Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
En este artículo se explica qué son los cuadernos de estrategias de Microsoft Sentinel y cómo usarlos para implementar las operaciones de orquestación, automatización y respuesta de la seguridad (SOAR), logrando mejores resultados a la vez que se ahorran tiempo y recursos.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, vea Microsoft Sentinel en el portal de Microsoft Defender.
¿Qué es un cuaderno de estrategias?
Los analistas de SOC suelen estar sobrecargados con alertas e incidentes de seguridad de forma periódica, en volúmenes tan grandes que el personal disponible está desbordado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.
Muchas de estas alertas e incidentes, si no la mayoría, se ajustan a patrones recurrentes que se pueden resolver mediante conjuntos de acciones de corrección específicas y definidas. Además, también se les asignan las tareas básicas de corrección e investigación de los incidentes que consigan abordar. En la medida en que estas actividades puedan automatizarse, un SOC podrá ser mucho más productivo y eficiente, lo que permite a los analistas dedicar más tiempo y energía a la actividad de investigación.
Un cuaderno de estrategias es una colección de estas acciones correctivas que se ejecutan desde Microsoft Sentinel como una rutina, para ayudar a automatizar y orquestar su respuesta ante amenazas. Puede ejecutarse de dos formas:
- Manualmente bajo demanda, en una entidad o alerta concreta.
- Automáticamente en respuesta a alertas o incidentes específicos, cuando se activa mediante una regla de automatización.
Por ejemplo, si una cuenta y una máquina están en peligro, un cuaderno de estrategias puede aislar la máquina de la red y bloquear la cuenta en el momento en que se notifica el incidente al equipo de SOC.
Mientras que la pestaña Cuadernos de estrategias activos de la página Automatización muestra todos los libros de reproducción activos disponibles en cualquier suscripción seleccionada, de manera predeterminada un libro de reproducción solo se puede utilizar dentro de la suscripción a la que pertenece, a menos que conceda específicamente permisos de Microsoft Sentinel al grupo de recursos del cuaderno de estrategias.
Después de la incorporación a la plataforma unificada de operaciones de seguridad, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción de Azure.
Plantillas de cuadernos de estrategias
Una plantilla de cuaderno de estrategias es un flujo de trabajo precompilado, probado y listo para usar que se puede personalizar para satisfacer sus necesidades. Las plantillas también pueden servir como referencia para los procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización.
Las plantillas de cuaderno de estrategias no pueden utilizarse como libros de reproducción propiamente dichos. Se crea un cuaderno de estrategias (una copia editable de la plantilla) a partir de ellas.
Puede obtener plantillas de cuadernos de estrategias de los siguientes orígenes:
En la página Automatización, en la pestaña Plantillas del cuaderno de estrategias se enumeran las plantillas del cuaderno de estrategias instaladas. Se pueden crear varios cuadernos de estrategias activos a partir de la misma plantilla.
Cuando se publica una nueva versión de la plantilla, los libros de reproducción activos creados a partir de dicha plantilla aparecen en la ficha Cuaderno de estrategias activos con una etiqueta que indica que hay una actualización disponible.
Las plantillas de cuaderno de estrategias están disponibles como parte de soluciones de productos o contenido independiente que se instala desde la página Centro de contenido en Microsoft Sentinel. Para obtener más información, consulte Contenido y soluciones de Microsoft Sentinel y Detección y administración del contenido integrado de Microsoft Sentinel.
El repositorio de GitHub de Microsoft Sentinel contiene muchas plantillas de cuadernos de estrategias. Para implementarlas en una suscripción de Azure, seleccione el botón Implementar en Azure.
Técnicamente, una plantilla de cuaderno de estrategias es una plantilla de ARM que consta de varios recursos: un flujo de trabajo de Azure Logic Apps y conexiones de API para cada conexión implicada.
Importante
Las plantillas de cuadernos de estrategias se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Conceptos básicos de Azure Logic Apps
Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Log Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la potencia y las capacidades de las plantillas integradas en Azure Logic Apps.
