Microsoft Sentinel ha lanzado en versión preliminar pública una potente función: Reglas de Ingestión. Esta característica te permite ajustar los feeds de inteligencia de amenazas (TI) antes de que sean ingeridos en Sentinel. Ahora puedes establecer condiciones y acciones personalizadas sobre Indicadores de Compromiso (IoCs), actores de amenazas, patrones de ataque, identidades y sus relaciones.
Casos de uso destacados
- Filtra falsos positivos: Suprime IoCs de feeds propensos a generar falsos positivos, asegurando que solo la inteligencia relevante llegue a tus analistas.
- Extiende el periodo de validez de IoCs: Para feeds que requieren una mayor longevidad, amplía automáticamente su vigencia.
- Etiquetado personalizado: Marca los objetos de TI con terminología y flujos de trabajo acordes a tu organización.
¿Cómo empezar con las reglas de ingestión?
Para crear una nueva “Regla de Ingestión”, navega a “Gestión de Inteligencia” y haz clic en “Reglas de Ingestión”.
Con esta funcionalidad podrás modificar o eliminar indicadores antes de que se integren al entorno de Sentinel. Las reglas se aplican directamente sobre los indicadores que están en el proceso de ingestión.
Nota: Puede tomar hasta 15 minutos para que la regla surta efecto.
Casos de uso detallados
1. Eliminar IoCs con baja puntuación de confianza durante la ingestión
Al ingerir IoCs desde TAXII, API de carga o archivos, los indicadores llegan de forma continua. Ahora puedes establecer una regla para eliminar aquellos que no cumplan un umbral mínimo de confianza, por ejemplo, descartar indicadores cuya puntuación de confianza sea 0 y así asegurar que solo datos fiables se procesen.
2. Extensión automática de IoCs
Configura reglas para extender la fecha de expiración de los indicadores cuya puntuación de confianza sea mayor a 75. De esta forma, los IoCs valiosos permanecerán activos más tiempo, mejorando la eficacia en detección y respuesta de amenazas.
3. Etiquetado masivo de indicadores
El etiquetado masivo te permite organizar grandes volúmenes de indicadores en función de su confianza. Crea reglas para etiquetar los que tengan una puntuación superior a 75, facilitando la gestión, filtrado y análisis de estos indicadores dentro de Sentinel.
Gestión de las reglas de ingestión
- Reordenar reglas: Prioriza acciones reorganizando las reglas, asegurando que las más críticas se apliquen primero y optimizando el rendimiento.
- Crear a partir de reglas existentes: Duplica reglas y edítalas para adaptarte rápidamente a nuevos requerimientos sin comenzar desde cero.
- Eliminar reglas obsoletas: Cada workspace tiene un máximo de 25 reglas, por lo que es fundamental mantener solo aquellas relevantes y actualizadas para no afectar el proceso y el rendimiento de ingestión.
Al aprovechar estas reglas de pre-ingestión, mejorarás la calidad y fiabilidad de los IoCs que ingresan en Sentinel, logrando una detección de amenazas más precisa y una postura de seguridad más robusta para tu organización.
