Crear y administrar cuadernos de estrategias de Microsoft Sentinel

• S’aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Sentinel en respuesta a un incidente completo, a una alerta individual o a una entidad específica. Un cuaderno de estrategias puede ayudar a automatizar y organizar la respuesta, y se puede adjuntar a una regla de automatización para ejecutarse automáticamente cuando se generan alertas específicas o cuando se crean o actualizan incidentes. Los cuadernos de estrategias también se pueden ejecutar manualmente a petición en incidentes, alertas o entidades específicos.

En este artículo se describe cómo crear y administrar cuadernos de estrategias de Microsoft Sentinel. Posteriormente, puede adjuntar estos cuadernos de estrategias a reglas de análisis o reglas de automatización, o ejecutarlos manualmente en incidentes, alertas o entidades específicos.

Nota:

Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Se pueden aplicar cargos adicionales. Para más información, visite la página de precios de Azure Logic Apps.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

• Una cuenta y una suscripción de Azure. Si aún no tiene una, regístrese para obtener una cuenta de Azure gratuita.

• Para crear y administrar cuadernos de estrategias, necesita acceso a Microsoft Sentinel con uno de los siguientes roles de Azure:

  Aplicación lógica	Roles de Azure	Descripción
  Consumo	Colaborador de aplicación lógica	Edite y administre las aplicaciones lógicas.
  Consumo	Operador de aplicación lógica	Lea, habilite y deshabilite las aplicaciones lógicas.
  Estándar	Operador estándar de Logic Apps	Habilite, vuelva a enviar y deshabilite los flujos de trabajo.
  Estándar	Desarrollador de Logic Apps Estándar	Crear y editar flujos de trabajo.
  Estándar	Colaborador estándar de Logic Apps	Administrar todos los aspectos de un flujo de trabajo.

  Para más información, consulte la siguiente documentación:

  • Acceso a las operaciones de las aplicaciones lógicas
  • Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

• Se recomienda leer Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel.

Crear un cuaderno de estrategias

Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:

1. En Azure Portal o en el portal de Defender, vaya al área de trabajo de Microsoft Sentinel. En el menú del área de trabajo, en Configuración, seleccioneAutomatización.

   Azure Portal

   

   Portal de Defender

   

2. En el menú superior, seleccione Crear y, a continuación, seleccione una de las siguientes opciones:

   • Si va a crear un cuaderno de estrategias consumo, seleccione una de las siguientes opciones, en función del desencadenador que quiera usar y, a continuación, siga los pasos descritos en la pestaña Consumo de Logic Apps a continuación:

     • Cuaderno de estrategias con desencadenador de incidentes
     • Cuaderno de estrategias con desencadenador de alertas
     • Cuaderno de estrategias con desencadenador de entidad

     Esta guía continúa con el cuaderno de estrategias con el desencadenador de entidad.

   • Si va a crear un cuaderno de estrategias Estándar, seleccione Cuaderno de estrategias en blanco y, a continuación, siga los pasos del tipo de aplicación lógica estándar.

   Para obtener más información, consulte Tipos de aplicación lógica compatibles y Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Prepare la aplicación lógica del cuaderno de estrategias

Seleccione una de las pestañas siguientes para obtener más información sobre cómo crear una aplicación lógica para el cuaderno de estrategias, en función de si usa un flujo de trabajo Consumo o Estándar. Para obtener más información, consulte Tipos de aplicación lógica compatibles.

Sugerencia

Si los cuadernos de estrategias necesitan acceso a recursos protegidos que están dentro o conectados a una red virtual de Azure, cree un flujo de trabajo de aplicación lógica estándar.

Por ejemplo, los flujos de trabajo estándar admiten el uso de puntos de conexión privados para el tráfico entrante para que los flujos de trabajo puedan comunicarse de forma privada y segura con redes virtuales. Los flujos de trabajo estándar también admiten la integración de red virtual para el tráfico saliente. Para obtener más información, consulte Proteger el tráfico entre redes virtuales y Azure Logic Apps de un solo inquilino mediante puntos de conexión privados.