Nota
Azure Logic Apps crea recursos independientes, por lo que se pueden aplicar cargos adicionales. Para más información, visite la página de precios de Azure Logic Apps.
Azure Logic Apps se comunica con otros sistemas y servicios mediante conectores. A continuación se explican brevemente los conectores y algunos de sus atributos más importantes:
Conector administrado: Da forma a un conjunto de acciones y desencadenadores que recomienzan llamadas de API dirigidas a un producto o servicio determinado. Azure Logic Apps ofrece cientos de conectores para comunicarse con servicios de Microsoft y de otros fabricantes. Para más información, consulte Conectores de Azure Logic Apps y su documentación
Conector personalizado: Es posible que quiera comunicarse con servicios que no están disponibles como conectores precompilados. Para resolver esta necesidad, los conectores personalizados permiten crear (e incluso compartir) un conector y definir sus propios desencadenadores y acciones. Para más información, consulte Creación de sus propios conectores personalizados de Azure Logic Apps.
Conector de Microsoft Sentinel: Para crear cuadernos de estrategias que interactúen con Microsoft Sentinel, use el conector de Microsoft Sentinel. Para más información, consulte la documentación del conector de Microsoft Sentinel.
Desencadenador: Un componente de conector que inicia un flujo de trabajo, en este caso, un cuaderno de estrategias. El desencadenador de Microsoft Sentinel define el esquema que el cuaderno de estrategias espera recibir cuando se desencadene. Actualmente, el conector de Microsoft Sentinel tiene tres desencadenadores:
- Desencadenador de alerta: El cuaderno de estrategias recibe la alerta como entrada.
- Desencadenador de entidad (versión preliminar): el cuaderno de estrategias recibe una entidad como entrada.
- Desencadenador de incidente: El cuaderno de estrategias recibe el incidente como entrada, junto con todas las alertas y entidades incluidas.
Acciones: las acciones son todos los pasos que se producen después del desencadenador. Se pueden organizar secuencialmente, en paralelo o en una matriz de condiciones complejas.
Campos dinámicos: campos temporales, determinados por el esquema de salida de los desencadenadores y las acciones, y rellenados por su salida real, que se pueden usar en las acciones siguientes.
Tipos de aplicación lógica
Ahora, Microsoft Sentinel admite los siguientes tipos de recursos de aplicación lógica:
- Consumo, que se ejecuta en Azure Logic Apps multiinquilino y usa el motor clásico y original de Azure Logic Apps.
- Estándar, que se ejecuta en Azure Logic Apps de un solo inquilino y usa un motor de Azure Logic Apps rediseñado.
El tipo de aplicación lógica Estándar ofrece un mayor rendimiento, precios fijos, varias funcionalidades de flujo de trabajo, una administración más sencilla de las conexiones de API, funcionalidades de red nativas, como la compatibilidad con redes virtuales y puntos de conexión privados (consulte la nota siguiente), características integradas de CI/CD, una mejor integración con Visual Studio Code, un diseñador de flujos de trabajo actualizado, etc.
Para usar esta versión de aplicación lógica, cree nuevos cuadernos de estrategias Estándar en Microsoft Sentinel (consulte la nota siguiente). Puede usar estos cuadernos de estrategias de las mismas maneras que usa cuadernos de estrategias de Consumo:
- Adjúntelos a reglas de automatización o de análisis.
- Ejecútelos a petición, tanto con incidentes como con alertas.
- Adminístrelos desde la pestaña Cuadernos de estrategias activos.
Nota
Actualmente, los flujos de trabajo Estándar no admiten plantillas de cuadernos de estrategias, lo que significa que no se puede crear directamente en Microsoft Sentinel un cuaderno de estrategias basado en un flujo de trabajo Estándar. En su lugar, debe crear el flujo de trabajo en Azure Logic Apps. Después de crear el flujo de trabajo, aparece como cuaderno de estrategias en Microsoft Sentinel.
