Cree sus propios incidentes manualmente en Microsoft Sentinel en el Azure Portal

  • Se aplica a: Microsoft Sentinel in the Azure portal

Importante

La creación manual de incidentes, mediante el portal o Logic Apps, está actualmente en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

La creación manual de incidentes está disponible con carácter general mediante la API.

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Con Microsoft Sentinel como solución de administración de eventos e información de seguridad (SIEM), las actividades de detección de amenazas y respuesta de las operaciones de seguridad se centran en los incidentes que se investigan y corrigen. Estos incidentes tienen dos orígenes principales:

  • Se generan automáticamente cuando los mecanismos de detección funcionan en los registros y alertas que Microsoft Sentinel ingiere de sus orígenes de datos conectados.

  • Se ingieren directamente desde otros servicios de seguridad de Microsoft conectados (como Microsoft Defender XDR) que los crearon.

Sin embargo, los datos de amenazas también pueden provenir de otros orígenes que no se ingieren en Microsoft Sentinel, o eventos no registrados en ningún registro y, sin embargo, pueden justificar la apertura de una investigación. Por ejemplo, un empleado podría observar a una persona no reconocida que participa en actividades sospechosas relacionadas con los recursos de información de su organización. Este empleado podría llamar o enviar un correo electrónico al Centro de operaciones de seguridad (SOC) para informar de la actividad.

Microsoft Sentinel en el Azure Portal permite a los analistas de seguridad crear manualmente incidentes para cualquier tipo de evento, independientemente de su origen o datos, por lo que no se pierda la investigación de estos tipos inusuales de amenazas.

Casos de uso comunes

Creación de un incidente para un evento notificado

Este es el escenario descrito en la introducción anterior.

Creación de incidentes a partir de eventos de sistemas externos

Cree incidentes basados en eventos de sistemas cuyos registros no se ingieren en Microsoft Sentinel. Por ejemplo, una campaña de suplantación de identidad basada en SMS podría usar la personalización de marca corporativa y los temas de la organización para dirigirse a los dispositivos móviles personales de los empleados. Es posible que quiera investigar un ataque de este tipo y puede crear un incidente en Microsoft Sentinel para que tenga una plataforma para administrar la investigación, recopilar y registrar pruebas y registrar las acciones de respuesta y mitigación.

Creación de incidentes en función de los resultados de la búsqueda

Cree incidentes en función de los resultados observados de las actividades de búsqueda. Por ejemplo, mientras que la búsqueda de amenazas en el contexto de una investigación determinada (o por su cuenta), es posible que encuentre pruebas de una amenaza completamente no relacionada que justifique su propia investigación independiente.

Creación manual de un incidente

Hay tres maneras de crear un incidente manualmente:

Después de incorporar Microsoft Sentinel al portal de Microsoft Defender, los incidentes creados manualmente no se sincronizan con el portal de Defender, aunque todavía se pueden ver y administrar en Microsoft Sentinel en el Azure Portal y a través de Logic Apps y la API.

Permissions

Los siguientes roles y permisos son necesarios para crear manualmente un incidente.

Método Rol obligatorio
Azure Portal y API Uno de los siguientes:
  • respondedor de Microsoft Sentinel
  • Colaborador de Microsoft Sentinel
    		•
    Azure Logic Apps Una de las anteriores, además de:
  • Microsoft Sentinel operador de cuaderno de estrategias para usar un cuaderno de estrategias existente
  • Colaborador de aplicación lógica para crear un nuevo cuaderno de estrategias
    		•

    Obtenga más información sobre los roles en Microsoft Sentinel.

    Creación de un incidente mediante el Azure Portal

    1. Seleccione Microsoft Sentinel y elija el área de trabajo.

    2. En el menú de navegación Microsoft Sentinel, seleccione Incidentes.

    3. En la página Incidentes, seleccione + Crear incidente (versión preliminar) en la barra de botones.

      Captura de pantalla de la pantalla principal del incidente, localizando el botón para crear un nuevo incidente manualmente.

      El panel Crear incidente (versión preliminar) se abrirá en el lado derecho de la pantalla.

      Captura de pantalla del panel de creación manual de incidentes, todos los campos en blanco.

    4. Rellene los campos del panel en consecuencia.

      • Title

        • Escriba el título que elija para el incidente. El incidente aparecerá en la cola con este título.
        • Obligatorio. Texto libre de longitud ilimitada. Los espacios se recortarán.

      • Descripción

        • Escriba información descriptiva sobre el incidente, incluidos detalles como el origen del incidente, las entidades implicadas, la relación con otros eventos, quién fue informado, etc.
        • Opcional. Texto libre de hasta 5000 caracteres.

      • Gravedad

        • Elija una gravedad en la lista desplegable. Están disponibles todas las gravedades compatibles con Microsoft Sentinel.
        • Obligatorio. El valor predeterminado es "Medio".

      • Estado

        • Elija un estado en la lista desplegable. Todos los estados admitidos por Microsoft Sentinel están disponibles.
        • Obligatorio. El valor predeterminado es "Nuevo".
        • Puede crear un incidente con un estado "cerrado" y, a continuación, abrirlo manualmente después para realizar cambios y elegir un estado diferente. Al elegir "cerrado" en la lista desplegable, se activarán los campos de motivo de clasificación para que elija un motivo para cerrar el incidente y agregar comentarios. Captura de pantalla de los campos de motivo de clasificación para cerrar un incidente.

      • Owner

        • Elija entre los usuarios o grupos disponibles en el inquilino. Empiece a escribir un nombre para buscar usuarios y grupos. Seleccione el campo (haga clic o pulse) para mostrar una lista de sugerencias. Elija "asignarme" en la parte superior de la lista para asignar el incidente a sí mismo.
        • Opcional.

      • Tags

        • Use etiquetas para clasificar incidentes y filtrarlos y localizarlos en la cola.
        • Para crear etiquetas, seleccione el icono de signo más, escriba texto en el cuadro de diálogo y seleccione Aceptar. La finalización automática sugerirá las etiquetas usadas en el área de trabajo durante las dos semanas anteriores.
        • Opcional. Texto libre.

    5. Seleccione Crear en la parte inferior del panel. Después de unos segundos, el incidente se creará y aparecerá en la cola de incidentes.

      Si asigna a un incidente un estado de "Cerrado", no aparecerá en la cola hasta que cambie el filtro de estado para mostrar también los incidentes cerrados. El filtro se establece de forma predeterminada para mostrar solo los incidentes con un estado "Nuevo" o "Activo".

    Seleccione el incidente en la cola para ver sus detalles completos, agregar marcadores, cambiar su propietario y estado, etc.

    Si por algún motivo cambia de opinión después del hecho de crear el incidente, puede eliminarlo de la cuadrícula de la cola o del propio incidente. Debe tener el rol colaborador de Microsoft Sentinel para eliminar un incidente.

    Creación de un incidente mediante Azure Logic Apps

    La creación de un incidente también está disponible como una acción de Logic Apps en el conector de Microsoft Sentinel y, por tanto, en Microsoft Sentinel cuadernos de estrategias.

    Puede encontrar la acción Crear incidente (versión preliminar) en el esquema del cuaderno de estrategias para el desencadenador de incidentes.

    Captura de pantalla de la acción crear una aplicación lógica de incidentes en Microsoft Sentinel conector.

    Debe proporcionar parámetros como se describe a continuación:

    • Seleccione la suscripción, el grupo de recursos y el nombre del área de trabajo en sus respectivas listas desplegables.

    • Para ver los campos restantes, consulte las explicaciones anteriores (en Crear un incidente mediante el Azure Portal).

      Captura de pantalla de los parámetros de la acción de creación de incidentes en Microsoft Sentinel conector.

    Microsoft Sentinel proporciona algunas plantillas de cuaderno de estrategias de ejemplo que muestran cómo trabajar con esta funcionalidad:

    • Creación de un incidente con Microsoft Form
    • Creación de un incidente a partir de la bandeja de entrada de correo electrónico compartido

    Puede encontrarlos en la galería de plantillas del cuaderno de estrategias en la página Microsoft Sentinel Automation.

    Creación de un incidente mediante la API de Microsoft Sentinel

    El grupo de operaciones Incidentes permite no solo crear, sino también actualizar (editar),obtener (recuperar) , enumerar y eliminar incidentes.

    Cree un incidente con el siguiente punto de conexión. Una vez realizada esta solicitud, el incidente será visible en la cola de incidentes del portal.

    PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

    Este es un ejemplo del aspecto que podría tener un cuerpo de solicitud:

    {
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

    Notas

    • Los incidentes creados manualmente no contienen entidades ni alertas. Por lo tanto, la pestaña Alertas de la página incidente permanecerá vacía hasta que relacione las alertas existentes con el incidente.

      La pestaña Entidades también permanecerá vacía, ya que actualmente no se admite la adición de entidades directamente a incidentes creados manualmente. (Si relaciona una alerta con este incidente, las entidades de la alerta aparecerán en el incidente).

    • Los incidentes creados manualmente tampoco mostrarán ningún nombre de producto en la cola.

    • La cola de incidentes se filtra de forma predeterminada para mostrar solo los incidentes con el estado "Nuevo" o "Activo". Si crea un incidente con el estado "Cerrado", no aparecerá en la cola hasta que cambie el filtro de estado para mostrar también los incidentes cerrados.

    Siguientes pasos

    Para más información, vea:

    • Last updated on