Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Azure Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este tutorial se muestra cómo usar los cuadernos de estrategias junto con las reglas de automatización para automatizar la respuesta a los incidentes y corregir las amenazas de seguridad detectadas por Microsoft Azure Sentinel. Después de realizar este tutorial, podrá:

  • Crear una regla de automatización
  • Crear un cuaderno de estrategias
  • Agregar acciones a un cuaderno de estrategias
  • Adjuntar un cuaderno de estrategias a una regla de automatización o una regla de análisis para automatizar la respuesta a las amenazas

Nota

En este tutorial se proporcionan instrucciones básicas sobre una tarea principal para los clientes: la creación de automatización para la evaluación de prioridades de los incidentes. Para más información, consulte nuestra sección Procedimiento, por ejemplo, cómo automatizar la respuesta frente a amenazas con los cuadernos de estrategias de Microsoft Azure Sentinel y cómo usar desencadenadores y acciones en los cuadernos de estrategias de Microsoft Azure Sentinel.

¿Qué son las reglas de automatización y los cuadernos de estrategias?

Las reglas de automatización ayudan a evaluar incidentes en Microsoft Azure Sentinel. Puede usarlas para asignar automáticamente incidentes al personal adecuado, cerrar incidentes ruidosos o falsos positivos conocidos, cambiar su gravedad y agregar etiquetas. También son el mecanismo por el que puede ejecutar cuadernos de estrategias en respuesta a los incidentes.

Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Azure Sentinel en respuesta a una alerta o un incidente. Un cuaderno de estrategias puede ayudarle a automatizar y organizar su respuesta y se puede configurar para que se ejecute automáticamente cuando se generen alertas o incidentes específicos; para ello, se adjuntan a una regla de análisis o una regla de automatización, respectivamente. También se puede ejecutar manualmente a petición.

Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Cada cuaderno de estrategias se crea para la suscripción específica a la que pertenece, pero en Cuadernos de estrategia se muestran todos los cuadernos de estrategias disponibles en todas las suscripciones seleccionadas.

Nota

Dado que los cuadernos de estrategias hacen uso de Azure Logic Apps, es posible que se apliquen cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.

Por ejemplo, si desea detener el movimiento en la red y el robo de información por parte de usuarios potencialmente en peligro, puede crear una respuesta automatizada y de varias facetas para los incidentes generados por reglas que detecten usuarios en peligro. Comience por crear un cuaderno de estrategias que lleve a cabo las siguientes acciones:

  1. Cuando una regla de automatización llama al cuaderno de estrategias y le pasa un incidente, el cuaderno de estrategias abre una incidencia en ServiceNow o en cualquier otro sistema de vales de TI.

  2. Envía un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad sean conscientes del incidente.

  3. También envía toda la información del incidente en un mensaje de correo electrónico al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico incluirá los botones de opciones de usuario Bloquear e Ignorar.

  4. El cuaderno de estrategias espera hasta que se reciba una respuesta de los administradores y, después, continúa con los pasos siguientes.

  5. Si los administradores eligen Bloquear, envía un comando a Azure AD para deshabilitar el usuario y uno al firewall para bloquear la dirección IP.

  6. Si los administradores eligen Ignorar, el cuaderno de estrategias cierra el incidente en Microsoft Azure Sentinel y el vale en ServiceNow.

Para desencadenar el cuaderno de estrategias, cree una regla de automatización que se ejecute cuando se generen estos incidentes. Esta regla llevará a cabo estos pasos:

  1. La regla cambia el estado del incidente a Activo.

  2. Asigna el incidente al analista encargado de administrar este tipo de incidentes.

  3. Agrega la etiqueta "usuario en peligro".

  4. Por último, llama al cuaderno de estrategias que acaba de crear. (Se requieren permisos especiales para este paso).

Los cuadernos de estrategias se pueden ejecutar automáticamente en respuesta a incidentes mediante la creación de reglas de automatización que llaman a los cuadernos de estrategias como acciones, como en el ejemplo anterior. También se pueden ejecutar automáticamente en respuesta a alertas, indicando a la regla de análisis que ejecute automáticamente uno o varios cuadernos de estrategias cuando se genere la alerta.

También puede elegir ejecutar un cuaderno de estrategias manualmente a petición, como respuesta a una alerta seleccionada.

Obtenga una introducción más completa y detallada para la automatización de las respuestas a amenazas mediante reglas de automatización y cuadernos de estrategias en Microsoft Azure Sentinel.

Crear un cuaderno de estrategias

Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:

Captura de pantalla de la selección de menús para agregar un nuevo cuaderno de estrategias en la pantalla de Automatización.