Los flujos de trabajo estándar de Logic Apps admiten puntos de conexión privados como se mencionó anteriormente, pero Microsoft Sentinel requiere definir una directiva de restricción de acceso en Logic Apps para admitir el uso de puntos de conexión privados en cuadernos de estrategias basados en flujos de trabajo estándar.
Si no se define una directiva de restricción de acceso, es posible que los flujos de trabajo con puntos de conexión privados sigan siendo visibles y seleccionables cuando elija un cuaderno de estrategias de una lista de Microsoft Sentinel (para ejecutarse manualmente, agregarse a una regla de automatización o en la galería de cuadernos de estrategias), pero se producirá un error en su ejecución.
Un indicador identifica los flujos de trabajo Estándar como con estado o sin estado. Microsoft Sentinel no admite los flujos de trabajo sin estado en este momento. Aprenda las diferencias entre los flujos de trabajo con y sin estado.
Hay muchas diferencias entre estos dos tipos de recursos, algunas de las cuales afectan a las formas de uso de estos en los cuadernos de estrategias de Microsoft Sentinel. En tales casos, la documentación le indicará lo que necesita saber. Para más información, consulte Diferencias de tipo de recurso y entorno de host en la documentación de Azure Logic Apps.
Permisos necesarios
Para dar a su equipo de SecOps la capacidad de usar Azure Logic Apps para crear y ejecutar cuadernos de estrategias en Microsoft Sentinel, asigne roles de Azure al equipo de operaciones de seguridad o a usuarios específicos del equipo. A continuación se describen los distintos roles disponibles y las tareas para las que se deben asignar:
Roles de Azure para Azure Logic Apps
- Colaborador de aplicaciones lógicas permite administrar aplicaciones lógicas y ejecutar cuadernos de estrategias, pero no puede cambiar el acceso a ellos (para ello necesita el rol Propietario).
- Operador de aplicaciones lógicas permite leer, habilitar y deshabilitar aplicaciones lógicas, pero no puede editarlas ni actualizarlas.
Roles de Azure para Microsoft Sentinel
El rol Colaborador de Microsoft Sentinel permite adjuntar un cuaderno de estrategias a una regla de análisis o de automatización.
El rol Respondedor de Microsoft Sentinel le permite acceder a un incidente para ejecutar un cuaderno de estrategias de forma manual. Sin embargo, para ejecutar en sí el cuaderno de estrategias, también necesita...
- El rol Operador de cuaderno de estrategias de Microsoft Sentinel permite ejecutar un cuaderno de estrategias manualmente.
- Colaborador de automatización de Microsoft Sentinel permite que las reglas de automatización ejecuten los cuadernos de estrategias. No se usa para ningún otro fin.
Más información
- Más información sobre los roles de Azure en Azure Logic Apps.
- Más información sobre los roles de Azure en Microsoft Sentinel.
Pasos para crear un cuaderno de estrategias
Adjunte el cuaderno de estrategias a una regla de automatización o a una regla de análisis, o bien ejecútelo manualmente cuando sea necesario.
Casos de uso de los cuadernos de estrategias
La plataforma de Azure Logic Apps ofrece cientos de acciones y desencadenadores, por lo que se puede crear prácticamente cualquier escenario de automatización. Microsoft Sentinel recomienda empezar por los escenarios de SOC siguientes, para los que hay disponibles plantillas de cuadernos de estrategias predefinidas de serie:
Enriquecimiento
Recopile datos y asócielos al incidente para tomar decisiones más inteligentes.
Por ejemplo:
Se ha creado un incidente de Microsoft Sentinel a partir de una alerta mediante una regla de análisis que genera entidades de direcciones IP.
El incidente desencadena una regla de automatización que ejecuta un cuaderno de estrategias con los pasos siguientes:
Se inicia cuando se crea un nuevo incidente de Microsoft Sentinel. Las entidades representadas en el incidente se almacenan en los campos dinámicos del desencadenador de incidente.
Para cada dirección IP, se consulta un proveedor externo de inteligencia sobre amenazas, como Virus Total, para recuperar más datos.