Consumo

Después de seleccionar el desencadenador, que incluye un incidente, una alerta o un desencadenador de entidad, aparece el Asistente para crear cuaderno de estrategias, por ejemplo:

Siga estos pasos para crear el cuaderno de estrategias:

1. En la pestaña Básico, especifique la siguiente información:

   1. En Suscripción y Grupo de recursos, seleccione los valores que desee en sus listas respectivas.

      El valor región se establece en la misma región que el área de trabajo de Log Analytics asociada.

   2. Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.

   3. Para supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, seleccione Habilitar registros de diagnóstico en Log Analyticsy, a continuación, seleccione un área de trabajo de Log Analytics a menos que ya haya seleccionado un área de trabajo.

2. Seleccione Siguiente: Conexiones>.

3. En la pestaña Conexiones, se recomienda dejar los valores predeterminados, configurando una aplicación lógica para conectarse a Microsoft Sentinel con identidad administrada.

   Para obtener más información, consulte Autenticar cuadernos de estrategias en Microsoft Sentinel.

4. Seleccione Siguiente: Revisar y crear > para continuar.

5. En la pestaña Revisar y crear, revise las opciones de configuración y seleccione Crear cuaderno de estrategias.

   Azure tarda unos minutos en crear e implementar el cuaderno de estrategias. Una vez completada la implementación, el cuaderno de estrategias se abre en el Diseñador de flujos de trabajo de consumo para Azure Logic Apps. El desencadenador que seleccionó anteriormente aparece automáticamente como primer paso del flujo de trabajo, por lo que ahora puede seguir compilando el flujo de trabajo desde aquí.

   

6. En el diseñador, seleccione el desencadenador de Microsoft Sentinel, si aún no está seleccionado.

7. En el panel Crear conexión, siga estos pasos para proporcionar la información necesaria para conectarse a Microsoft Sentinel.

   1. En Autenticación, seleccione entre los métodos siguientes, que afectan a los parámetros de conexión posteriores:

      Method	Descripción
      OAuth	Open Authorization (OAuth) es un estándar de tecnología que permite autorizar a una aplicación o servicio a iniciar sesión en otra sin exponer información privada, como contraseñas. OAuth 2.0 es el protocolo del sector para la autorización y concede acceso limitado a los recursos protegidos. Para obtener más información, consulte los siguientes recursos: - ¿Qué es OAuth? - Autorización de OAuth 2.0 con identificador de Microsoft Entra
      Entidad de servicio	Una entidad de servicio representa una entidad que requiere acceso a los recursos protegidos por un inquilino de Microsoft Entra. Para más información, vea Entidad de servicio.
      Identidad administrada	Una identidad que se administra automáticamente en Microsoft Entra ID. Las aplicaciones pueden usar esta identidad para acceder a los recursos que admiten la autenticación de Microsoft Entra y para obtener tokens de Microsoft Entra sin tener que administrar credenciales. Para una seguridad óptima, Microsoft recomienda usar una identidad administrada para la autenticación siempre que sea posible. Esta opción proporciona una seguridad superior y ayuda a mantener segura la información de autenticación para que no tengas que gestionar esta información sensible. Para obtener más información, consulte los siguientes recursos: - ¿Qué son las identidades administradas de recursos de Azure? - Autenticación del acceso y las conexiones a recursos de Azure con identidades administradas en Azure Logic Apps.

      Para más información, consulte Métodos de autenticación.

   2. En función de la opción de autenticación seleccionada, proporcione los valores de parámetro necesarios para la opción correspondiente.

      Para obtener más información sobre estos parámetros, consulte Referencia del conector de Microsoft Sentinel.

   3. En Id. de inquilino, seleccione el identificador de inquilino de Microsoft Entra.

   4. Cuando termine, seleccione Guardar.

8. Si eligió previamente cuaderno de estrategias con desencadenadorde entidad, seleccione el tipo de entidad que desea que este cuaderno de estrategias reciba como entrada.

   

Estándar

Los libros de jugadas basados en un flujo de trabajo Estándar no admiten plantillas de libro de jugadas, por lo que primero tienes que crear una aplicación lógica Estándar, luego crear tu libro de jugadas y, por último, elegir el activador para tu libro de jugadas.