  1. En el menú de navegación de Microsoft Azure Sentinel, seleccione Automation (Automatización).

  2. En el menú superior, seleccione Crear.

  3. El menú desplegable que aparece en Crear ofrece tres opciones para crear cuadernos de estrategias:

    1. Si va a crear un cuaderno de estrategias Estándar (el nuevo tipo, consulte Tipos de aplicación lógica), seleccione Blank playbook (Cuaderno de estrategias en blanco) y siga los pasos de la pestaña Logic Apps Standard (Aplicaciones lógicas Estándar) que aparece a continuación.

    2. Si va a crear un cuaderno de estrategias Consumo (el tipo original, clásico), en función del desencadenador que quiera usar, seleccione Cuaderno de estrategias con desencadenador de incidentes o Cuaderno de estrategias con desencadenador de alertas. A continuación, siga los pasos descritos en la pestaña Logic Apps Consumption siguiente.

      Nota

      Recuerde que las reglas de automatización solo pueden llamar a cuadernos de estrategias basados en el desencadenador de incidentes. Los cuadernos de estrategias basados en el desencadenador de alertas deben definirse para la ejecución directa en reglas de análisis. Los dos tipos también se pueden ejecutar manualmente.

      Para más información sobre qué desencadenador usar, consulte Uso de desencadenadores y acciones en los cuadernos de estrategias de Microsoft Azure Sentinel.

Preparación del cuaderno de estrategias y la aplicación lógica

Independientemente del desencadenador con el que eligiera crear el cuaderno de estrategias en el paso anterior, aparecerá el Asistente Crear un cuaderno de estrategias.

Creación de una aplicación lógica

  1. En la pestaña Básica:

    1. Seleccione los valores de Suscripción, Grupo de recursos y Región que prefiera en sus listas desplegables respectivas. La región elegida es donde se almacenará la información de la aplicación lógica.

    2. Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.

    3. Si desea supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, marque la casilla Habilitar registros de diagnóstico en Log Analytics y elija el Área de trabajo de Log Analytics en la lista desplegable.

    4. Si los cuadernos de estrategias necesitan acceso a recursos protegidos que están dentro de una red virtual de Azure o conectados a una, es posible que tenga que usar un entorno de servicio de integración (ISE). Si es así, marque la casilla Asociar con el entorno del servicio de integración y seleccione el ISE deseado en la lista desplegable.

    5. Seleccione Siguiente: Conexiones>.

  2. En la pestaña Conexiones:

    Lo ideal sería dejar esta sección tal cual y configurar Logic Apps para la conexión con Microsoft Sentinel con identidad administrada. Aprenda sobre esta y otras alternativas de autenticación.

    Seleccione Siguiente: Revisar y crear>.

  3. En la pestaña Revisar y crear:

    Revise las opciones de configuración que ha realizado y seleccione Crear y continuar con el diseñador.

  4. El cuaderno de estrategias tardará unos minutos en crearse e implementarse, después de lo cual verá el mensaje "Se completó la implementación" y se le llevará al nuevo diseñador de aplicaciones lógicas del cuaderno de estrategias. El desencadenador que eligió al principio se agregará automáticamente como primer paso y, a partir de aquí, podrá seguir diseñando el flujo de trabajo.

    Captura de pantalla de la pantalla del diseñador de aplicaciones lógicas con el desencadenador de apertura.

Incorporación de una acción

Ahora puede definir lo que ocurre cuando se llame al cuaderno de estrategias. Puede agregar acciones, condiciones lógicas, bucles o condiciones switch-case; para ello, seleccione Nuevo paso. Esta selección abre un nuevo marco en el diseñador, donde puede elegir un sistema o una aplicación con la que interactuar o una condición para establecer. Escriba el nombre del sistema o la aplicación en la barra de búsqueda de la parte superior del marco y, a continuación, elija entre los resultados disponibles.

En cada uno de estos pasos, al hacer clic en cualquier campo se muestra un panel con dos menús: Contenido dinámico y Expresión. En el menú Contenido dinámico, puede agregar referencias a los atributos de la alerta o el incidente que se ha pasado al cuaderno de estrategias, incluidos los valores y atributos de todas las entidades asignadas y detalles personalizados contenidos en la alerta o el incidente. En el menú Expresión, puede elegir entre una gran biblioteca de funciones para agregar lógica adicional a los pasos.

Diseñador de aplicación lógica

En esta captura de pantalla se muestran las acciones y condiciones que agregaría en la creación del cuaderno de estrategias descrito en el ejemplo que aparece al principio de este documento. La única diferencia es que en el cuaderno de estrategias que se muestra aquí, se usa el desencadenador de alerta en lugar del desencadenador de incidente. Esto significa que se llamará a este cuaderno de estrategias directamente desde una regla de análisis, no desde una regla de automatización. A continuación se describen las dos formas de llamar a un cuaderno de estrategias.

Automatizar las respuestas frente a amenazas

Ha creado el cuaderno de estrategias y ha definido el desencadenador, ha establecido las condiciones y ha indicado las acciones que realizará y las salidas que generará. Ahora debe determinar los criterios según los cuales se ejecutará y configurar el mecanismo de automatización que lo ejecutará cuando se cumplan los criterios.

Respuesta a incidentes

Puede usar un cuaderno de estrategias para responder a un incidente mediante la creación de una regla de automatización que se ejecutará cuando se genere el incidente y, a su vez, llamará al cuaderno de estrategias.

Para crear una regla de automatización:

  1. En la hoja Automation (Automatización) del menú de navegación de Microsoft Azure Sentinel, seleccione Create (Crear) en el menú superior y luego Add new rule (Agregar nueva regla).

    Adición de una nueva regla

  2. Se abre el panel Create new automation rule (Creación de una regla de automatización). Escriba un nombre para la regla.

    Creación de una regla de automatización

  3. Si desea que la regla de automatización surta efecto solo en determinadas reglas de análisis, especifique cuáles; para ello, modifique la condición If Analytics rule name (Si el nombre de la regla de análisis).

  4. Agregue cualquier otra condición de la que desee que dependa la activación de esta regla de automatización. Haga clic en Add condition (Agregar condición) y elija condiciones en la lista desplegable. La lista de condiciones se rellena mediante los campos de detalles de la alerta e identificador de la entidad.

  5. Elija las acciones que desea que realice esta regla de automatización. Entre las acciones disponibles se incluyen Asignar propietario, Cambiar estado, Cambiar gravedad, Agregar etiquetasy Ejecutar cuaderno de estrategias. Puede agregar tantas acciones como desee.

  6. Si agrega la acción Ejecutar cuaderno de estrategias, se le pedirá que elija en la lista desplegable de los cuadernos de estrategias disponibles. Solo se pueden ejecutar desde reglas de automatización los cuadernos de estrategias iniciados por el desencadenador de incidentes, por lo que solo estos aparecerán en la lista.

    Importante

    Se deben conceder permisos explícitos a Microsoft Sentinel para ejecutar cuadernos de estrategias basados en el desencadenador de incidentes, ya sea manualmente o desde reglas de automatización. Si un cuaderno de estrategias aparece "atenuado" en la lista desplegable, significa que Sentinel no tiene permisos para el grupo de recursos de este cuaderno de estrategias. Haga clic en el vínculo Manage playbook permissions (Administrar permisos del cuaderno de estrategias) para asignar permisos.

    En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que desea ejecutar y haga clic en Apply (Aplicar).

    Administración de permisos

    • Debe tener permisos de propietario en cualquier grupo de recursos al que desee conceder permisos para Microsoft Azure Sentinel y debe tener el rol Colaborador de aplicación lógica en cualquier grupo de recursos que contenga los cuadernos de estrategias que desea ejecutar.

    • En una implementación de varios inquilinos, si el cuaderno de estrategias que quiere ejecutar se encuentra en otro inquilino, debe conceder el permisos a Microsoft Azure Sentinel para ejecutar el cuaderno de estrategias en el inquilino del cuaderno de estrategias.

      1. En el menú de navegación de Microsoft Azure Sentinel del inquilino de los cuadernos de estrategias, seleccione Settings (Configuración).
      2. En la hoja Settings (Configuración), seleccione la pestaña Settings (Configuración) y, a continuación, el expansor de Playbook permissions (Permisos del cuaderno de estrategias).
      3. Haga clic en el botón Configure permissions (Configurar permisos) para abrir el panel Manage permissions (Administrar permisos) mencionado anteriormente y continúe tal y como se describe allí.
    • Si, en un escenario de MSSP, desea ejecutar un cuaderno de estrategias en un inquilino del cliente a partir de una regla de automatización creada con la sesión iniciada en el inquilino del proveedor de servicios, debe conceder a Microsoft Azure Sentinel permiso para ejecutarlo en ambos inquilinos. En el inquilino del cliente, siga las instrucciones para la implementación multiinquilino de la viñeta anterior. En el inquilino del proveedor de servicios, debe agregar la aplicación Azure Security Insights a la plantilla de incorporación de Azure Lighthouse:

      1. En Azure Portal, vaya a Azure Active Directory.
      2. Haga clic en Aplicaciones empresariales.
      3. Seleccione Tipo de aplicación y filtre por Aplicaciones de Microsoft.
      4. En el cuadro de búsqueda, escriba Azure Security Insights.
      5. Copie el campo Id. de objeto. Deberá agregar esta autorización adicional a la delegación de Azure Lighthouse existente.

      El rol Colaborador de automatización de Microsoft Azure Sentinel tiene un identificador único fijo, que es f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un ejemplo de autorización de Azure Lighthouse tendría este aspecto en la plantilla de parámetros:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. Establezca una fecha de expiración para la regla de automatización si desea que tenga una.

  8. Escriba un número en Order (Orden) para determinar en qué punto de la secuencia de reglas de automatización se ejecutará esta regla.

  9. Haga clic en Aplicar. ¡Y ya está!

Descubra otras maneras de crear reglas de automatización.

Respuesta a las alertas

Puede usar un cuaderno de estrategias para responder a una alerta mediante la creación de una regla de análisis o la edición de una existente, que se ejecuta cuando se genera la alerta, y la selección del cuaderno de estrategias como una respuesta automatizada en el asistente para reglas de análisis.

  1. En la hoja Analytics (Análisis) del menú de navegación de Microsoft Azure Sentinel, seleccione la regla de análisis para la que desea automatizar la respuesta y haga clic en Edit (Editar) en el panel de detalles.

  2. En la página Asistente para reglas de análisis: editar regla programada existente, seleccione la pestaña Respuesta automática.

    Pestaña Respuesta automática

  3. Elija el cuaderno de estrategias en la lista desplegable. Puede elegir más de un cuaderno de estrategias, pero solo estarán disponibles los cuadernos de estrategias que utilicen el desencadenador de alertas.

  4. En la pestaña Revisar y actualizar, seleccione Guardar.

Ejecución de un cuaderno de estrategias a petición

También puede ejecutar manualmente un cuaderno de estrategias a petición, tanto en incidentes (en versión preliminar) como en alertas. Esto puede ser útil en situaciones en las que desea más entrada humana y control sobre los procesos de orquestación y respuesta.

Ejecución manual de un cuaderno de estrategias en una alerta

  1. En la página Incidents (Incidentes), seleccione un incidente.

  2. Seleccione View full details (Ver detalles completos) en la parte inferior del panel de detalles del incidente.

  3. En la página de detalles del incidente, seleccione la pestaña Alerts (Alertas), elija la alerta en la que desea ejecutar el cuaderno de estrategias y seleccione el vínculo View playbooks (Ver cuadernos de estrategias) al final de la línea de esa alerta.

  4. Se abrirá el panel Alert playbooks (Cuadernos de estrategias de alertas) de reproducción de alertas. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de alertas de Microsoft Sentinel al que tiene acceso.

  5. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Para ver el historial de ejecución de los cuadernos de estrategias en una alerta, seleccione la pestaña Runs (Ejecuciones) en el panel Alert playbooks (Cuadernos de estrategias de alertas). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.

Ejecución manual de un cuaderno de estrategias en un incidente

  1. En la página Incidents (Incidentes), seleccione un incidente.

  2. En el panel de detalles del incidente que aparece a la derecha, seleccione Actions > Run playbook (Preview) (Acciones > Ejecutar de cuadernos de estrategias [versión preliminar]).
    (Al seleccionar los tres puntos al final de la línea del incidente en la cuadrícula o hacer clic con el botón derecho en el incidente, se mostrará la misma lista que el botón Action (Acción).

  3. Se abre el panel Run playbook on incident (Ejecutar el cuaderno de estrategias en el incidente) a la derecha. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de incidentes de Microsoft Sentinel al que tiene acceso.

    Nota

    Si no ve el cuaderno de estrategias que quiere ejecutar en la lista, significa que Microsoft Sentinel no tiene permisos para ejecutar cuadernos de estrategias en ese grupo de recursos (consulte la nota anterior). Para conceder esos permisos, seleccione Settings (Configuración) en el menú principal, elija la pestaña Settings (Configuración), expanda el expansor Playbook permissions (Permisos de cuaderno de estrategias) y seleccione Configure permissions (Configurar permisos). En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Apply (Aplicar).

  4. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Para ver el historial de ejecuciones de los cuadernos de estrategias de un incidente, seleccione la pestaña Runs (Ejecuciones) en el panel Run playbook on incident (Ejecutar cuaderno de estrategias en incidentes). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.

Pasos siguientes

En este tutorial ha aprendido a usar los cuadernos de estrategias y las reglas de automatización de Microsoft Azure Sentinel para responder a las amenazas.