Se agregan los datos y los detalles devueltos como comentarios del incidente.
Sincronización bidireccional
Los cuadernos de estrategias se pueden usar para sincronizar los incidentes de Microsoft Sentinel con otros sistemas de vales.
Por ejemplo:
Cree una regla de automatización para cada creación de incidentes y adjunte un cuaderno de estrategias que abra una incidencia en ServiceNow:
Se inicia cuando se crea un nuevo incidente de Microsoft Sentinel.
Se crea un nuevo vale en ServiceNow.
Se incluye en el vale el nombre del incidente, los campos importantes y una dirección URL para el incidente de Microsoft Sentinel para facilitar la dinamización.
Orquestación
Utilice la plataforma de chat del SOC para controlar mejor la cola de incidentes.
Por ejemplo:
Se ha creado un incidente de Microsoft Sentinel a partir de una alerta mediante una regla de análisis que genera entidades de nombres de usuario y direcciones IP.
El incidente desencadena una regla de automatización que ejecuta un cuaderno de estrategias con los pasos siguientes:
Se inicia cuando se crea un nuevo incidente de Microsoft Sentinel.
Se envía un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad son conscientes del incidente.
Se envía toda la información de la alerta por correo electrónico al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico incluirá los botones de opciones de usuario Bloquear e Ignorar.
Se espera hasta que se reciba una respuesta de los administradores y, a continuación, se continúa con la ejecución.
Si los administradores han elegido Bloquear, envíe un comando al firewall para bloquear la dirección IP de la alerta y otro a Microsoft Entra ID para deshabilitar el usuario.
Respuesta
Responda inmediatamente a las amenazas con las mínimas dependencias humanas.
Dos ejemplos:
Ejemplo 1: Responder a una regla de análisis que indica un usuario en peligro, tal como lo detecta Protección de Microsoft Entra ID:
Se inicia cuando se crea un nuevo incidente de Microsoft Sentinel.
Para cada entidad de usuario del incidente sospechosa de estar en peligro:
Se envía un mensaje de Teams al usuario solicitando la confirmación de que el usuario realizó la acción sospechosa.
Compruebe con Protección Microsoft Entra ID para confirmar el estado del usuario como comprometido. La protección de Microsoft Entra ID etiquetará al usuario como riesgo y aplicará cualquier directiva de cumplimiento ya configurada; por ejemplo, para requerir que el usuario use MFA al iniciar sesión siguiente.
Nota:
Esta acción concreta de Microsoft Entra no inicia ninguna actividad de cumplimiento en el usuario, ni tampoco inicia ninguna configuración de directiva de cumplimiento. Solo indica la protección de Microsoft Entra ID que aplique las directivas ya definidas según corresponda. Cualquier medida de cumplimiento dependerá totalmente de que se definan las directivas apropiadas en la Protección de ID de Microsoft Entra.
Ejemplo 2: Responder a una regla de análisis que indica que una máquina está en peligro, según la detección de Microsoft Defender para punto de conexión:
Se inicia cuando se crea un nuevo incidente de Microsoft Sentinel.
Se usa la acción Entidades: obtener hosts de Microsoft Sentinel para analizar las máquinas sospechosas que se incluyen en las entidades del incidente.
Se emite un comando a Microsoft Defender para punto de conexión para aislar las máquinas de la alerta.
Respuesta manual durante la investigación o la búsqueda
Respuesta a las amenazas en el curso de una actividad de investigación activa sin salir del contexto.
Gracias al nuevo desencadenador de entidad (ahora en versión preliminar), puede emprender acciones inmediatas respecto a los actores de amenazas individuales que detecte durante una investigación, de uno en uno y directamente desde la propia investigación. Esta opción también está disponible en el contexto de búsqueda de amenazas, sin conexión con ningún incidente determinado. Puede seleccionar una entidad en contexto y actuar en ella sin necesidad de desplazarse, lo que ahorra tiempo y reduce la complejidad.
