Orquestación de seguridad, automatización y respuesta (SOAR) en Microsoft Sentinel
En este artículo se describen las capacidades de orquestación de seguridad, automatización y respuesta (SOAR) de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a las amenazas de seguridad aumenta la eficacia de su centro de operaciones de seguridad (SOC) y le ahorra tiempo y recursos.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Microsoft Sentinel como solución de SOAR
El problema.
Los equipos de SIEM y SOC normalmente se sobrecargan con alertas e incidentes de seguridad de forma regular, en volúmenes tan grandes que el personal disponible está abrumado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.
La solución
Microsoft Sentinel, además de ser un sistema de administración de eventos e información de seguridad (SIEM), también es una plataforma para orquestación de seguridad, automatización y respuesta (SOAR). Uno de sus objetivos principales es automatizar las tareas de enriquecimiento, respuesta y análisis recurrentes y predecibles que sean responsabilidad del centro de operaciones de seguridad y el personal (SOC/SecOps), liberando tiempo y recursos para realizar una investigación más detallada de las amenazas avanzadas y para buscarlas. La automatización adopta diferentes formas en Microsoft Sentinel, desde reglas de automatización que administran de forma centralizada la automatización del control de incidentes y la respuesta que se les ofrece, hasta cuadernos de estrategias que ejecutan secuencias predeterminadas de acciones para proporcionar una automatización avanzada potente y flexible para sus tareas de respuesta a amenazas.
Regalas de automatización
Las reglas de automatización permiten a los usuarios administrar de forma centralizada la automatización del control de incidentes. Además de permitirle asignar cuadernos de estrategias a incidentes y alertas, las reglas de automatización también permiten automatizar las respuestas de varias reglas de análisis a la vez; etiquetar, asignar o cerrar incidentes automáticamente sin necesidad de cuadernos de estrategias; crear listas de tareas para que los analistas las lleven a cabo al evaluar, investigar y remediar incidentes; y controlar el orden de las acciones que se ejecutan. Las reglas de automatización también permiten aplicar automatizaciones cuando se actualiza un incidente, así como cuando se crea. Esta nueva funcionalidad agilizará aún más el uso de la automatización en Microsoft Sentinel y le permitirá simplificar flujos de trabajo complejos de los procesos de orquestación de incidentes.
Consulte esta explicación completa de las reglas de automatización para obtener más información.
Playbooks
Un cuaderno de estrategias es una colección de acciones y lógica de respuesta y corrección que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede ayudarle a automatizar y organizar la respuesta a las amenazas, se puede integrar con otros sistemas de manera interna y externa y se puede configurar para ejecutarse automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de análisis o una regla de automatización, respectivamente. También se puede ejecutar manualmente a petición, en respuesta a las alertas, desde la página de incidentes.
Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la eficacia y la personalización de las funciones de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como el grado de escalabilidad, confiabilidad y servicio del nivel 1 de Azure.
Consulte esta explicación completa de los cuadernos de estrategias para obtener más información.
Automatización con la plataforma unificada de operaciones de seguridad
Después de incorporar el área de trabajo de Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, tenga en cuenta las siguientes diferencias en la forma en que funciona la automatización en el área de trabajo:
| Funcionalidad | Descripción |
|---|---|
| Reglas de automatización con desencadenadores de alertas | En la plataforma unificada de operaciones de seguridad, las reglas de automatización con desencadenadores de alerta solo actúan en las alertas de Microsoft Sentinel. Para obtener más información, consulte Desencadenador de creación de alertas. |
| Reglas de automatización con desencadenadores de incidentes | Tanto en Azure Portal como en la plataforma unificada de operaciones de seguridad, se quita la propiedad de condición delproveedor de incidentes, ya que todos los incidentes tienen Microsoft Defender XDR como proveedor de incidentes (el valor del campo ProviderName). En ese momento, las reglas de automatización existentes se ejecutan en incidentes de Microsoft Sentinel y Microsoft Defender XDR, incluidos aquellos en los que la condición Proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender. Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutarán en los incidentes creados por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición Nombre de regla analítica en una regla de análisis que solo existe en Microsoft Sentinel para limitar la ejecución de la regla en incidentes de Microsoft Sentinel. Para obtener más información, consulte Condiciones del desencadenador de incidentes. |
| Cambios en los nombres de incidente existentes | En la plataforma unificada de operaciones de SOC, el portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo a la plataforma de operaciones de SOC unificada, los nombres de incidentes existentes podrían cambiarse si se aplicase la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar el uso de títulos de incidentes en las reglas de automatización y sugerir el uso de etiquetas en su lugar. |
| Campo Actualizado por | Para obtener más información, consulte Desencadenador de actualización de incidentes. |
| Reglas de automatización que agregan tareas de incidentes | Si una regla de automatización agrega una tarea de incidentes, la tarea solo se muestra en Azure Portal. |
| Reglas de creación de incidentes de Microsoft | Las reglas de creación de incidentes de Microsoft no se admiten en la plataforma unificada de operaciones de seguridad. Para obtener más información, consulte Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft. |
| Ejecutar reglas de automatización desde el portal de Defender | Podrían pasar hasta 10 minutos desde el momento en que se desencadene una alerta y se cree o actualice un incidente en el portal de Defender hasta cuando se ejecute una regla de automatización. Este retraso temporal se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización. |
| Pestaña de cuadernos de estrategias activos | Después de la incorporación a la plataforma unificada de operaciones de seguridad, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. Agregue datos para otras suscripciones mediante el filtro de suscripción. Para más información, consulte Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido. |
| Ejecución manual de cuadernos de estrategias a petición | Los procedimientos siguientes no se admiten actualmente en la plataforma unificada de operaciones de seguridad: |
| Ejecutar cuadernos de estrategias en incidentes requiere de la sincronización de Microsoft Sentinel | Si intenta ejecutar un cuaderno de estrategias en un incidente desde la plataforma unificada de operaciones de seguridad y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos"., significa que el incidente aún no está sincronizado con Microsoft Sentinel. Actualice la página del incidente después de sincronizarlo para ejecutar el cuaderno de estrategias correctamente. |
Pasos siguientes
En este documento, ha aprendido cómo Microsoft Sentinel usa la automatización para ayudar a su SOC a trabajar de forma más eficiente y eficaz.
- Para obtener información sobre la automatización del control de incidentes, consulte Automatización del control de incidentes en Microsoft Sentinel.
- Para obtener más información sobre las opciones avanzadas de automatización, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
- Para empezar a crear reglas de automatización, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar incidentes.
- Para obtener ayuda con la automatización avanzada de cuadernos de estrategias, consulte Tutorial: Uso de cuadernos de estrategias para automatizar las respuestas a amenazas en Microsoft Sentinel.