Orquestación de seguridad, automatización y respuesta (SOAR) en Microsoft Sentinel
En este artículo se describen las capacidades de orquestación de seguridad, automatización y respuesta (SOAR) de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a las amenazas de seguridad aumenta la eficacia de su centro de operaciones de seguridad (SOC) y le ahorra tiempo y recursos.
Microsoft Sentinel como solución de SOAR
El problema.
Los equipos de SIEM y SOC normalmente se sobrecargan con alertas e incidentes de seguridad de forma regular, en volúmenes tan grandes que el personal disponible está abrumado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.
La solución
Microsoft Sentinel, además de ser un sistema de administración de eventos e información de seguridad (SIEM), también es una plataforma para orquestación de seguridad, automatización y respuesta (SOAR). Uno de sus objetivos principales es automatizar las tareas de enriquecimiento, respuesta y análisis recurrentes y predecibles que sean responsabilidad del centro de operaciones de seguridad y el personal (SOC/SecOps), liberando tiempo y recursos para realizar una investigación más detallada de las amenazas avanzadas y para buscarlas. La automatización adopta diferentes formas en Microsoft Sentinel, desde reglas de automatización que administran de forma centralizada la automatización del control de incidentes y la respuesta que se les ofrece, hasta cuadernos de estrategias que ejecutan secuencias predeterminadas de acciones para proporcionar una automatización avanzada potente y flexible para sus tareas de respuesta a amenazas.
Regalas de automatización
Las reglas de automatización permiten a los usuarios administrar de forma centralizada la automatización del control de incidentes. Además de permitirle asignar cuadernos de estrategias a incidentes y alertas, las reglas de automatización también permiten automatizar las respuestas de varias reglas de análisis a la vez; etiquetar, asignar o cerrar incidentes automáticamente sin necesidad de cuadernos de estrategias; crear listas de tareas para que los analistas las lleven a cabo al evaluar, investigar y remediar incidentes; y controlar el orden de las acciones que se ejecutan. Las reglas de automatización también permiten aplicar automatizaciones cuando se actualiza un incidente (ahora en versión preliminar), así como cuando se crea. Esta nueva funcionalidad agilizará aún más el uso de la automatización en Microsoft Sentinel y le permitirá simplificar flujos de trabajo complejos de los procesos de orquestación de incidentes.
Consulte esta explicación completa de las reglas de automatización para obtener más información.
Playbooks
Un cuaderno de estrategias es una colección de acciones y lógica de respuesta y corrección que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede ayudarle a automatizar y organizar la respuesta a las amenazas, se puede integrar con otros sistemas de manera interna y externa y se puede configurar para ejecutarse automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de análisis o una regla de automatización, respectivamente. También se puede ejecutar manualmente a petición, en respuesta a las alertas, desde la página de incidentes.
Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la eficacia y la personalización de las funciones de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como el grado de escalabilidad, confiabilidad y servicio del nivel 1 de Azure.
Consulte esta explicación completa de los cuadernos de estrategias para obtener más información.
Pasos siguientes
En este documento, ha aprendido cómo Microsoft Sentinel usa la automatización para ayudar a su SOC a trabajar de forma más eficiente y eficaz.
- Para obtener información sobre la automatización del control de incidentes, consulte Automatización del control de incidentes en Microsoft Sentinel.
- Para obtener más información sobre las opciones avanzadas de automatización, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
- Para empezar a crear reglas de automatización, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar incidentes.
- Para obtener ayuda con la automatización avanzada de cuadernos de estrategias, consulte Tutorial: Uso de cuadernos de estrategias para automatizar las respuestas a amenazas en Microsoft Sentinel.