Entre las acciones que se pueden realizar en las entidades con este tipo de cuaderno de estrategias se incluyen:
- Bloquear a un usuario en peligro.
- Bloquear el tráfico procedente de una dirección IP malintencionada en el firewall.
- Aislar un host en peligro en la red.
- Agregar una dirección IP a una lista de reproducción de direcciones seguras o no seguras o a la base de datos CMDB externa.
- Obtener un informe hash de archivo de un origen de inteligencia sobre amenazas externo y agregarlo a un incidente como comentario.
Ejecución de un cuaderno de estrategias
Los cuadernos de estrategias se pueden ejecutar de forma manual o automática.
Están diseñados para ejecutarse automáticamente y lo ideal es que se ejecuten en el curso normal de las operaciones. Para ejecutar automáticamente un cuaderno de estrategias se establece como respuesta automatizada en una regla de análisis (para las alertas) o como acción en una regla de automatización (para los incidentes).
Sin embargo, hay circunstancias en las que es necesario ejecutar cuadernos de estrategias manualmente. Por ejemplo:
Al crear un cuaderno de estrategias, querrá probarlo antes de ponerlo en producción.
Es posible que haya situaciones en las que quiera tener más control y entrada humana en cuándo y si se ejecuta un determinado cuaderno de estrategias.
Para ejecutar un cuaderno de estrategias manualmente, abra un incidente, una alerta o una entidad y seleccione y ejecute el cuaderno de estrategias asociado que se muestra allí. Actualmente, esta característica está disponible con carácter general para alertas y en versión preliminar para incidentes y entidades.
Establecimiento de una respuesta automatizada
Los equipos de operaciones de seguridad pueden reducir de forma significativa su carga de trabajo al automatizar completamente las respuestas rutinarias a tipos de incidentes y alertas recurrentes, lo que le permite concentrarse más en las alertas y los incidentes singulares, analizar patrones, buscar amenazas y mucho más.
La configuración de la respuesta automatizada significa que cada vez que se desencadena una regla de análisis, además de crear una alerta, la regla ejecutará un cuaderno de estrategias, que recibirá como entrada la alerta creada por la regla.
Si la alerta crea un incidente, el incidente desencadenará una regla de automatización que, a su vez, podría ejecutar un cuaderno de estrategias, que recibirá como entrada el incidente creado por la alerta.
Respuesta automatizada en la creación de alertas
En el caso de los cuadernos de estrategias desencadenados por la creación de alertas y que reciben alertas como entradas (el primer paso es una "alerta de Microsoft Sentinel"), adjunte el cuaderno de estrategias a una regla de análisis:
Edite la regla de análisis que genera la alerta para la que desea definir una respuesta automatizada.
En Alert automation (Automatización de alertas), en la pestaña Automated response (Respuesta automática), seleccione el o los cuadernos de estrategias que desencadenará esta regla de análisis cuando se cree una alerta.
Respuesta automatizada en la creación de incidentes
En el caso de los cuadernos de estrategias desencadenados por la creación de incidentes y que reciben incidentes como entradas (el primer paso es un "incidente de Microsoft Sentinel"), cree una regla de automatización y defina una acción Ejecutar cuaderno de estrategias en ella. Esto se puede llevar a cabo de 2 maneras:
Edite la regla de análisis que genera el incidente para el que desea definir una respuesta automatizada. En Incident automation (Automatización de incidentes), en la pestaña Automated response (Respuesta automática), cree una regla de automatización. Esto creará una respuesta automatizada solo para esta regla de análisis.
En la pestaña Reglas de automatización de la páginaAutomation, cree una nueva regla de automatización y especifique las condiciones adecuadas y las acciones deseadas. Esta regla de automatización se aplicará a cualquier regla de análisis que cumpla las condiciones especificadas.
Nota
Microsoft Sentinel requiere permisos para ejecutar cuadernos de estrategias de desencadenadores de incidentes.
Para ejecutar un cuaderno de estrategias basado en el desencadenador de incidentes, ya sea manualmente o desde una regla de automatización, Microsoft Sentinel usa una cuenta de servicio específicamente autorizada para ello. El uso de esta cuenta (en contraposición a su cuenta de usuario) aumenta el nivel de seguridad del servicio y permite que la API de reglas de automatización admita los casos de uso de CI/CD.
A esta cuenta se le deben conceder permisos explícitos (con la forma del rol Colaborador de automatización de Microsoft Sentinel) en el grupo de recursos donde reside el cuaderno de estrategias. En ese momento, podrá ejecutar cualquier cuaderno de estrategias en ese grupo de recursos, ya sea manualmente o desde cualquier regla de automatización.
Al agregar la acción Ejecutar cuaderno de estrategias a una regla de automatización, aparecerá una lista desplegable de cuadernos de estrategias para su selección. Los cuadernos de estrategias en los que Microsoft Sentinel no tiene permisos se mostrarán como no disponibles ("atenuados"). Puede conceder permisos a Microsoft Sentinel aquí mismo; para ello, seleccione el vínculo Manage playbook permissions (Administrar permisos del cuaderno de estrategias).
En un escenario de varios inquilinos (Lighthouse), debe definir los permisos en el inquilino en el que reside el cuaderno de estrategias, incluso si la regla de automatización que llama al cuaderno de estrategias está en otro inquilino. Para ello, debe tener permisos de Propietario en el grupo de recursos del cuaderno de estrategias.
Hay un escenario único al que se enfrenta un proveedor de servicios de seguridad administrada (MSSP) , en el que un proveedor de servicios, que ha iniciado sesión en su propio inquilino, crea una regla de automatización en el área de trabajo de un cliente mediante Azure Lighthouse. A continuación, esta regla de automatización llama a un cuaderno de estrategias que pertenece al inquilino del cliente. En este caso, se deben otorgar permisos a Microsoft Sentinel en ambos inquilinos. En el inquilino del cliente, se le concede en el panel Administrar permisos del cuaderno de estrategias, al igual que en el escenario multiinquilino normal. Para conceder los permisos pertinentes en el inquilino del proveedor de servicios, debe agregar una delegación de Azure Lighthouse adicional que conceda derechos de acceso a la aplicación Azure Security Insights, con el rol Colaborador de automatización de Microsoft Sentinel, en el grupo de recursos donde reside el cuaderno de estrategias. Más información sobre cómo agregar esta delegación.
Consulte las instrucciones completas para crear reglas de automatización.
Ejecución manual de un cuaderno de estrategias
La automatización completa es la mejor solución para las tareas de control, investigación y mitigación de incidentes que quiera automatizar. Sin embargo, también puede haber buenas razones para optar por una especie de automatización híbrida: usar cuadernos de estrategias para consolidar una cadena de actividades en un rango de sistemas en un solo comando, pero ejecutar los cuadernos de estrategias solo cuándo y dónde decida. Por ejemplo:
Es posible que prefiera que los analistas de SOC tengan más información humana y control sobre algunas situaciones.
Es posible que también quiera que puedan tomar medidas contra actores de amenazas específicos (entidades) a petición, en el curso de una investigación o una búsqueda de amenazas, en contexto sin tener que dinamizar a otra pantalla. (Esta capacidad se encuentra ahora en versión preliminar).
Es posible que quiera que los ingenieros de SOC escriban cuadernos de estrategias que actúen en entidades específicas (ahora en versión preliminar) y que solo se puedan ejecutar manualmente.
Posiblemente quiera que los ingenieros puedan probar los cuadernos de estrategias que escriben antes de implementarlos por completo en reglas de automatización.
Por estas y por otras razones, Microsoft Sentinel permite ejecutar cuadernos de estrategias manualmente a petición para entidades e incidentes (ambos en versión preliminar), así como para alertas.
