Compartir a través de


Creación manual de incidentes propios en Microsoft Sentinel

Importante

La creación manual de incidentes mediante el portal o Logic Apps, se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

La creación manual de incidentes tiene disponibilidad general mediante la API.

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Con Microsoft Sentinel como solución de administración de eventos e información de seguridad (SIEM), las actividades de detección y respuesta ante amenazas de las operaciones de seguridad se centran en incidentes que investiga y corrige. Estos incidentes tienen dos orígenes principales:

  • Se generan automáticamente cuando los mecanismos de detección operan en los registros y alertas que Microsoft Sentinel ingiere de sus orígenes de datos conectados.

  • Se ingieren directamente desde otros servicios de seguridad de Microsoft conectados (como Microsoft Defender XDR) que los crearon.

Sin embargo, los datos de amenazas también pueden provenir de otros orígenes que no se ingieran en Microsoft Sentinel o eventos no registrados en ningún registro y, sin embargo, aún podrían justificar la apertura de una investigación. Por ejemplo, un empleado podría advertir a una persona no reconocida participando en actividades sospechosas relacionadas con los recursos de información de la organización. Este empleado podría llamar o enviar un correo electrónico al centro de operaciones de seguridad (SOC) para informar sobre la actividad.

Microsoft Sentinel permite a los analistas de seguridad crear manualmente incidentes para cualquier tipo de evento, independientemente de su origen o datos, por lo que no se perderá la posibilidad de investigar estos tipos inusuales de amenazas.

Casos de uso comunes

Creación de un incidente para un evento notificado

Este es el escenario descrito en la introducción anterior.

Creación de incidentes fuera de eventos de sistemas externos

Cree incidentes basados en eventos de sistemas cuyos registros no se ingieren en Microsoft Sentinel. Por ejemplo, una campaña de suplantación de identidad (phishing) basada en SMS podría usar la personalización de marca y los temas corporativos de su organización para dirigirse a los dispositivos móviles personales de los empleados. Es posible que quiera investigar este tipo de ataques, por lo que podría crear un incidente en Microsoft Sentinel para tener una plataforma para administrar la investigación, recopilar y registrar evidencias, así como registrar las acciones de respuesta y mitigación.

Creación de incidentes en función de los resultados de la búsqueda

Cree incidentes basados en los resultados observados de las actividades de búsqueda. Por ejemplo, mientras que se realiza una búsqueda de amenazas en el contexto de una investigación determinada (o de forma particular), podría encontrarse con evidencias de amenazas completamente diferentes que justificasen una propia investigación independiente.

Creación manual de un incidente

Hay tres maneras de crear un incidente manualmente:

Después de incorporar Microsoft Sentinel a la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender, los incidentes creados manualmente no se sincronizarán con la plataforma unificada, aunque aún se podrán ver y administrar en Microsoft Sentinel en Azure Portal y a través de Logic Apps y la API.

Creación de un incidente mediante Azure Portal

  1. Seleccione Microsoft Sentinel y elija el área de trabajo.

  2. En el menú de navegación de Microsoft Sentinel, seleccione Incidentes.

  3. En la página Incidentes, seleccione + Crear incidente (versión preliminar) en la barra de botones.

    Captura de pantalla de la pantalla principal de incidentes, en la que se ubica el botón para crear un nuevo incidente manualmente.

    El panel Crear incidente (versión preliminar) se abrirá en el lado derecho de la pantalla.

    Captura de pantalla del panel de creación manual de incidentes, con todos los campos en blanco.

  4. Rellene los campos del panel como corresponde.

    • Título

      • Escriba un título de su elección para el incidente. El incidente aparecerá en la cola con este título.
      • Necesario. Texto libre de longitud ilimitada. Se recortarán los espacios.
    • Descripción

      • Escriba información descriptiva sobre el incidente, incluidos detalles como su origen, las entidades implicadas, las relaciones con otros eventos, a quién se informó, etc.
      • Opcional. Texto libre de hasta 5000 caracteres.
    • Gravedad

      • Elija la gravedad en la lista desplegable. Todas las gravedades admitidas por Microsoft Sentinel están disponibles.
      • Necesario. El valor predeterminado es "Medio".
    • Estado

