Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los equipos de administración de eventos e información de seguridad (SIEM) y del centro de operaciones de seguridad (SOC) normalmente se inundan con alertas de seguridad e incidentes de forma periódica, en volúmenes tan grandes que el personal disponible está sobrecargado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.
Microsoft Sentinel, además de ser un sistema SIEM, también es una plataforma para orquestación de seguridad, automatización y respuesta (SOAR). Uno de sus objetivos principales es automatizar las tareas de enriquecimiento, respuesta y análisis recurrentes y predecibles que sean responsabilidad del centro de operaciones de seguridad y el personal (SOC/SecOps), liberando tiempo de actividad y recursos para realizar una investigación más detallada de las amenazas avanzadas y para buscarlas.
En este artículo se describen las funcionalidades SOAR de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y le ahorra tiempo y recursos.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Regalas de automatización
Microsoft Sentinel usa reglas de automatización para permitir a los usuarios administrar la automatización del control de incidentes desde una ubicación central. Use reglas de automatización para:
- Asignar automatización más avanzada a incidentes y alertas mediante cuadernos de estrategias
- Etiquetar, asignar o cerrar incidentes automáticamente sin un cuaderno de estrategias
- Automatización de respuestas para varias reglas de análisis a la vez
- Crear listas de tareas para que los analistas realicen al evaluar, investigar y corregir incidentes
- Controlar el orden de las acciones que se ejecutan
Se recomienda aplicar reglas de automatización cuando se creen o actualicen incidentes para simplificar aún más la automatización y simplificar los flujos de trabajo complejos para los procesos de orquestación de incidentes.
Para obtener más información, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.
Cuadernos de estrategias
Un cuaderno de estrategias es una colección de acciones y lógica de respuesta y corrección que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede:
- Ayudar a automatizar y organizar la respuesta a amenazas
- Integrar con otros sistemas, tanto internos como externos
- Debe configurarse para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, o bien ejecutar manualmente a petición, como en respuesta a nuevas alertas
En Microsoft Sentinel, los cuadernos de estrategias se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la eficacia y la personalización de las funciones de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como el grado de escalabilidad, confiabilidad y servicio del nivel 1 de Azure.
Para obtener más información, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.
Automatización en el portal de Microsoft Defender
Después de incorporar el área de trabajo de Microsoft Sentinel al portal de Defender, tenga en cuenta las siguientes diferencias en la forma en que funcionan la automatización en el área de trabajo:
| Funcionalidad | Descripción |
|---|---|
| Reglas de automatización con desencadenadores de alertas | En el portal de Defender, las reglas de automatización con desencadenadores de alerta solo actúan en alertas de Microsoft Sentinel. Para obtener más información, consulte Desencadenador de creación de alertas. |
| Reglas de automatización con desencadenadores de incidentes | Tanto en Azure Portal como en el portal de Defender, se quita la propiedad de condición del proveedor de incidentes, ya que todos los incidentes tienen Microsoft XDR como proveedor de incidentes (el valor en el campo ProviderName ). En ese punto, las reglas de automatización existentes se ejecutan tanto en incidentes de Microsoft Sentinel como de XDR de Microsoft Defender, incluidos aquellos en los que la condición del proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender. Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutan en incidentes que contienen alertas creadas por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición de nombre de regla analítica en una regla de análisis que solo existe en Microsoft Sentinel para limitar la regla a ejecutarse solo en incidentes en Microsoft Sentinel. Para obtener más información, consulte Condiciones del desencadenador de incidentes. |
| Latencia en desencadenadores de cuadernos de estrategias | Los incidentes de Microsoft Defender pueden tardar hasta 5 minutos en aparecer en Microsoft Sentinel. Si se presenta este retraso, también se retrasará el desencadenador del cuaderno de estrategias. |
| Cambios en los nombres de incidentes existentes | El portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo al portal de Defender, es posible que se cambien los nombres de incidentes existentes si se aplica la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar usar títulos de incidentes como criterios de condición en las reglas de automatización y sugerir en su lugar que usen el nombre de cualquier regla de análisis que haya creado alertas incluidas en el incidente y etiquetas si se requiere más especificidad. |
| campo Actualizado por | Para obtener más información, consulte Desencadenador de actualización de incidentes. |
| Reglas de automatización que agregan tareas de incidentes | Si una regla de automatización agrega una tarea de incidentes, la tarea solo se muestra en Azure Portal. |
| Creación de reglas de automatización directamente desde un incidente | La creación de reglas de automatización directamente desde un incidente solo se admite en Azure Portal. Si está trabajando en el portal de Defender, cree las reglas de automatización desde cero en la página de Automatización. |
| Reglas de creación de incidentes de Microsoft | Las reglas de creación de incidentes de Microsoft no se admiten en el portal de Defender. Para obtener más información, consulte Incidentes de XDR de Microsoft Defender y reglas de creación de incidentes de Microsoft. |
| Ejecución de reglas de automatización desde el portal de Defender | Podrían pasar hasta 10 minutos desde el momento en que se desencadene una alerta y se cree o actualice un incidente en el portal de Defender hasta cuando se ejecute una regla de automatización. Este retraso temporal se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización. |
| Pestaña de cuadernos de estrategias activos | Después de la incorporación al portal de Defender, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción. Para obtener más información, consulte Crear y personalizar playbooks de Microsoft Sentinel a partir de plantillas. |
| Ejecución manual de cuadernos de estrategias a petición | Actualmente no se admiten los procedimientos siguientes en el portal de Defender: |
| Ejecutar cuadernos de estrategias en incidentes requiere de la sincronización de Microsoft Sentinel | Si intenta ejecutar un cuaderno de estrategias en un incidente desde el portal de Defender y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos". El mensaje significa que el incidente aún no está sincronizado con Microsoft Sentinel. Actualice la página del incidente después de sincronizarlo para ejecutar el cuaderno de estrategias correctamente. |
|
Incidentes: Agregar alertas a incidentes/ Eliminación de alertas de incidentes |
Dado que no se admite la adición de alertas o la eliminación de alertas de incidentes después de incorporar el área de trabajo al portal de Defender, estas acciones tampoco se admiten desde los cuadernos de estrategias. Para obtener más información, consulte Descripción de cómo se correlacionan las alertas y los incidentes se combinan en el portal de Defender. |
| Integración de XDR de Microsoft Defender en varias áreas de trabajo | Si ha integrado datos de XDR con más de un área de trabajo en un único inquilino, ahora los datos solo se procesarán en el área de trabajo principal en el portal Defender. Transfiera reglas de automatización al área de trabajo pertinente para mantenerlos en ejecución. |
| Automatización y el motor de correlación | El motor de correlación puede combinar alertas de varias señales en un único incidente, lo que podría dar lugar a la automatización de la recepción de datos que no esperaba. Se recomienda revisar las reglas de automatización para asegurarse de que ve los resultados esperados. |