Para ejecutar un cuaderno de estrategias en un incidente específico, seleccionar el incidente en la cuadrícula de la página Incidentes. En el Azure Portal, seleccione Acciones en el panel de detalles del incidente y elija Ejecutar cuaderno de estrategias (versión preliminar) en el menú contextual. En el portal de Defender, seleccione Ejecutar cuaderno de estrategias (versión preliminar) directamente desde la página de detalles del incidente.
Se abrirá el panel Ejecutar cuaderno de estrategias en un incidente.
Para ejecutar un cuaderno de estrategias en una alerta, seleccione un incidente, escriba los detalles de este y, en la pestaña Alertas, elija una alerta y seleccione Ver cuadernos de estrategias.
Con esto, se abrirá el panel Cuadernos de estrategias de alertas.
Para ejecutar un cuaderno de estrategias en una entidad, seleccione una entidad de cualquiera de las formas siguientes:
- En la pestaña Entidades de un incidente, elija una entidad de la lista y seleccione el vínculo Ejecutar cuaderno de estrategias (versión preliminar) al final de la línea en la que aparece en la lista.
- En Gráfico de investigación, seleccione una entidad y elija el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel lateral de la entidad.
- En Comportamiento de la entidad, seleccione una entidad y, en la página de la entidad, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.
Todo esto abrirá el panel Ejecutar cuaderno de estrategias en <tipo de entidad>.
En cualquiera de estos paneles, verá dos pestañas: Cuadernos de estrategias y Ejecuciones.
En la pestaña Cuadernos de estrategias, verá una lista de todos los cuadernos de estrategias a los que tiene acceso y que usan el desencadenador adecuado, ya sea Incidente de Microsoft Sentinel, Alerta de Microsoft Sentinel o Entidad de Microsoft Sentinel. Cada cuaderno de estrategias de la lista tiene un botón Ejecutar que se selecciona para ejecutar el cuaderno de estrategias inmediatamente.
Si desea ejecutar un cuaderno de estrategias de desencadenador de incidentes que no aparece en la lista, consulte la nota anterior sobre los permisos de Microsoft Sentinel.En la pestaña Ejecuciones, verá una lista de todas las veces que se ha ejecutado cualquier cuaderno de estrategias en el incidente o la alerta que seleccionó. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Azure Logic Apps.
Administración de los cuadernos de estrategias
En la pestaña Cuadernos de estrategias activos aparece una lista de todos los cuadernos de estrategias a los que tiene acceso, filtrados por las suscripciones que se muestran actualmente en Azure. El filtro de suscripciones está disponible en el menú Directory + subscription (Directorio + suscripción) del encabezado de página global.
Al hacer clic en un nombre de cuaderno de estrategias, se le dirigirá a la página principal del cuaderno de estrategias en Azure Logic Apps. La columna Estado indica si está habilitado o deshabilitado.
La columna Plan indica si el cuaderno de estrategias usa el tipo de recurso Standard o Consumo en Azure Logic Apps. Puede filtrar la lista por tipo de plan para ver solo un tipo de cuaderno de estrategias. Observará que los cuadernos de estrategias del tipo Standard usan la convención de nomenclatura LogicApp/Workflow. Esta convención refleja el hecho de que un cuaderno de estrategias estándar representa un flujo de trabajo que existe junto con otros flujos de trabajo en una sola aplicación lógica.
El tipo de desencadenador representa el desencadenador de Azure Logic Apps que inicia este cuaderno de estrategias.
| Tipo de desencadenador | Indica los tipos de componente del cuaderno de estrategias |
|---|---|
| Incidente, alerta o entidad de Microsoft Sentinel | El cuaderno de estrategias se inicia con uno de los desencadenadores de Sentinel (incidente, alerta o entidad). |
| Uso de la acción de Microsoft Sentinel | El cuaderno de estrategias se inicia con un desencadenador que no es de Sentinel, pero usa una acción de Microsoft Sentinel. |
| Otros | El cuaderno de estrategias no incluye ningún componente de Sentinel. |
| No inicializado | El cuaderno de estrategias se ha creado, pero no contiene componentes (desencadenadores o acciones). |
En la página de Azure Logic Apps del cuaderno de estrategias, puede ver más información sobre el cuaderno de estrategias, incluido un registro de todas las veces que se ha ejecutado y su resultado (correcto o con errores, y otros detalles). También puede abrir el diseñador de flujos de trabajo en Azure Logic Apps y editar el cuaderno de estrategias directamente, si tiene los permisos adecuados.
