Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los centros de operaciones de seguridad (SOC) se enfrentan a un flujo constante de alertas e incidentes de seguridad. Administrarlos de forma eficaz es fundamental para mantener la seguridad de su organización fuerte. Los cuadernos de estrategias de Microsoft Sentinel son flujos de trabajo automatizados que le ayudan a responder a amenazas de forma rápida y coherente. En este artículo se muestra cómo usar cuadernos de estrategias en Microsoft Sentinel para automatizar la respuesta a amenazas, reducir el esfuerzo manual y permitir que el equipo se centre en investigaciones más profundas.
Use cuadernos de estrategias de Microsoft Sentinel para ejecutar conjuntos preconfigurados de acciones de corrección y automatizar y organizar la respuesta a amenazas. Ejecute cuadernos de estrategias automáticamente en respuesta a alertas e incidentes específicos que desencadenan una regla de automatización configurada o ejecútelos manualmente para una entidad o alerta determinada.
Por ejemplo, si una cuenta y una máquina están en peligro, un cuaderno de estrategias puede aislar automáticamente la máquina de la red y bloquear la cuenta antes de que el equipo de SOC reciba una notificación del incidente.
Nota:
Dado que los cuadernos de estrategias usan Azure Logic Apps, se pueden aplicar cargos adicionales. Vaya a la página de precios de Azure Logic Apps para más detalles.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Casos de uso recomendados
En la tabla siguiente se enumeran los casos de uso comunes en los que los cuadernos de estrategias de Microsoft Sentinel ayudan a automatizar la respuesta a amenazas:
Caso de uso | Descripción |
---|---|
Enriquecimiento | Recopile datos y adjunte a un incidente para que el equipo pueda tomar mejores decisiones. |
Sincronización bidireccional | Sincronice incidentes de Microsoft Sentinel con otros sistemas de vales. Por ejemplo, cree una regla de automatización para todos los incidentes nuevos y adjunte un manual de procedimientos que abra un ticket en ServiceNow. |
Orquestación | Use la plataforma de chat del equipo de SOC para administrar la cola de incidentes. Por ejemplo, envíe un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para que los analistas de seguridad conozcan el incidente. |
Respuesta | Responda a amenazas inmediatamente con una participación humana mínima, como cuando se detecta un usuario o una máquina en peligro. O bien, desencadene manualmente los pasos automatizados durante una investigación o durante la búsqueda. |
Para obtener más información, consulte Casos de uso, plantillas y ejemplos recomendados.
Requisitos previos
Necesita los siguientes roles para usar Azure Logic Apps para crear y ejecutar playbooks en Microsoft Sentinel.
Rol | Descripción |
---|---|
Propietario | Permite conceder acceso a cuadernos de estrategias en el grupo de recursos. |
Colaborador de Microsoft Sentinel | Permite adjuntar un cuaderno de estrategias a una regla de análisis o automatización. |
Respondedor de Microsoft Sentinel | Permite acceder a un incidente para ejecutar un cuaderno de estrategias manualmente, pero no le permite ejecutar el cuaderno de estrategias. |
Operador de cuaderno de estrategias de Microsoft Sentinel | Permite ejecutar manualmente un cuaderno de estrategias. |
Colaborador de automatización de Microsoft Sentinel | Permite que las reglas de automatización ejecuten cuadernos de estrategias. Este rol no se usa para ningún otro propósito. |
En la siguiente tabla se describen los roles necesarios en función de si selecciona una aplicación lógica de consumo o estándar para crear el cuaderno de estrategias:
Aplicación lógica | Roles de Azure | Descripción |
---|---|---|
Consumo | Colaborador de aplicación lógica | Edite y administre las aplicaciones lógicas. Ejecutar cuadernos de estrategias. No permite conceder acceso a cuadernos de estrategias. |
Consumo | Operador de aplicación lógica | Lea, habilite y deshabilite las aplicaciones lógicas. No permite editar ni actualizar aplicaciones lógicas. |
Estándar | Operador estándar de Logic Apps | Habilite, vuelva a enviar y deshabilite los flujos de trabajo en una aplicación lógica. |
Estándar | Desarrollador de Logic Apps Estándar | Cree y edite aplicaciones lógicas. |
Estándar | Colaborador estándar de Logic Apps | Administre todos los aspectos de una aplicación lógica. |
La pestaña Cuadernos de estrategias activos de la página Automatización muestra todos los cuadernos de estrategias activos disponibles en todas las suscripciones seleccionadas. De forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.
