Az - Defender

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Microsoft Sentinel

Microsoft Sentinel es una solución SIEM (Gestión de Información y Eventos de Seguridad) y SOAR (Orquestación, Automatización y Respuesta de Seguridad) nativa de la nube en Azure​.

Agrega datos de seguridad de toda una organización (local y en la nube) en una sola plataforma y utiliza analíticas integradas e inteligencia de amenazas para identificar amenazas potenciales​. Sentinel aprovecha servicios de Azure como Log Analytics (para almacenamiento y consulta masiva de registros) y Logic Apps (para flujos de trabajo automatizados), lo que significa que puede escalar bajo demanda e integrarse con las capacidades de IA y automatización de Azure​.

En esencia, Sentinel recopila y analiza registros de diversas fuentes, detecta anomalías o actividades maliciosas, y permite a los equipos de seguridad investigar y responder a amenazas rápidamente, todo a través del portal de Azure sin necesidad de infraestructura SIEM local​.

Configuración de Microsoft Sentinel

Comienza habilitando Sentinel en un espacio de trabajo de Azure Log Analytics (el espacio de trabajo es donde se almacenarán y analizarán los registros). A continuación se presentan los pasos generales para comenzar:

  1. Habilitar Microsoft Sentinel en un Espacio de Trabajo: En el portal de Azure, crea o utiliza un espacio de trabajo de Log Analytics existente y añade Microsoft Sentinel a él. Esto despliega las capacidades de Sentinel en tu espacio de trabajo.
  2. Conectar Fuentes de Datos (Conectores de Datos): Una vez habilitado Sentinel, conecta tus fuentes de datos utilizando conectores de datos integrados. Ya sean registros de Entra ID, Office 365 o incluso registros de firewall, Sentinel comienza a ingerir registros y alertas automáticamente. Esto se hace comúnmente creando configuraciones de diagnóstico para enviar registros al espacio de trabajo de registros que se está utilizando.
  3. Aplicar Reglas de Análisis y Contenido: Con los datos fluyendo, habilita las reglas de análisis integradas o crea las personalizadas para detectar amenazas. Utiliza el Content Hub para plantillas de reglas preempaquetadas y libros de trabajo que inicien tus capacidades de detección.
  4. (Opcional) Configurar Automatización: Configura la automatización con libros de jugadas para responder automáticamente a incidentes, como enviar alertas o aislar cuentas comprometidas, mejorando tu respuesta general.

