Los equipos de seguridad de organizaciones tanto grandes como pequeñas realizan un seguimiento de las métricas clave para tomar decisiones de seguridad críticas e identificar tendencias significativas en sus organizaciones. Defender para Office 365 cuenta con funciones de generación de informes integradas y completas que proporcionan información sobre su postura de seguridad para satisfacer estas necesidades.
Sin embargo, a veces los equipos de seguridad requieren herramientas de generación de informes personalizadas para crear vistas específicas, combinar varias fuentes de datos y obtener información adicional para satisfacer sus necesidades.
En este post, mostraré cómo puedes utilizar los workbooks en Microsoft Sentinel para construir un dashboard personalizado para Defender para Office 365. También hay un workbook de ejemplo que ya está disponible y que se puede personalizar según las necesidades de cada organización.
¿Por qué utilizar workbooks en Microsoft Sentinel?
El uso de workbooks tiene muchas ventajas potenciales si ya utilizas Microsoft Sentinel y ya transmites las tablas de datos de caza para Defender para Office 365:
- Puedes optar por almacenar datos durante un período de tiempo más largo mediante la configuración de una retención más prolongada para las tablas que utiliza para sus libros de trabajo. Por ejemplo, puede almacenar los datos de la tabla EmailEvents de Defender para Office 365 durante 1 año y crear visuales durante un periodo de tiempo más largo.
- Puedes personalizar sus visuales fácilmente en función de las necesidades de su organización.
- Puede configurar la actualización automática del libro de trabajo para mantener actualizados los datos mostrados.
- Puedes acceder a plantillas de libros de trabajo listas para usar y personalizarlas si es necesario.
Introducción
Después de conectar tus fuentes de datos a Microsoft Sentinel, puedes visualizar y supervisar los datos mediante libros de trabajo en Microsoft Sentinel. Asegúrate de que Microsoft Defender XDR está instalado en tu instancia de Microsoft Sentinel, para que puedas utilizar Defender para datos de Office 365 con unos sencillos pasos.
La detección y otras perspectivas de Defender para Office 365 ya están disponibles como datos sin procesar en las tablas de caza avanzadas de Microsoft Defender XDR:
- EmailEvents – contiene información sobre todos los correos electrónicos
- EmailAttachmentInfo – contiene información sobre los archivos adjuntos en los correos electrónicos
- EmailUrlInfo – contiene información sobre URLs en correos electrónicos
- EmailPostDeliveryEvents – contiene información sobre eventos de purga automática en cero horas (ZAP) o de corrección manual
- UrlClickEvents: contiene información sobre clics en vínculos seguros desde mensajes de correo electrónico, Microsoft Teams y aplicaciones de Office 365 en aplicaciones de escritorio, móviles y web compatibles.
- CloudAppEvents: CloudAppEvents se puede utilizar para visualizar correos electrónicos de phishing notificados por usuarios y envíos de Admin con Defender para Office 365.
La solución Microsoft Defender XDR en Microsoft Sentinel proporciona un conector para transmitir los datos anteriores de forma continua a Microsoft Sentinel. A continuación, Microsoft Sentinel le permite crear workbooks personalizados a través de sus datos o utilizar plantillas de workbooks existentes disponibles con soluciones empaquetadas o como contenido independiente desde el hub de contenido.
Cómo acceder a la plantilla del workbook
Una nueva plantilla de workbook para la detección y visualización de datos de Defender para Office 365, que está disponible en el hub de contenido de Microsoft Sentinel.
El workbook es parte de la solución Microsoft Defender XDR. Si ya estás utilizando la solución, esta actualización ya está diponible. Si está instalando la solución Microsoft Defender XDR por primera vez, este libro de trabajo estará disponible automáticamente después de la instalación.
Una vez instalada la solución Microsoft Defender XDR (o actualizada a la última versión disponible), basta con navegar hasta el área Workbooks de Microsoft Sentinel y, en la pestaña Templates, seleccionar Microsoft Defender for Office 365 Detection and Insights. Utilizando la acción «Ver plantilla» se carga el libro de trabajo.
¿Qué información ofrece la plantilla?
La plantilla consta de las siguientes secciones, cada una de las cuales profundiza en diversas áreas de la seguridad del correo electrónico y ofrece detalles y perspectivas a los miembros del equipo de seguridad:
- Resumen de detecciones
- Correo electrónico – Detección de malware
- Correo electrónico – Detecciones de phishing
- Correo electrónico – Detecciones de spam
- Correo electrónico – Detecciones de compromiso empresarial (BEC)
- Detecciones de correo electrónico basadas en la autenticación del remitente
- Detecciones de URL y clics
- Correo electrónico – Principales usuarios/remitentes
- Correo electrónico – Anulaciones de detección
- Falsos negativos/positivos
- Archivos – Detecciones de malware (SharePoint, Teams y OneDrive)
- Detecciones posteriores a la entrega y acciones administrativas
¿Puedo personalizar el Workbook?
Sí, absolutamente. Basándose en los atributos de correo electrónico del esquema de Advanced Hunting, puede definir más funciones y elementos visuales según tus necesidades. Por ejemplo, puedes utilizar el campo DetectionMethods para analizar detecciones capturadas por capacidades como Spoof detections, Safe Attachment y detección de correos electrónicos que contengan URL extraídas de códigos QR.
También puede introducir otras fuentes de datos en Microsoft Sentinel como tablas y utilizarlas al crear elementos visuales en el workbook.
Este workbook de muestra es un potente escaparate de cómo puedes utilizar los datos de detección sin procesar de Defender para Office 365 para visualizar la información de detección de seguridad del correo electrónico directamente en Microsoft Sentinel. Permite a las organizaciones crear fácilmente paneles personalizados que pueden ayudarles a analizar, realizar un seguimiento de su panorama de amenazas y responder rápidamente en función de requisitos únicos.