Después de seleccionar Cuaderno de estrategias en blanco, se abre una nueva pestaña del explorador y aparece el Asistente para crear aplicación lógica. El asistente muestra las opciones de hospedaje disponibles en las que ya está seleccionado el Plan estándar de servicio de flujo de trabajo, por ejemplo:

Siga estos pasos para crear la aplicación lógica estándar:

Creación de aplicaciones lógicas Estándar

1. En la página Crear aplicación lógica, confirme la selección del plan de hospedaje y seleccione Seleccionar.

2. En la pestaña Básico, especifique la siguiente información:

   1. En Suscripción y Grupo de recursos, seleccione los valores que desee de sus respectivas listas.

   2. En Nombre de aplicación lógica, escriba un nombre para la aplicación lógica.

   3. En Región, seleccione la región de Azure para la aplicación lógica.

   4. En Plan de Windows (región seleccionada),cree o seleccione un plan existente.

   5. En Plan de precios, seleccione los recursos de proceso y sus precios para la aplicación lógica.

   6. En Redundancia de zona, puede habilitar esta funcionalidad si seleccionó una región de Azure que admita redundancia de zona de disponibilidad.

      En este ejemplo, deje la opción deshabilitada. Para obtener más información, consulte Protección de aplicaciones lógicas frente a errores de región con redundancia de zona y zonas de disponibilidad.

   7. Seleccione Siguiente: Almacenamiento>.

   

3. En la pestaña Almacenamiento, especifique la siguiente información:

   1. En Tipo de almacenamiento, seleccione Azure Storage y seleccione o cree una Cuenta almacenamiento.

   2. En Configuración de diagnóstico de Blob Service, deje la configuración predeterminada.

4. En la pestaña Redes, puede dejar las opciones predeterminadas para este ejemplo.

   Para sus escenarios específicos y reales, asegúrese de revisar y seleccionar las opciones adecuadas. También puede cambiar esta configuración después de implementar su recurso de aplicación lógica. Para más información, consulte la siguiente documentación:

   • Creación de un flujo de trabajo Estándar en Azure Portal

   • Tráfico seguro entre aplicaciones lógicas estándar y redes virtuales de Azure mediante puntos de conexión privados.

5. En la pestaña Supervisión, siga estos pasos:

   1. En Application Insights, establezca Habilitar Application Insights en No.

      Esta configuración deshabilita o habilita la supervisión del rendimiento con Application Insights en Azure Monitor. Sin embargo, para Microsoft Sentinel, esta funcionalidad no es necesaria y cuesta más.

   2. De manera opcional, puede seleccionar Siguiente: etiquetas > para aplicar etiquetas a esta aplicación lógica con fines de categorización y facturación de recursos. En caso contrario, seleccione Revisar y crear.

6. En la pestaña Revisar y crear, revise las opciones de configuración y seleccione Crear.

   Azure tarda unos minutos en crear e implementar la aplicación lógica.

7. Una vez completada la implementación, seleccione Ir al recurso, que abre el recurso de la aplicación lógica.

   A diferencia de los cuadernos de estrategias de consumo clásicos, aún no ha terminado. Ahora debe crear un flujo de trabajo.

Crear un flujo de trabajo para el cuaderno de estrategias

1. En el menú de la aplicación lógica, en Flujos de trabajo, seleccione Flujos de trabajo.

2. En la barra de herramientas Flujos de trabajo, seleccione Agregar.

3. En el panel Nuevo flujo de trabajo, proporcione la siguiente información:

   Propiedad	Descripción
   Nombre del flujo de trabajo	Escriba un nombre descriptivo para el flujo de trabajo.
   Tipo de estado	Seleccione Con estado. Microsoft Sentinel no admite el uso de flujos de trabajo sin estado como cuadernos de estrategias.

4. Cuando termine, seleccione Crear.

   Una vez que Azure guarde el flujo de trabajo, la página Flujos de trabajo muestra el flujo de trabajo.

5. Seleccione el flujo de trabajo para abrir la página Información general del flujo de trabajo.

   En esta página se muestra toda la información sobre el flujo de trabajo, incluido el historial de todas las veces que se ejecuta el flujo de trabajo.

6. En el menú del flujo de trabajo, en Programador, seleccione Diseñador.

   El diseñador de flujo de trabajo se abre para empezar a compilar el flujo de trabajo agregando un desencadenador.

Adición del desencadenador de flujo de trabajo

1. En el diseñador, seleccione Agregar un desencadenador para abrir el panel Agregar un desencadenador, por ejemplo:

   

2. Sigue estos pasos generales para encontrar los activadores de Microsoft Sentinel, que incluyen estos activadores:

   • Entidad de Microsoft Sentinel
   • Alerta de Microsoft Sentinel
   • Incidente de Microsoft Sentinel

   

3. Seleccione el desencadenador que desea usar para el cuaderno de estrategias.

   Este ejemplo continúa con el desencadenador de entidad de Microsoft Sentinel.

4. En el diseñador, selecciona el activador, si no está ya seleccionado.

5. En el panel Crear conexión, proporcione la información necesaria para conectarse a Microsoft Sentinel.

   1. En Autenticación, seleccione entre los métodos siguientes, que afectan a los parámetros de conexión posteriores:

      Method	Descripción
      OAuth	Open Authorization (OAuth) es un estándar de tecnología que permite autorizar a una aplicación o servicio a iniciar sesión en otra sin exponer información privada, como contraseñas. OAuth 2.0 es el protocolo del sector para la autorización y concede acceso limitado a los recursos protegidos. Para obtener más información, consulte los siguientes recursos: - ¿Qué es OAuth? - Autorización de OAuth 2.0 con identificador de Microsoft Entra
      Entidad de servicio	Una entidad de servicio representa una entidad que requiere acceso a los recursos protegidos por un inquilino de Microsoft Entra. Para más información, vea Entidad de servicio.
      Identidad administrada	Una identidad que se administra automáticamente en Microsoft Entra ID. Las aplicaciones pueden usar esta identidad para acceder a los recursos que admiten la autenticación de Microsoft Entra y para obtener tokens de Microsoft Entra sin tener que administrar credenciales. Para una seguridad óptima, Microsoft recomienda usar una identidad administrada para la autenticación siempre que sea posible. Esta opción proporciona una seguridad superior y ayuda a mantener segura la información de autenticación para que no tengas que gestionar esta información sensible. Para obtener más información, consulte los siguientes recursos: - ¿Qué son las identidades administradas de recursos de Azure? - Autenticación del acceso y las conexiones a recursos de Azure con identidades administradas en Azure Logic Apps.

      Para más información, consulte Métodos de autenticación.

   2. En función de la opción de autenticación seleccionada, proporcione los valores de parámetro necesarios para la opción correspondiente.

      Para obtener más información sobre estos parámetros, consulte Referencia del conector de Microsoft Sentinel.

   3. En Id. de inquilino, seleccione el identificador de inquilino de Microsoft Entra.

   4. Cuando termine, seleccione Guardar.

6. Si eligió el desencadenador entidad de Microsoft Sentinel, seleccione el tipo de entidad que desea que este cuaderno de estrategias reciba como entrada.

   

Para obtener más información, consulte Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Solicitudes de autenticación

Al agregar un desencadenador o una acción posterior que requiera autenticación, es posible que se le pida que elija entre los tipos de autenticación disponibles admitidos por el proveedor de recursos correspondiente. En este ejemplo, un desencadenador de Microsoft Sentinel es la primera operación que se agrega al flujo de trabajo. Por lo tanto, el proveedor de recursos es Microsoft Sentinel, que admite varias opciones de autenticación. Para más información, consulte la siguiente documentación:

• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel

Agregar acciones al cuaderno de estrategias

Ahora que tiene un flujo de trabajo para el cuaderno de estrategias, defina lo que sucede cuando llame al cuaderno de estrategias. Agregue acciones, condiciones lógicas, bucles o condiciones de cambio de mayúsculas y minúsculas; para ello, seleccione el signo más (+) en el diseñador. Para obtener más información, consulte Compilación de un flujo de trabajo con un desencadenador o acciones.

Esta selección abre el panel Agregar una acción donde puede examinar o buscar servicios, aplicaciones, sistemas, acciones de flujo de control, etc. Después de escribir los términos de búsqueda o seleccionar el recurso que desee, la lista de resultados muestra las acciones disponibles.

En cada acción, al seleccionar dentro de un campo, obtendrá las siguientes opciones:

• Contenido dinámico (icono de rayo): elija entre una lista de salidas disponibles de las acciones anteriores en el flujo de trabajo, incluido el desencadenador de Microsoft Sentinel. Por ejemplo, estas salidas pueden incluir los atributos de una alerta o incidente que se haya pasado al libro de jugadas, incluidos los valores y atributos de todas las entidades mapeadas y detalles personalizados de la alerta o incidente. Puede agregar referencias a la acción actual seleccionando estas salidas.