Características Principales

  • Registros: La pestaña de Registros abre la interfaz de consulta de Log Analytics, donde puedes profundizar en tus datos utilizando Kusto Query Language (KQL). Esta área es crucial para la solución de problemas, análisis forense e informes personalizados. Puedes escribir y ejecutar consultas para filtrar eventos de registro, correlacionar datos de diferentes fuentes e incluso crear paneles o alertas personalizadas basadas en tus hallazgos. Es el centro de exploración de datos en bruto de Sentinel.
  • Búsqueda: La herramienta de Búsqueda ofrece una interfaz unificada para localizar rápidamente eventos de seguridad, incidentes e incluso entradas de registro específicas. En lugar de navegar manualmente a través de múltiples pestañas, puedes escribir palabras clave, direcciones IP o nombres de usuario para recuperar instantáneamente todos los eventos relacionados. Esta función es particularmente útil durante una investigación cuando necesitas conectar rápidamente diferentes piezas de información.
  • Incidentes: La sección de Incidentes centraliza todas las alertas agrupadas en casos manejables. Sentinel agrega alertas relacionadas en un solo incidente, proporcionando contexto como severidad, cronología y recursos afectados. Dentro de un incidente, puedes ver un gráfico de investigación detallado que mapea la relación entre alertas, facilitando la comprensión del alcance y el impacto de una amenaza potencial. La gestión de incidentes también incluye opciones para asignar tareas, actualizar estados e integrarse con flujos de trabajo de respuesta.
  • Libros de Trabajo: Los libros de trabajo son paneles y informes personalizables que te ayudan a visualizar y analizar tus datos de seguridad. Combinan varios gráficos, tablas y consultas para ofrecer una vista integral de tendencias y patrones. Por ejemplo, podrías usar un libro de trabajo para mostrar una línea de tiempo de actividades de inicio de sesión, mapeo geográfico de direcciones IP o la frecuencia de alertas específicas a lo largo del tiempo. Los libros de trabajo son tanto preconstruidos como completamente personalizables para adaptarse a las necesidades específicas de monitoreo de tu organización.
  • Caza: La función de Caza proporciona un enfoque proactivo para encontrar amenazas que podrían no haber activado alertas estándar. Viene con consultas de caza preconstruidas que se alinean con marcos como MITRE ATT&CK, pero también te permite escribir consultas personalizadas. Esta herramienta es ideal para analistas avanzados que buscan descubrir amenazas sigilosas o emergentes explorando datos históricos y en tiempo real, como patrones de red inusuales o comportamientos anómalos de usuarios.
  • Cuadernos: Con la integración de Cuadernos, Sentinel aprovecha Jupyter Notebooks para análisis de datos avanzados e investigaciones automatizadas. Esta función te permite ejecutar código Python directamente contra tus datos de Sentinel, lo que hace posible realizar análisis de aprendizaje automático, construir visualizaciones personalizadas o automatizar tareas de investigación complejas. Es particularmente útil para científicos de datos o analistas de seguridad que necesitan realizar análisis profundos más allá de las consultas estándar.
  • Comportamiento de Entidad: La página de Comportamiento de Entidad utiliza Analítica de Comportamiento de Usuario y Entidad (UEBA) para establecer líneas base de actividad normal en tu entorno. Muestra perfiles detallados para usuarios, dispositivos y direcciones IP, destacando desviaciones del comportamiento típico. Por ejemplo, si una cuenta de actividad normalmente baja de repente exhibe transferencias de datos de alto volumen, esta desviación será señalada. Esta herramienta es crítica para identificar amenazas internas o credenciales comprometidas basadas en anomalías de comportamiento.
  • Inteligencia de Amenazas: La sección de Inteligencia de Amenazas te permite gestionar y correlacionar indicadores de amenazas externas—como direcciones IP maliciosas, URLs o hashes de archivos—con tus datos internos. Al integrarse con fuentes de inteligencia externas, Sentinel puede marcar automáticamente eventos que coincidan con amenazas conocidas. Esto te ayuda a detectar y responder rápidamente a ataques que son parte de campañas más amplias y conocidas, añadiendo otra capa de contexto a tus alertas de seguridad.
  • MITRE ATT&CK: En la pestaña de MITRE ATT&CK, Sentinel mapea tus datos de seguridad y reglas de detección al ampliamente reconocido marco MITRE ATT&CK. Esta vista te ayuda a entender qué tácticas y técnicas se están observando en tu entorno, identificar posibles brechas en la cobertura y alinear tu estrategia de detección con patrones de ataque reconocidos. Proporciona una forma estructurada de analizar cómo los adversarios podrían estar atacando tu entorno y ayuda a priorizar acciones defensivas.
  • Content Hub: El Content Hub es un repositorio centralizado de soluciones preempaquetadas, incluidos conectores de datos, reglas de análisis, libros de trabajo y libros de jugadas. Estas soluciones están diseñadas para acelerar tu implementación y mejorar tu postura de seguridad al proporcionar configuraciones de mejores prácticas para servicios comunes (como Office 365, Entra ID, etc.). Puedes explorar, instalar y actualizar estos paquetes de contenido, facilitando la integración de nuevas tecnologías en Sentinel sin una configuración manual extensa.
  • Repositorios: La función de Repositorios (actualmente en vista previa) permite el control de versiones para tu contenido de Sentinel. Se integra con sistemas de control de versiones como GitHub o Azure DevOps, permitiéndote gestionar tus reglas de análisis, libros de trabajo, libros de jugadas y otras configuraciones como código. Este enfoque no solo mejora la gestión de cambios y la colaboración, sino que también facilita volver a versiones anteriores si es necesario.
  • Gestión de Espacios de Trabajo: El administrador de Espacios de Trabajo de Microsoft Sentinel permite a los usuarios gestionar centralmente múltiples espacios de trabajo de Microsoft Sentinel dentro de uno o más inquilinos de Azure. El espacio de trabajo central (con el administrador de Espacios de Trabajo habilitado) puede consolidar elementos de contenido para ser publicados a gran escala en los espacios de trabajo de miembros.
  • Conectores de Datos: La página de Conectores de Datos enumera todos los conectores disponibles que traen datos a Sentinel. Cada conector está preconfigurado para fuentes de datos específicas (tanto de Microsoft como de terceros) y muestra su estado de conexión. Configurar un conector de datos generalmente implica unos pocos clics, después de lo cual Sentinel comienza a ingerir y analizar registros de esa fuente. Esta área es vital porque la calidad y amplitud de tu monitoreo de seguridad dependen del rango y la configuración de tus fuentes de datos conectadas.
  • Análisis: En la pestaña de Análisis, creas y gestionas las reglas de detección que alimentan las alertas de Sentinel. Estas reglas son esencialmente consultas que se ejecutan en un horario (o casi en tiempo real) para identificar patrones sospechosos o violaciones de umbrales en tus datos de registro. Puedes elegir entre plantillas integradas proporcionadas por Microsoft o crear tus propias reglas personalizadas utilizando KQL. Las reglas de análisis determinan cómo y cuándo se generan las alertas, impactando directamente en cómo se forman y priorizan los incidentes.
  • Lista de Vigilancia: La lista de vigilancia de Microsoft Sentinel permite la recolección de datos de fuentes de datos externas para correlacionar contra los eventos en tu entorno de Microsoft Sentinel. Una vez creada, aprovecha las listas de vigilancia en tu búsqueda, reglas de detección, caza de amenazas, libros de trabajo y libros de jugadas de respuesta.
  • Automatización: Las reglas de automatización te permiten gestionar centralmente toda la automatización del manejo de incidentes. Las reglas de automatización optimizan el uso de la automatización en Microsoft Sentinel y te permiten simplificar flujos de trabajo complejos para tus procesos de orquestación de incidentes.

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks