Automatización y ejecución de cuadernos de estrategias de Microsoft Sentinel
Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Sentinel en respuesta a un incidente completo, a una alerta individual o a una entidad específica. Un cuaderno de estrategias puede ayudarle a automatizar y organizar su respuesta y se puede configurar para que se ejecute automáticamente cuando se generen alertas o se creen o actualicen incidentes; para ello, se adjuntan a una regla de automatización. También se puede ejecutar manualmente a petición en incidentes, alertas o entidades específicos.
En este artículo, se describe cómo adjuntar cuadernos de estrategias a reglas de análisis o reglas de automatización, o ejecutar cuadernos de estrategias manualmente en incidentes, alertas o entidades específicos.
Nota:
Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Es posible que se apliquen cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.
Importante
Microsoft Sentinel está disponible como parte de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Microsoft Sentinel en el portal de Defender ahora se admite para su uso en producción. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Antes de empezar, asegúrese de que tiene un cuaderno de estrategias disponible para automatizar o ejecutar, con un desencadenador, condiciones y acciones definidas. Para obtener más información, consulte Creación y administración de cuadernos de estrategias de Microsoft Sentinel.
Roles de Azure necesarios para ejecutar cuadernos de estrategias
Para ejecutar cuadernos de estrategias, necesita los siguientes roles de Azure:
| Role | Descripción |
|---|---|
| Propietario | Permite conceder acceso a cuadernos de estrategias en el grupo de recursos. |
| Colaborador de Microsoft Sentinel | Asociación de un cuaderno de estrategias a una regla de análisis o una regla de automatización |
| Respondedor de Microsoft Sentinel | Obtenga acceso a un incidente para ejecutar manualmente un cuaderno de estrategias. Para ejecutar realmente el cuaderno de estrategias, también necesita los siguientes roles: - Operador de cuaderno de estrategias de Microsoft Sentinel, para ejecutar manualmente un cuaderno de estrategias Rol - Colaborador de automatización de Microsoft Sentinel, para permitir que las reglas de automatización ejecuten cuadernos de estrategias. |
Para obtener más información, consulte los requisitos previos del cuaderno de estrategias.
Permisos adicionales necesarios para ejecutar cuadernos de estrategias en incidentes
Microsoft Sentinel usa una cuenta de servicio para ejecutar cuadernos de estrategias en incidentes, para agregar seguridad y habilitar la API de reglas de automatización para admitir casos de uso de CI/CD. Esta cuenta de servicio se usa para cuadernos de estrategias desencadenados por incidentes o cuando se ejecuta un cuaderno de estrategias manualmente en un incidente específico.
Además de sus propios roles y permisos, esta cuenta de servicio de Microsoft Sentinel debe tener su propio conjunto de permisos en el grupo de recursos donde reside el cuaderno de estrategias, en forma de rol Colaborador de automatización de Microsoft Sentinel. Una vez que Microsoft Sentinel tiene este rol, puede ejecutar cualquier cuaderno de estrategias en el grupo de recursos correspondiente, manualmente o desde una regla de automatización.
Para conceder a Microsoft Sentinel los permisos necesarios, debe tener el rol Propietario o Administrador de acceso de usuario. Para ejecutar los cuadernos de estrategias, también necesitará el rol Colaborador de aplicación lógica en el grupo de recursos que contiene los cuadernos de estrategias que desea ejecutar.
Configuración de los permisos del cuaderno de estrategias para incidentes en una implementación multiinquilino
En una implementación multiinquilino, si el cuaderno de estrategias que desea ejecutar está en otro inquilino, debe conceder a la cuenta de servicio de Microsoft Sentinel permiso para ejecutar el cuaderno de estrategias en el inquilino del cuaderno de estrategias.
En el menú de navegación de Microsoft Azure Sentinel del inquilino de los cuadernos de estrategias, seleccione Settings (Configuración).
En la página Configuración, seleccione la pestaña Configuración y, a continuación, el expansor Permisos del cuaderno de estrategias.
Seleccione el botón Configurar permisos para abrir el panel Administrar permisos.
Marque las casillas de los grupos de recursos que contienen los cuadernos de estrategias que desea ejecutar y seleccione Aplicar. Por ejemplo:
Debe tener permisos de Propietario en cualquier grupo de recursos al que quiera conceder permisos a Microsoft Sentinel y debe tener el rol Operador de cuaderno de estrategias de Microsoft Sentinel en cualquier grupo de recursos que contenga cuadernos de estrategias que quiera ejecutar.
Si, en un escenario de MSSP, desea ejecutar un cuaderno de estrategias en un inquilino del cliente a partir de una regla de automatización creada con la sesión iniciada en el inquilino del proveedor de servicios, debe conceder a Microsoft Azure Sentinel permiso para ejecutarlo en ambos inquilinos:
En el inquilino del cliente, siga las instrucciones estándar para la implementación multiinquilino.
En el inquilino del proveedor de servicios, agregue la aplicación Azure Security Insights en la plantilla de incorporación de Azure Lighthouse de la siguiente manera:
- En Azure Portal, vaya a Microsoft Entra ID y seleccione Aplicaciones empresariales.
- Seleccione Tipo de aplicación y filtre por Aplicaciones de Microsoft.
- En el cuadro de búsqueda, escriba Azure Security Insights.
- Copie el campo Id. de objeto. Debe agregar esta autorización adicional a la delegación de Azure Lighthouse existente.
El rol Colaborador de automatización de Microsoft Azure Sentinel tiene un identificador único fijo, que es f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un ejemplo de autorización de Azure Lighthouse tendría este aspecto en la plantilla de parámetros:
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
Automatización de las respuestas a incidentes y alertas
Para responder automáticamente a incidentes completos o alertas individuales con un cuaderno de estrategias, cree una regla de automatización que se ejecute cuando se cree o actualice el incidente, o cuando se genere la alerta. Esta regla de automatización incluye un paso que llama al cuaderno de estrategias que desea usar.
Para crear una regla de automatización:
En la página Automatización del menú de navegación de Microsoft Sentinel, seleccione Crear en el menú superior, y luego, Regla de automatización. Por ejemplo:
Se abre el panel Create new automation rule (Creación de una regla de automatización). Escriba un nombre para la regla. Sus opciones varían en función de si su área de trabajo está integrada en la plataforma unificada de operaciones de seguridad. Por ejemplo:
Desencadenador: seleccione el desencadenador adecuado según la circunstancia para la que esté creando la regla de automatización: Cuando se crea un incidente, Cuando se actualiza un incidente o Cuando se crea una alerta.
Condiciones:
Si el área de trabajo aún no está incorporada en la plataforma unificada de operaciones de seguridad, los incidentes pueden tener dos posibles orígenes:
- Los incidentes pueden crearse dentro de Microsoft Sentinel
- Los incidentes pueden importarse de Microsoft Defender XDR y sincronizarse con él.
Si ha seleccionado uno de los desencadenantes de incidentes y desea que la regla de automatización surta efecto solo en incidentes con origen en Microsoft Sentinel o, alternativamente, en Microsoft Defender XDR, especifique el origen en la condición Si el proveedor del incidente es igual.
Esta condición solo se muestra si se selecciona un desencadenador de incidentes y el área de trabajo no está incorporada en la plataforma unificada de operaciones de seguridad.
Para todos los tipos de desencadenador, si desea que la regla de automatización solo tenga efecto en determinadas reglas de análisis, especifique cuáles modificando la condición Si el nombre de la regla de análisis contiene.
Agregue cualquier otra condición que desee para determinar si se ejecuta esta regla de automatización. Seleccione + Agregar y seleccione condiciones o grupos de condiciones en la lista desplegable. La lista de condiciones se rellena mediante los campos de detalles de la alerta e identificador de la entidad.
Acciones:
Puesto que va a usar esta regla de automatización para ejecutar un cuaderno de estrategias, seleccione la acción Ejecutar cuaderno de estrategias en la lista desplegable. A continuación, se le pedirá que seleccione en una segunda lista desplegable que muestra los cuadernos de estrategias disponibles. Una regla de automatización solo puede ejecutar aquellos cuadernos de estrategias que se inician con el mismo desencadenador (incidente o alerta) que el desencadenador definido en la regla, por lo que solo aparecerán esos cuadernos de estrategias en la lista.
Si aparece un cuaderno de estrategias atenuado en la lista desplegable, significa que Microsoft Sentinel no tiene permiso para el grupo de recursos de ese cuaderno de estrategias. Seleccione el vínculo Manage playbook permissions (Administrar permisos del cuaderno de estrategias) para asignar permisos.
En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Apply (Aplicar). Por ejemplo:
Debe tener permisos de Propietario en cualquier grupo de recursos al que quiera conceder permisos a Microsoft Sentinel y debe tener el rol Operador de cuaderno de estrategias de Microsoft Sentinel en cualquier grupo de recursos que contenga cuadernos de estrategias que quiera ejecutar.
Para obtener más información, consulte Permisos adicionales necesarios para ejecutar cuadernos de estrategias en incidentes.
Agregue cualquier otra acción que desee para esta regla. Puede cambiar el orden de ejecución de las acciones seleccionando las flechas arriba o abajo situadas a la derecha de cualquier acción.
Establezca una fecha de expiración para la regla de automatización si desea que tenga una.
Escriba un número en Orden para determinar en qué punto de la secuencia de reglas de automatización se ejecuta esta regla.
Seleccione Aplicar para completar la automatización.
Para obtener más información, consulte Creación y administración de cuadernos de estrategias de Microsoft Sentinel.
Respuesta a alertas: método heredado
Otra manera de ejecutar cuadernos de estrategias automáticamente en respuesta a las alertas es llamarlos desde una regla de análisis. Cuando la regla genera una alerta, se ejecuta el cuaderno de estrategias.
Este método quedará en desuso a partir de marzo de 2026.
A partir de junio de 2023, ya no puede agregar cuadernos de estrategias a reglas de análisis de esta manera. Sin embargo, todavía puede ver los cuadernos de estrategias existentes que se llaman desde reglas de análisis. Estos cuadernos de estrategias se seguirán ejecutando hasta marzo de 2026. Se recomienda crear reglas de automatización para llamar a estos cuadernos de estrategias antes de esa fecha.
Ejecución manual de un cuaderno de estrategias a petición
También puede ejecutar manualmente un cuaderno de estrategias a petición, ya sea en respuesta a alertas, incidentes (en versión preliminar) o entidades (también en versión preliminar). Esto puede ser útil en situaciones en las que desea más entrada humana y control sobre los procesos de orquestación y respuesta.
Ejecución manual de un cuaderno de estrategias en una alerta
Este procedimiento no se admite la plataforma unificada de operaciones de seguridad.
En el Azure Portal, seleccione una de las siguientes pestañas según sea necesario para su entorno:
En la página Incidentes, seleccione un incidente y, a continuación, seleccione Ver detalles completos para abrir la página de detalles del incidente.
En la página de detalles del incidente, en el widget Escala de tiempo del incidente, seleccione la alerta en la que quiere ejecutar el cuaderno de estrategias. Seleccione los tres puntos al final de la línea de la alerta y seleccione Ejecutar cuaderno de estrategias en el menú emergente.
Se abre el panel Cuadernos de estrategias de alertas. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de alertas de Microsoft Sentinel al que tiene acceso.
Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.
Para ver el historial de ejecución de los cuadernos de estrategias en una alerta, seleccione la pestaña Runs (Ejecuciones) en el panel Alert playbooks (Cuadernos de estrategias de alertas). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Al seleccionar una ejecución específica, se abre el registro de ejecución completo en Logic Apps.
Ejecución manual de un cuaderno de estrategias en un incidente (versión preliminar)
Este procedimiento difiere, dependiendo de si está trabajando en Microsoft Sentinel o en la plataforma unificada de operaciones de seguridad. Seleccione la pestaña correspondiente a su entorno:
En la página Incidents (Incidentes), seleccione un incidente.
En el panel de detalles del incidente que aparece en el lateral, seleccione Acciones > Ejecutar cuaderno de estrategias (versión preliminar).
Al seleccionar los tres puntos al final de la línea del incidente en la cuadrícula o al hacer clic con el botón derecho en el incidente, se muestra la misma lista que con el botón Acción.
Se abre el panel Ejecutar el cuaderno de estrategias en el incidente en el lateral. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de incidentes de Microsoft Sentinel al que tiene acceso.
Si no ve el cuaderno de estrategias que quiere ejecutar en la lista, significa que Microsoft Sentinel no tiene permisos para ejecutar cuadernos de estrategias en ese grupo de recursos.
Para conceder esos permisos, seleccione Configuración>Configuración de>permisos de cuaderno de estrategias>Configurar permisos. En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Apply (Aplicar).
Para obtener más información, consulte Permisos adicionales necesarios para ejecutar cuadernos de estrategias en incidentes.
Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.
Debe tener el rol de operador de cuadernos de estrategias de Microsoft Sentinel en cualquier grupo de recursos que contenga cuadernos que desee ejecutar. Si no puede ejecutar el cuaderno de estrategias debido a que faltan permisos, se recomienda ponerse en contacto con un administrador para concederle los permisos pertinentes. Para obtener más información, consulte los Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.
Para ver el historial de ejecuciones de los cuadernos de estrategias de incidencias, seleccione la pestaña Ejecuciones en el panel Ejecutar cuaderno de estrategias de incidencias. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Al seleccionar una ejecución específica, se abre el registro de ejecución completo en Logic Apps.
Ejecución manual de un cuaderno de estrategias en una entidad (versión preliminar)
Este procedimiento no se admite la plataforma unificada de operaciones de seguridad.
Seleccione una entidad de una de las siguientes formas, en función del contexto de origen:
- Página de detalles del incidente (nueva)
- Página de detalles del incidente (heredada)
- Grafo de investigación
- Búsqueda proactiva
Si se encuentra en la página de detalles de un incidente (nueva versión):
En el widget Entidades de la pestaña Información general, busque la entidad y realice una de las siguientes acciones:
No seleccione la entidad. En su lugar, seleccione los tres puntos situados a la derecha de la entidad y, a continuación, seleccione Ejecutar cuaderno de estrategias (versión preliminar). Busque el cuaderno de estrategias que desea ejecutar y seleccione Ejecutar en la fila de dicho cuaderno de estrategias.
Seleccione la entidad para abrir la pestaña Entidades de la página de detalles del incidente. Busque la entidad en la lista y seleccione los tres puntos a la derecha. Busque el cuaderno de estrategias que desea ejecutar y seleccione Ejecutar en la fila de dicho cuaderno de estrategias.
Seleccione una entidad y explore en profundidad la página de detalles de la entidad. A continuación, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo. Busque el cuaderno de estrategias que desea ejecutar y seleccione Ejecutar en la fila de dicho cuaderno de estrategias.
Independientemente del contexto del que proceda, el último paso de este procedimiento procede del panel Ejecutar cuaderno de estrategias en <tipo de entidad>. En este panel, se muestra una lista de todos los cuadernos de estrategias a los que tiene acceso que se configuraron con el desencadenador de Logic Apps Entidad de Microsoft Sentinel para el tipo de entidad seleccionado.
En el panel *Ejecutar cuaderno de estrategias en <tipo de entidad>, seleccione la pestaña Ejecuciones para ver el historial de ejecución del cuaderno de estrategias para una entidad determinada. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Al seleccionar una ejecución específica, se abre el registro de ejecución completo en Logic Apps.
Contenido relacionado
Para más información, vea:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de