  Para ver ejemplos que muestran el uso de contenido dinámico, consulte las secciones siguientes:

  • Uso de cuadernos de estrategias de entidades sin identificador de incidente
  • Trabajar con detalles personalizados

• Editor de expresiones (icono de función): elija entre una biblioteca grande de funciones para agregar más lógica al flujo de trabajo.

Para obtener más información, consulte Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Contenido dinámico: uso de cuadernos de estrategias de entidad sin identificador de incidente

Los libros de jugadas creados con el activador de entidades de Microsoft Sentinel suelen utilizar el campo ID ARM del incidente, por ejemplo, para actualizar un incidente después de realizar una acción sobre la entidad. Si este libro de jugadas se activa en un escenario que no está relacionado con un incidente, como la caza de amenazas, no hay ID de incidente para rellenar este campo. En este caso, el campo se rellena con un valor NULL. Como resultado, es posible que el cuaderno de estrategias no se ejecute hasta completarse.

Para evitar este error, se recomienda crear una condición que compruebe si hay un valor en el campo id. de incidente antes de que el flujo de trabajo realice otras acciones. Puede recetar un conjunto diferente de acciones que se deben realizar si el campo tiene un valor NULL, debido a que el cuaderno de estrategias no se ejecuta desde un incidente.

1. En el flujo de trabajo, que precede a la primera acción que hace referencia al campo Id. de ARM de incidente, siga estos pasos generales para agregar una acción Condición.

2. En el panel Condición, en la fila de condición, seleccione el campo Elegir un valor a la izquierda y, a continuación, seleccione la opción de contenido dinámico (icono de rayo).

3. En la lista de contenido dinámico, en Incidente de Microsoft Sentinel, use el cuadro de búsqueda para buscar y seleccionar Id. de ARM de incidente.

   Sugerencia

   Si la salida no aparece en la lista, junto al nombre del desencadenador, seleccione Ver más.

4. En el campo central, en la lista de operadores, la selección no es igual a.

5. En el campo de la derecha Elegir un valor y seleccionar la opción editor de expresiones (icono de función).

6. En el editor, escriba NULLy seleccione Agregar.

Cuando termine, la condición tendrá un aspecto similar al ejemplo siguiente:

Contenido dinámico: trabajar con detalles personalizados

En el desencadenador de incidentes de Microsoft Sentinel, la salida de detalles personalizados de alerta es una matriz de objetos JSON donde cada uno representa un detalle personalizado de una alerta. Detalles personalizados son pares clave-valor que permiten exponer información de eventos de la alerta para que se puedan representar, realizar un seguimiento y analizarlos como parte del incidente.

Puesto que este campo de la alerta es personalizable, su esquema depende del tipo de evento que se va a exponer. Para generar el esquema que determina cómo analizar la salida de detalles personalizados, proporcione los datos de una instancia de este evento:

1. En el menú de navegación de Microsoft Sentinel, en Configuración, seleccione Análisis.

2. Sigue los pasos para crear o abrir una regla de consulta programada existente o una regla de consulta NRT.

3. En la pestaña Establecer lógica de regla, expanda la sección Detalles personalizados, por ejemplo:

   

   La siguiente tabla proporciona más información sobre estos pares clave-valor:

   Elemento	Location	Descripción
   Clave	Columna izquierda	Representa los campos personalizados que se crean.
   Valor	Columna derecha	Representa los campos de los datos del evento que rellenan los campos personalizados.

4. Para generar el esquema, proporcione el código JSON de ejemplo siguiente:

   { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
   

   El código muestra los nombres de clave como matrices y los valores como elementos de las matrices. Los valores se muestran como valores reales, no como la columna que contiene los valores.

Para usar campos personalizados para desencadenadores de incidentes, siga estos pasos para el flujo de trabajo:

1. En el diseñador de flujos de trabajo, en el desencadenador de incidentes de Microsoft Sentinel, agregue la acción integrada denominada Analizar JSON.

2. Seleccione dentro del parámetro Content de la acción y seleccione la opción de lista de contenido dinámico (icono lightning).

3. En la lista, en la sección desencadenador de incidentes, busque y seleccione Detalles personalizados de alerta, por ejemplo:

   

   Esta selección añade automáticamente un bucle For each alrededor de Parse JSON porque un incidente contiene una matriz de alertas.

4. En el panel de información Parse JSON, selecciona Usar carga útil de muestra para generar esquema, por ejemplo:

   

5. En el cuadro Escribir o pegar una carga JSON de ejemplo, proporcione una carga de ejemplo y seleccione Listo.

   Por ejemplo, puede encontrar una carga de ejemplo buscando en Log Analytics otra instancia de esta alerta y copiando el objeto de detalles personalizado, que se encuentra en Propiedades extendidas. Acceda a los datos de Log Analytics en la página Registros de Azure Portal o en la página Búsqueda avanzada en el portal de Defender.

   En el ejemplo siguiente se muestra el código JSON de ejemplo anterior:

   

   Cuando termine, el cuadro Esquema ahora contiene el esquema generado en función del ejemplo que proporcionó. La acción Analizar JSON crea campos personalizados que ahora puede usar como campos dinámicos con tipo de matriz en las acciones posteriores del flujo de trabajo.

   En el ejemplo siguiente se muestra una matriz y sus elementos, tanto en el esquema como en la lista de contenido dinámico para una acción posterior denominada Compose:

   

Administración de los cuadernos de estrategias

Seleccione la pestaña Cuadernos de estrategias activos> de Automation para ver todos los cuadernos de estrategias a los que tiene acceso, filtrados por la vista de suscripción.

Después de incorporar a la plataforma de operaciones de seguridad unificadas, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, edite las suscripciones que se muestran en el menú Directorio y suscripción en el encabezado de página global de Azure.

Si bien la pestaña Cuadernos de estrategias activos muestra todos los libros de estrategias activos disponibles en las suscripciones seleccionadas, de forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.

En la pestaña Cuadernos de estrategias activos se muestran los cuadernos de estrategias con los detalles siguientes:

Nombre de la columna	Descripción
Estado	Indica si el cuaderno de estrategias está habilitado o deshabilitado.
Plan	Indica si el cuaderno de estrategias usa el tipo de recurso de Azure Logic Apps Estándar o Consumo. Los cuadernos de estrategias del tipo Estándar usan la convención de nomenclatura de LogicApp/Workflow, que refleja cómo un cuaderno de estrategias estándar representa un flujo de trabajo que existe junto con otros flujos de trabajo en una sola aplicación lógica. Para más información, consulte Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel.
Tipo de desencadenador	Indica el activador en Azure Logic Apps que inicia este libro de jugadas: - Incidente/alerta/entidad de Microsoft Sentinel: el cuaderno de estrategias se inicia con uno de los desencadenadores de Sentinel, incluido el incidente, la alerta o la entidad - Uso de la acción de Microsoft Sentinel: el cuaderno de estrategias se inicia con un desencadenador que no es de Microsoft Sentinel, pero usa una acción de Microsoft Sentinel - Otro: el cuaderno de estrategias no incluye ningún componente de Microsoft Sentinel - No inicializado: se creó el cuaderno de estrategias, pero no contiene componentes, ni desencadena ninguna acción.

Seleccione un cuaderno de estrategias para abrir su página de Azure Logic Apps, que muestra más detalles sobre el cuaderno de estrategias. En la página Azure Logic Apps:

• Ver un registro de todas las veces que se ejecutó el cuaderno de estrategias
• Ver los resultados de la ejecución, incluidos los éxitos y los errores y otros detalles
• Si tiene los permisos pertinentes, abra el diseñador de flujos de trabajo en Azure Logic Apps para editar el cuaderno de estrategias directamente

Contenido relacionado

Una vez creado el cuaderno de estrategias, adjunte a las reglas que desencadenarán los eventos de su entorno o ejecute los cuadernos de estrategias manualmente en incidentes, alertas o entidades específicos.

Para más información, vea:

• Automatizar y ejecutar cuadernos de estrategias de Microsoft Sentinel
• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Usar un cuaderno de estrategias de Microsoft Sentinel para detener a los usuarios potencialmente comprometidos