Conexiones de API
Las conexiones de API se usan para conectar Azure Logic Apps a otros servicios. Cada vez que se realiza una nueva autenticación en un conector de Azure Logic Apps, se crea un nuevo recurso de tipo conexión de API, que contiene la información proporcionada al configurar el acceso al servicio.
Para ver todas las conexiones de API, escriba conexiones de API en el cuadro de búsqueda del encabezado de Azure Portal. Anote las columnas de interés:
- Nombre para mostrar: el nombre "descriptivo" que se asigna a la conexión cada vez que se crea una.
- Estado: indica el estado de la conexión: error o conectado.
- Grupo de recursos: las conexiones de API se crean en el grupo de recursos del recurso del cuaderno de estrategias (Azure Logic Apps).
Otra manera de ver las conexiones de API sería ir a la página Todos los recursos y filtrarla por tipo conexión de API. De esta manera se permite la selección, el etiquetado y la eliminación de varias conexiones a la vez.
Para cambiar la autorización de una conexión existente, escriba el recurso de conexión y seleccione Editar conexión de API.
Cuadernos de estrategias recomendados
Los siguientes cuadernos de estrategias recomendados y otros similares están disponibles en el Centro de contenido o en el repositorio de GitHub de Microsoft Sentinel:
Los cuadernos de estrategias de notificación se activan cuando se crea una alerta o un incidente, y envían una notificación a un destino configurado:
Guía La carpeta se encuentra en
Repositorio de GitHubSolución en el centro de contenido/
Azure MarketplacePublicación de un mensaje en un canal de Microsoft Teams Publicar mensajes de Teams Solución Sentinel SOAR Essentials Envío de una notificación por correo electrónico de Outlook Enviar un correo electrónico básico Solución Sentinel SOAR Essentials Publicación de un mensaje en un canal de Slack Publicar mensajes de Slack Solución Sentinel SOAR Essentials Enviar una tarjeta adaptable de Microsoft Teams al crear incidentes Enviar una tarjeta adaptable de Teams al crear incidentes Solución Sentinel SOAR Essentials Los cuadernos de estrategias de bloqueo se activan cuando se crea una alerta o un incidente, recopilan información de la entidad, como la cuenta, la dirección IP y el host y les impiden realizar más acciones:
Guía La carpeta se encuentra en
Repositorio de GitHubSolución en el centro de contenido/
Azure MarketplaceBloquear una dirección IP en Azure Firewall AzureFirewall-BlockIP-addNewRule Solución Azure Firewall para Sentinel Bloquear un usuario de Microsoft Entra Block-AADUser Solución Microsoft Entra Restablecer una contraseña de usuario de Microsoft Entra Reset-AADUserPassword Solución Microsoft Entra Uso para aislar o desaisolar el dispositivo
Microsoft Defender para punto de conexiónIsolate-MDEMachine
Unisolate-MDEMachineSolución de Microsoft Defender para punto de conexión Creación, actualización o cierre de cuadernos de estrategias: puede crear, actualizar o cerrar incidentes en Microsoft Sentinel, servicios de seguridad de Microsoft 365 y otros sistemas de control de vales:
Guía La carpeta se encuentra en
Repositorio de GitHubSolución en el centro de contenido/
Azure MarketplaceCreación de un incidente mediante Microsoft Forms CreateIncident-MicrosoftForms Solución Sentinel SOAR Essentials Relación de alertas con incidentes relateAlertsToIncident-basedOnIP Solución Sentinel SOAR Essentials Creación de un incidente de ServiceNow Crear un registro de SNOW Solución ServiceNow