Permisos adicionales necesarios para que Microsoft Sentinel ejecute cuadernos de estrategias
Microsoft Sentinel usa una cuenta de servicio para ejecutar cuadernos de estrategias en incidentes, para agregar seguridad y habilitar la API de reglas de automatización para admitir casos de uso de CI/CD. Esta cuenta de servicio se usa para cuadernos de estrategias desencadenados por incidentes o cuando se ejecuta un cuaderno de estrategias manualmente en un incidente específico.
Además de sus propios roles y permisos, esta cuenta de servicio de Microsoft Sentinel debe tener su propio conjunto de permisos en el grupo de recursos donde reside el cuaderno de estrategias, en forma de rol Colaborador de automatización de Microsoft Sentinel. Una vez que Microsoft Sentinel tiene este rol, puede ejecutar cualquier cuaderno de estrategias en el grupo de recursos correspondiente, manualmente o desde una regla de automatización.
Para conceder a Microsoft Sentinel los permisos necesarios, debe tener el rol Propietario o Administrador de acceso de usuario. Para ejecutar los cuadernos de estrategias, también necesitará el rol Colaborador de aplicación lógica en el grupo de recursos que contiene los cuadernos de estrategias que desea ejecutar.
Plantillas de cuaderno de estrategias (versión preliminar)
Importante
Las plantillas de cuadernos de estrategias se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Las plantillas de cuaderno de estrategias están precompiladas, probadas y listas para usar flujos de trabajo que no se pueden usar como cuadernos de estrategias, pero están listos para personalizarse para satisfacer sus necesidades. También se recomienda usar plantillas de cuaderno de estrategias como referencia de procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización.
Obtenga plantillas de guías de estas fuentes:
Ubicación | Descripción |
---|---|
Página de automatización de Microsoft Sentinel | La pestaña Plantillas de cuaderno de estrategias muestra todos los cuadernos de estrategias instalados. Cree uno o varios cuadernos de estrategias activos con la misma plantilla. Cuando se publica una nueva versión de una plantilla, los cuadernos de estrategias activos creados a partir de esa plantilla obtienen una etiqueta adicional en la pestaña Cuadernos de estrategias activos para mostrar que hay disponible una actualización. |
Página del centro de contenido de Microsoft Sentinel | Las plantillas de cuaderno de estrategias forman parte de soluciones de producto o contenido independiente que se instala desde el centro de contenido. Para más información, consulte: Acerca del contenido y las soluciones de Microsoft Sentinel Descubre y administra el contenido listo para usar de Microsoft Sentinel |
GitHub (en inglés) | El repositorio de GitHub de Microsoft Sentinel tiene muchas otras plantillas de cuaderno de estrategias. Seleccione Implementar en Azure para implementar la plantilla en su suscripción. |
Una plantilla de cuaderno de estrategias es una plantilla de Azure Resource Manager (ARM) que incluye varios recursos: un flujo de trabajo de Azure Logic Apps y conexiones de API para cada conexión implicada.
Para más información, vea:
- Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido
- Plantillas de cuaderno de estrategias recomendadas
- Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel
Flujo de trabajo de uso y creación de cuadernos de estrategias
Siga estos pasos para crear y ejecutar cuadernos de estrategias de Microsoft Sentinel:
Defina el escenario de automatización. Revise los casos de uso recomendados de cuadernos de estrategias y las plantillas de cuaderno de estrategias para comenzar.
Si no usa una plantilla, cree el cuaderno de estrategias y compile la aplicación lógica. Para obtener más información, consulte Creación y administración de cuadernos de estrategias de Microsoft Sentinel.
Pruebe la aplicación lógica ejecutándola manualmente. Para obtener más información, consulte Ejecutar manualmente un cuaderno de estrategias, a petición.
Configure el cuaderno de estrategias para que se ejecute automáticamente cuando se cree una nueva alerta o incidente, o ejecútelo manualmente según sea necesario para el proceso. Para obtener más información, consulte Responder a amenazas con cuadernos de estrategias de Microsoft Sentinel.
Contenido relacionado
- Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido
- Crear y administrar cuadernos de estrategias de Microsoft Sentinel
- Responder a amenazas con cuadernos de estrategias de Microsoft Sentinel
- Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel