Detección de amenazas con Microsoft Sentinel (creación de reglas y alertas)

Detección de amenazas con Microsoft Sentinel (creación de reglas y alertas)

01/03/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la detección proactiva de amenazas utilizando Microsoft Sentinel, SIEM (gestión de eventos e información de seguridad) nativo de la nube de Microsoft y SOAR (orquestación, automatización y respuesta de seguridad). Microsoft Sentinel proporciona una visión unificada de la seguridad en toda la empresa al recopilar datos de múltiples fuentes, detectar amenazas, investigar incidentes y responder a ellos de forma automatizada [1].

Introducción

En un panorama de amenazas cibernéticas cada vez más complejo y voluminoso, las organizaciones necesitan herramientas que no solo recopilen datos de seguridad, sino que también los analicen de manera inteligente para identificar actividades maliciosas. Microsoft Sentinel cierra esta brecha al permitir que los equipos de seguridad monitoreen, detecten y respondan a las amenazas en tiempo real. La creación de alertas y reglas de análisis es el corazón de las capacidades de detección de Sentinel, transformando grandes volúmenes de registros en información procesable [2].

Esta guía práctica cubrirá la configuración de reglas de análisis en Azure Sentinel, desde la ingesta de datos hasta la creación de alertas personalizadas y la validación de su efectividad. Se proporcionarán instrucciones paso a paso, ejemplos de consultas KQL (Kusto Query Language) y descripciones para que el lector pueda implementar y optimizar la detección de amenazas en su entorno, fortaleciendo su postura de seguridad y acelerando la respuesta a incidentes.

¿Por qué Azure Sentinel para la detección de amenazas?

  • Escalabilidad en la nube: Basado en Azure, ofrece escalabilidad ilimitada para la ingesta y el almacenamiento de registros.
  • Inteligencia sobre amenazas integrada: utiliza inteligencia sobre amenazas de Microsoft y sus socios para enriquecer la detección.
  • Análisis de Comportamiento (UEBA): Identifica anomalías y comportamientos sospechosos de usuarios y entidades.
  • Automatización (SOAR): Le permite automatizar las respuestas a incidentes a través de guías.
  • Visibilidad integral: se conecta a múltiples fuentes de datos, incluidos Microsoft 365, Azure, AWS, Google Cloud y soluciones de seguridad de terceros.

Requisitos previos

Para configurar la detección de amenazas con Azure Sentinel, necesitará los siguientes elementos:

  1. Suscripción de Azure: una suscripción activa de Microsoft Azure.
  2. Acceso administrativo: una cuenta con permisos de Colaborador de Sentinel o Administrador de Log Analytics en Azure Portal (portal.azure.com).
  3. Espacio de trabajo de Log Analytics: un espacio de trabajo de Log Analytics configurado que sirve como repositorio de datos para Sentinel.
  4. Microsoft Sentinel Active: Microsoft Sentinel debe estar habilitado en el espacio de trabajo de Log Analytics.
  5. Conectores de datos configurados: los datos de seguridad (registros) se deben ingerir en el espacio de trabajo de Log Analytics desde fuentes como Azure AD, Microsoft 365, Microsoft Defender para endpoint, firewalls, etc. [3].

Paso a paso: creación de reglas de análisis y alertas

Creemos una regla de análisis programada para detectar un escenario de amenaza común: múltiples fallas de inicio de sesión en un corto período de tiempo, lo que indica un intento de fuerza bruta.

1. Verifique los conectores de datos

Antes de crear reglas, asegúrese de que se estén ingiriendo los datos relevantes. Para la detección de errores de inicio de sesión, necesitamos registros de Azure Active Directory (ID de Microsoft Entra).

  1. Vaya al portal de Azure: https://portal.azure.com.
  2. Navegue hasta Microsoft Sentinel.
  3. En el panel de navegación izquierdo, seleccione Conectores de datos.
  4. Busque Azure Active Directory y verifique que el estado sea Conectado.

2. Cree una regla de análisis programada

Creemos una regla que detecte 5 o más errores de inicio de sesión desde la misma IP en 10 minutos.

  1. En Azure Sentinel, en el panel de navegación izquierdo, seleccione Análisis.
  2. Haga clic en + Crear > Regla de consulta programada.

Paso 1: Generalidades

  1. Nombre: Intento de fuerza bruta de Azure AD
  2. Descripción: Detecta múltiples errores de inicio de sesión de Azure AD desde la misma dirección IP en un corto período de tiempo, lo que indica un posible ataque de fuerza bruta.
  3. Tácticas: Seleccione "Acceso a credenciales".
  4. Severidad: "Media".
  5. Estado: Habilitado.
  6. Haga clic en Siguiente: Defidefinir la lógica de las reglas.

Paso 2: Definir la lógica de las reglas

  1. Consulta de regla: Ingrese la consulta KQL:
Registros de inicio de sesión
| donde ResultType == "50126" // Falló la validación de credenciales
| resumir FailedLogins = count() por IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| donde inicios de sesión fallidos >= 5
| extender AccountCustomEntity = UserPrincipalName, IPCustomEntity = Dirección IP

  1. Mapeo de entidades: asigne entidades para enriquecer las alertas. En Asignación de entidades, agregue:

    • Cuenta: CuentaCustomEntity
    • Dirección IP: IPCustomEntity

  2. Programación de una cita:

    • Ejecutar consulta cada: 10 Minutos
    • Últimos datos de búsqueda: 10 Minutos

  3. Límite de alerta: deje el valor predeterminado "Generar alerta cuando el número de resultados de la consulta sea mayor que 0".

Paso 3: Configuración del incidente

  1. Crear incidentes a partir de alertas activadas por esta regla de análisis: Habilitado.
  2. Agrupación de alertas: Agrupa alertas en un solo incidente si todas las alertas se generan desde la misma entidad.

Paso 4: Respuesta automatizada

Opcionalmente, puede adjuntar un playbook (basado en Logic Apps) para automatizar acciones como bloquear la dirección IP en el firewall o deshabilitar la cuenta de usuario.

Paso 5: Revisar y crear

Revise todas las configuraciones y haga clic en Crear.

Investigación de alertas e incidentes

Cuando la regla detecta actividad sospechosa, se crea un incidente.

  1. En Azure Sentinel, vaya a Incidentes.
  2. Haga clic en el incidente generado por su regla.
  3. En la página de detalles del incidente, verá:
    • Cronología: una cronología de alertas.
    • Entidades: Las entidades asignadas (usuario e IP), que se pueden investigar más a fondo.
    • Gráfico de investigación: Una visualización gráfica de las conexiones entre entidades.

Utilice estas herramientas para comprender el alcance del ataque y tomar las medidas de respuesta necesarias.

Uso de plantillas de reglas de análisis

Microsoft Sentinel viene con cientos de plantillas de reglas prediseñadas de Microsoft y su comunidad de seguridad. Utilizarlos es una forma rápida de aumentar tu capacidad de detección.

  1. En Análisis, vaya a la pestaña Plantillas de reglas.
  2. Filtrar por fuentes de datos, tácticas MITRE ATT&CK®, etc.
  3. Seleccione una plantilla relevante (por ejemplo, "Ubicación de inicio de sesión anómala").
  4. Haga clic en Crear regla en el panel de detalles. El asistente se completará con la lógica y la configuración de la plantilla, que puede personalizar antes de crear la regla activa.

Conclusión

La creación de reglas de análisis personalizadas en Azure Sentinel es una capacidad esencial para cualquier equipo de seguridad. Al transformar los datos sin procesar en detecciones procesables, las organizaciones pueden identificar de forma proactiva amenazas como ataques de fuerza bruta, movimientos laterales y exfiltración de datos. Combinado con la automatización de respuestas y las plantillas de reglas existentes, Sentinel permite a los analistas centrarse en lo más importante: proteger la organización.

Referencias

[1]Microsoft. (2023). ¿Qué es Microsoft Sentinel? [2]Microsoft. (2023). Ver e investigar incidentes en Microsoft Sentinel. [3]Microsoft. (2023). Trabaja con conectores de datos de Microsoft Sentinel.