      • Seleccione un estado en la lista desplegable. Todos los estados admitidos por Microsoft Sentinel están disponibles.
      • Necesario. El valor predeterminado es "Nuevo".
      • Puede crear un incidente con el estado "cerrado" y, después, abrirlo manualmente para hacer cambios y elegir otro estado. Al elegir "cerrado" en la lista desplegable se activarán los campos de motivo de clasificación para que elija un motivo para cerrar el incidente y agregar comentarios. Captura de pantalla de los campos de las razones de clasificación para cerrar un incidente.
    • Propietario

      • Elija entre los usuarios o grupos disponibles en el inquilino. Comience por escribir un nombre para buscar usuarios y grupos. Seleccione el campo (haga clic o pulse) para mostrar una lista de sugerencias. Elija "asignármelo a mí" en la parte superior de la lista para asignarse el incidente a sí mismo.
      • Opcional.
    • Etiquetas

      • Use etiquetas para clasificar incidentes o filtrarlos y localizarlos en la cola.
      • Cree etiquetas al seleccionar el icono del signo más, escribir texto en el cuadro de diálogo y elegir Aceptar. La finalización automática sugerirá etiquetas usadas en el área de trabajo durante las dos semanas anteriores.
      • Opcional. Texto libre.
  5. En la parte inferior del panel, seleccione Crear. Después de unos segundos, se creará el incidente y aparecerá en la cola de incidentes.

    Si asigna un incidente un estado de "Cerrado", no aparecerá en la cola hasta que cambie el filtro de estado para mostrar también los incidentes cerrados. El filtro se establece de manera predeterminada para mostrar solo incidentes con el estado "Nuevo" o "Activo".

Seleccione el incidente en la cola para ver sus detalles completos, agregar marcadores, cambiar su propietario y estado, etc.

Si por algún motivo cambia de opinión después haber creado el incidente, puede eliminarlo de la cuadrícula de la cola o desde el propio incidente.

Creación de un incidente mediante Azure Logic Apps

La creación de un incidente también está disponible como una acción de Logic Apps en el conector de Microsoft Sentinel y, por tanto, en los cuadernos de estrategias de Microsoft Sentinel.

Puede encontrar la acción Crear incidente (versión preliminar) en el esquema del cuaderno de estrategias del desencadenador de incidentes.

Captura de pantalla de la acción Crear una aplicación lógica de incidentes en el conector de Microsoft Sentinel.

Debe proporcionar parámetros como se describe a continuación:

  • Seleccione la suscripción, el grupo de recursos y el nombre del área de trabajo en sus respectivos menús desplegables.

  • Para los campos restantes, consulte las explicaciones anteriores (en Crear un incidente mediante Azure Portal).

    Captura de pantalla de los parámetros de la acción  Crear incidente en el conector de Microsoft Sentinel.

Microsoft Sentinel proporciona algunas plantillas de ejemplo del cuaderno de estrategias que muestran cómo trabajar con esta funcionalidad:

  • Creación de incidentes con Microsoft Form
  • Crear incidente desde la bandeja de entrada de correo electrónico compartido

Puede encontrarlos en la galería de plantillas del cuaderno de estrategias en la página Automation de Microsoft Sentinel.

Creación de un incidente mediante la API de Microsoft Sentinel

El grupo de operaciones Incidentes permite no solo crear, sino también actualizar (editar),obtener (recuperar), enumerar y eliminar incidentes.

Puede crear un incidente mediante el siguiente punto de conexión. Una vez hecha esta solicitud, el incidente estará visible en la cola de incidentes en el portal.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

El ejemplo siguiente muestra el aspecto que podría tener el cuerpo de la solicitud:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Notas

  • Los incidentes creados manualmente no contienen ninguna entidad o alerta. Por lo tanto, la pestaña Alertas de la página del incidente permanecerá vacía hasta que se relacionen las alertas existentes con el incidente.

    La pestaña Entidades también permanecerá vacía, ya que actualmente no se admite la adición directa de entidades en incidentes creados manualmente. (Si relaciona una alerta con este incidente, las entidades de la alerta aparecerán en él).

  • Los incidentes creados manualmente tampoco mostrarán ningún Nombre de producto en la cola.

  • La cola de incidentes se filtra de manera predeterminada para mostrar solo incidentes con el estado "Nuevo" o "Activo". Si crea uno con el estado "Cerrado", no aparecerá en la cola hasta que cambie el filtro de estado para mostrar también los incidentes cerrados.

Pasos siguientes

Para más información, consulte: