2. Durante el paso Agregar marcadores, usa la acción Agregar marcador para elegir marcadores de la búsqueda para agregar al incidente. Está limitado a los marcadores que no están asignados a un incidente.

  3. Después de crear el incidente, se vinculará en la lista de Incidentes relacionados para esa búsqueda.

Estado de actualización

  1. Cuando haya capturado suficientes pruebas para validar o invalidar su hipótesis, actualice el estado de su hipótesis.

    La captura de pantalla muestra la selección del menú de estado de hipótesis.

  2. Cuando se completen todas las acciones asociadas a la búsqueda, como crear reglas de análisis, incidentes o agregar indicadores de riesgo (IOC) a TI, cierra la búsqueda.

    La captura de pantalla muestra la selección del menú de estado de búsqueda.

Estas actualizaciones de estado están visibles en la página búsqueda principal y se usan para realizar un seguimiento de las métricas.

Seguimiento de métricas

Realiza un seguimiento de los resultados tangibles de la actividad de búsqueda utilizando la barra de métricas en la pestaña Búsquedas. Las métricas muestran el número de hipótesis validadas, nuevos incidentes creados y nuevas reglas analíticas creadas. Usa estos resultados para establecer objetivos o celebrar hitos de programa de búsqueda.

La captura de pantalla muestra las métricas de caza.

Pasos siguientes

En este artículo, ha aprendido a realizar una investigación de búsqueda con la función de búsqueda de Microsoft Sentinel.

Para más información, vea: