Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Análisis de tráfico en Azure Network Watcher procesa y agrega registros de flujo de red virtual para proporcionar visibilidad de los flujos de red, los patrones de tráfico y los posibles riesgos de seguridad. Enriquece los datos de flujo con inteligencia sobre amenazas, atributos de geolocalización y contexto de topología para ayudar a identificar anomalías y evaluar la exposición en todo el entorno.
Traffic Analytics admite la integración con Microsoft Sentinel. Microsoft Sentinel es una solución escalable de administración de eventos e información de seguridad nativa de la nube (SIEM) que proporciona una supervisión de seguridad rentable en entornos multinube y multiplataforma. Microsoft Sentinel usa analizadores basados en ASIM para normalizar los datos entrantes, lo que permite transformar los registros de flujo de red virtual enriquecidos en el esquema necesario para la correlación, la investigación y la detección de amenazas.
Juntos, Análisis de tráfico y Microsoft Sentinel permiten la supervisión proactiva y la investigación reactiva. La telemetría de nivel de flujo resalta rutas de comunicación inesperadas, volúmenes de tráfico inusuales e indicadores de riesgo, lo que le permite detectar desviaciones del comportamiento de línea base e investigar eventos con información confiable y estructurada.
Prerrequisitos
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Análisis de tráfico habilitado para los registros de flujo. Para obtener más información, consulte Habilitación o deshabilitación del análisis de tráfico.
Acceso de colaborador o administrador de seguridad en el área de trabajo.
Rol colaborador de Microsoft Sentinel en el grupo de recursos al que pertenece el área de trabajo.
Integración de Microsoft Sentinel con Traffic Analytics mediante Azure Portal
Puede integrar Fácilmente Microsoft Sentinel con Traffic Analytics directamente desde Azure Portal.
Habilitación de Microsoft Sentinel en el área de trabajo
Para empezar, habilite Microsoft Sentinel en el mismo área de trabajo de Log Analytics que usa Traffic Analytics. Esto permite a Sentinel acceder a los datos de Análisis de tráfico y analizarlos sin necesidad de configuración ni movimiento de datos adicionales.
En el cuadro de búsqueda de la parte superior del portal, busque Microsoft Sentinel.
Seleccione Crear y elija el área de trabajo de Log Analytics que usa Traffic Analytics.
Seleccione Agregar para habilitar Microsoft Sentinel en el área de trabajo.
Instalación del contenido de Análisis de red
Instale la solución de red necesaria desde el centro de contenido de Microsoft Sentinel. Esto proporciona libros precompilados, reglas de análisis y consultas de búsqueda diseñadas para analizar los datos de tráfico de red normalizados.
En Administración de contenido en Microsoft Sentinel, seleccione Centro de contenido.
Busque Aspectos esenciales de la sesión de red.
Seleccione Network Session Essentials y, a continuación, seleccione Instalar con dependencias.
Seleccione Instalar para confirmar e instalar la solución.
Habilitación de reglas de análisis
Habilite las reglas de análisis de red pertinentes para empezar a generar alertas de seguridad e incidentes. Estas reglas evalúan continuamente los datos de Análisis de tráfico para detectar comportamientos de red sospechosos o anómalos.
En el centro de contenido, filtre por tipo de contenido: regla de análisis.
Busque Red para ver todas las reglas de detección disponibles relacionadas con la red que se pueden habilitar en el área de trabajo.
Para habilitar una regla de Analytics, seleccione la regla de la lista y, a continuación, seleccione Crear regla para crear la regla en el área de trabajo y empiece a generar alertas basadas en la actividad de red coincidente. Se abrirá el Asistente para reglas de análisis.
En la pestaña Establecer lógica de reglas del Asistente para reglas de análisis, revise la configuración de la regla predeterminada, incluida la lógica de consulta, la frecuencia de ejecución y el período de retroceso. Ajuste esta configuración si es necesario.
En la pestaña Configuración de incidentes , configure cómo se agrupan las alertas en incidentes.
Seleccione Revisar y crear y, después, guardar para habilitar la regla.
Una vez habilitada, la regla se ejecuta automáticamente en los datos de Análisis de tráfico y genera alertas e incidentes cuando se detecta la actividad de red coincidente.
Conclusiones generadas por reglas de análisis
En esta sección se describe cómo las reglas de análisis de Microsoft Sentinel generan información de seguridad a partir de los registros de flujo de NSG (Network Security Group) mediante el esquema de sesión de red de ASIM. Recorre un conjunto de nueve reglas de análisis que ayudan colectivamente a identificar comportamientos de red sospechosos y potencialmente malintencionados, como intentos por fuerza bruta, exámenes de puerto, patrones de señalización y anomalías de tráfico. Para cada regla, en la tabla se explica qué tipo de actividad se está detectando y se muestra cómo aparecen alertas en Sentinel mediante gráficos de alertas.
El contenido también resalta cómo los analistas pueden pasar de tendencias de alertas de alto nivel a una investigación detallada al profundizar en alertas individuales, revisar marcas de tiempo, entidades y propiedades extendidas, y correlacionar detecciones con tácticas y técnicas de MITRE ATT&CK.
| Regla de alertas | ¿Qué indica? |
|---|---|
| Ataque de fuerza bruta en red de Escritorio Remoto | Varios intentos fallidos de conexión RDP (puerto 3389) desde un origen, lo que indica un posible ataque por fuerza bruta. |
| Barrido de puertos de red desde una red externa | Un origen externo que examina el mismo puerto en varias direcciones IP de destino, lo que indica el reconocimiento. |
| Anomalía encontrada en tráfico de sesión de red | Desviaciones inusuales en los patrones de tráfico de red (dirección, protocolo, volumen) en comparación con el comportamiento histórico. |
| Escaneo de puertos detectado | Un único origen que intenta conexiones a muchos puertos diferentes en un breve período de tiempo, lo que indica una exploración de puertos. |
| Número excesivo de conexiones con errores desde un único origen | Origen que genera un número inusualmente alto de conexiones de red con errores, lo que sugiere actividades sospechosas o malintencionadas. |
| Anomalía en el tráfico SMB | Picos o desviaciones anómalos en el tráfico SMB (uso compartido de archivos) en comparación con el comportamiento de línea base. |
| Actividad de señalización potencial | Tráfico de red saliente repetitivo y con patrones que pueden indicar la comunicación de control o señalización de malware. |
| Detección del uso incorrecto del puerto mediante la detección basada en anomalías | Uso de puertos de red que se desvía del comportamiento normal aprendido, lo que indica el uso sospechoso del puerto. |
| Detección del uso incorrecto del puerto por umbral estático | El uso del puerto de red cruza un umbral estático predefinido, lo que indica el tráfico potencialmente sospechoso o que infringe la directiva. |