Creación automática de incidentes a partir de alertas de seguridad de Microsoft

Las alertas desencadenadas en las soluciones de seguridad de Microsoft que están conectadas a Microsoft Sentinel, como Microsoft Defender for Cloud Apps y Microsoft Defender for Identity, no crean automáticamente incidentes en Microsoft Sentinel. De manera predeterminada, cuando se conecta una solución de Microsoft a Microsoft Sentinel, todas las alertas que se generen en ese servicio se almacenarán como datos sin procesar en Microsoft Sentinel, en la tabla Alerta de seguridad del área de trabajo de Microsoft Sentinel. Después, puede usar esos datos como cualquier otro dato sin procesar que ingesta en Microsoft Sentinel.

Si sigue las instrucciones de este artículo, puede configurar fácilmente Microsoft Sentinel para crear automáticamente incidentes cada vez que se desencadene una alerta en una solución de seguridad de Microsoft conectada.

Requisitos previos

Conecte la solución de seguridad instalando la solución adecuada desde el Centro de contenido de Microsoft Sentinel y configurando el conector de datos. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel y Conectores de datos de Microsoft Sentinel.

Uso de reglas de análisis de creación de incidentes de seguridad de Microsoft

Use las plantillas de regla disponibles en Microsoft Sentinel para elegir qué soluciones de seguridad de Microsoft conectadas deben crear incidentes de Microsoft Sentinel automáticamente. También puede editar las reglas para definir opciones más específicas para filtrar cuáles de las alertas generadas por la solución de seguridad de Microsoft deben crear incidentes en Microsoft Sentinel. Por ejemplo, puede optar por crear incidentes de Microsoft Sentinel automáticamente solo a partir de alertas de alta gravedad de Microsoft Defender for Cloud.

  1. En Azure Portal en Microsoft Sentinel, seleccione Análisis.

  2. Seleccione la pestaña Plantillas de regla para ver todas las plantillas de regla de análisis. Para encontrar más plantillas de regla, vaya al Centro de contenido en Microsoft Sentinel.

    Plantillas de reglas

  3. Seleccione la plantilla de la regla de análisis de seguridad de Microsoft que quiere usar y seleccione Crear regla.

    Regla de análisis de seguridad

  4. Puede modificar los detalles de la regla y elegir filtrar las alertas que van a crear incidentes por gravedad de alerta o por el texto del nombre de la alerta.

    Por ejemplo, si elige Microsoft Defender for Cloud en el campo Servicio de seguridad de Microsoft y elige Alta en el campo Filtrar por gravedad, las alertas de seguridad de alta gravedad son las únicas que crearán incidentes en Microsoft Sentinel.

    Asistente para crear reglas

  5. También puede crear una nueva regla de seguridad de Microsoft que filtre las alertas de diferentes servicios de seguridad de Microsoft haciendo clic en + Crear y seleccionando Regla de creación de incidentes de Microsoft.

    Regla de creación de incidentes

    Puede crear más de una regla de análisis de la seguridad de Microsoft por tipo de servicio de seguridad de Microsoft. Así no se crean incidentes duplicados, ya que cada regla se utiliza como filtro. Aunque una alerta coincida con más de una regla de análisis de seguridad de Microsoft, crea solo un incidente de Microsoft Sentinel.

Habilitación de la generación de incidentes automáticamente durante la conexión

Al conectar una solución de seguridad de Microsoft, puede seleccionar si desea que las alertas de la solución de seguridad generen automáticamente incidentes en Microsoft Sentinel.

  1. Conecte el origen de datos de una solución de seguridad de Microsoft.

    Generar incidentes de seguridad

  2. En Create incidents (Crear incidentes) seleccione Habilitar para habilitar la regla de análisis predeterminada que crea incidentes automáticamente a partir de alertas generadas en el servicio de seguridad conectado. Luego, puede editar esta regla en Analytics (Análisis) y Active rules (Reglas activas).

Pasos siguientes