Automatización en Microsoft Sentinel: orquestación de seguridad, automatización y respuesta (SOAR)

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Los equipos de administración de eventos e información de seguridad (SIEM) y del centro de operaciones de seguridad (SOC) normalmente se inundan con alertas de seguridad e incidentes de forma periódica, en volúmenes tan grandes que el personal disponible está sobrecargado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.

Microsoft Sentinel, además de ser un sistema SIEM, también es una plataforma para orquestación de seguridad, automatización y respuesta (SOAR). Uno de sus objetivos principales es automatizar las tareas de enriquecimiento, respuesta y análisis recurrentes y predecibles que sean responsabilidad del centro de operaciones de seguridad y el personal (SOC/SecOps), liberando tiempo de actividad y recursos para realizar una investigación más detallada de las amenazas avanzadas y para buscarlas.

En este artículo se describen las funcionalidades SOAR de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y le ahorra tiempo y recursos.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Microsoft Sentinel en el portal de Defender ahora se admite para su uso en producción. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Regalas de automatización

Microsoft Sentinel usa reglas de automatización para permitir a los usuarios administrar la automatización del control de incidentes desde una ubicación central. Use reglas de automatización para:

• Asignar automatización más avanzada a incidentes y alertas mediante cuadernos de estrategias
• Etiquetar, asignar o cerrar incidentes automáticamente sin un cuaderno de estrategias
• Automatización de respuestas para varias reglas de análisis a la vez
• Crear listas de tareas para que los analistas realicen al evaluar, investigar y corregir incidentes
• Controlar el orden de las acciones que se ejecutan

Se recomienda aplicar reglas de automatización cuando se creen o actualicen incidentes para simplificar aún más la automatización y simplificar los flujos de trabajo complejos para los procesos de orquestación de incidentes.

Para obtener más información, consulte Automatizar la respuesta ante amenazas en Microsoft Sentinel con reglas de automatización.

Playbooks

Un cuaderno de estrategias es una colección de acciones y lógica de respuesta y corrección que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede:

• Ayudar a automatizar y organizar la respuesta a amenazas
• Integrar con otros sistemas, tanto internos como externos
• Debe configurarse para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, o bien ejecutar manualmente a petición, como en respuesta a nuevas alertas

Los cuadernos de estrategias en Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la eficacia y la personalización de las funciones de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como el grado de escalabilidad, confiabilidad y servicio del nivel 1 de Azure.

Para obtener más información, vea Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Automatización con la plataforma unificada de operaciones de seguridad

Después de incorporar el área de trabajo de Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, tenga en cuenta las siguientes diferencias en la forma en que funciona la automatización en el área de trabajo:

Funcionalidad	Descripción
Reglas de automatización con desencadenadores de alertas	En la plataforma unificada de operaciones de seguridad, las reglas de automatización con desencadenadores de alerta solo actúan en las alertas de Microsoft Sentinel. Para obtener más información, consulte Desencadenador de creación de alertas.
Reglas de automatización con desencadenadores de incidentes	Tanto en Azure Portal como en la plataforma unificada de operaciones de seguridad, se quita la propiedad de condición delproveedor de incidentes, ya que todos los incidentes tienen Microsoft Defender XDR como proveedor de incidentes (el valor del campo ProviderName). En ese momento, las reglas de automatización existentes se ejecutan en incidentes de Microsoft Sentinel y Microsoft Defender XDR, incluidos aquellos en los que la condición Proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender. Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutarán en los incidentes creados por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición Nombre de regla analítica en una regla de análisis que solo existe en Microsoft Sentinel para limitar la ejecución de la regla en incidentes de Microsoft Sentinel. Para obtener más información, consulte Condiciones del desencadenador de incidentes.
Cambios en los nombres de incidente existentes	En la plataforma unificada de operaciones de SOC, el portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo a la plataforma de operaciones de SOC unificada, los nombres de incidentes existentes podrían cambiarse si se aplicase la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar el uso de títulos de incidentes en las reglas de automatización y sugerir el uso de etiquetas en su lugar.
Campo Actualizado por	Después de incorporar el área de trabajo, el campo Actualizado por tiene un nuevo conjunto de valores admitidos, que ya no incluyen Microsoft 365 Defender. En las reglas de automatización existentes, Microsoft 365 Defender se reemplaza por un valor de Otrodespués de incorporar el área de trabajo. Si se realizan varios cambios en el mismo incidente en un período de 5 a 10 minutos, se envía una única actualización a Microsoft Sentinel, con solo el cambio más reciente. Para obtener más información, consulte Desencadenador de actualización de incidentes.
Reglas de automatización que agregan tareas de incidentes	Si una regla de automatización agrega una tarea de incidentes, la tarea solo se muestra en Azure Portal.
Reglas de creación de incidentes de Microsoft	Las reglas de creación de incidentes de Microsoft no se admiten en la plataforma unificada de operaciones de seguridad. Para obtener más información, consulte Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft.
Ejecutar reglas de automatización desde el portal de Defender	Podrían pasar hasta 10 minutos desde el momento en que se desencadene una alerta y se cree o actualice un incidente en el portal de Defender hasta cuando se ejecute una regla de automatización. Este retraso temporal se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización.
Pestaña de cuadernos de estrategias activos	Después de incorporar a la plataforma de operaciones de seguridad unificadas, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción. Para más información, consulte Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido.
Ejecución manual de cuadernos de estrategias a petición	Los procedimientos siguientes no se admiten actualmente en la plataforma unificada de operaciones de seguridad: Ejecución manual de un cuaderno de estrategias en una alerta Ejecución manual de un cuaderno de estrategias en una entidad (versión preliminar)
Ejecutar cuadernos de estrategias en incidentes requiere de la sincronización de Microsoft Sentinel	Si intenta ejecutar un cuaderno de estrategias en un incidente desde la plataforma unificada de operaciones de seguridad y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos"., significa que el incidente aún no está sincronizado con Microsoft Sentinel. Actualice la página del incidente después de sincronizarlo para ejecutar el cuaderno de estrategias correctamente.

Contenido relacionado

• Automatización de la respuesta a amenazas en Microsoft Sentinel con las reglas de automatización
• Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
• Creación y uso de reglas de automatización de Microsoft Sentinel para administrar respuestas