Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo usar cuadernos de estrategias para crear (y, opcionalmente, realizar) tareas de incidentes, con el fin de administrar procesos complejos de flujo de trabajo de analistas en Microsoft Sentinel.

Las tareas de incidente se pueden crear automáticamente no solo mediante cuadernos de estrategias, sino también mediante reglas de automatización, y también manualmente, ad hoc, desde dentro de un incidente.

Casos de uso para distintos roles

En este artículo se tratan los siguientes escenarios que se aplican a los administradores de SOC, a los analistas sénior y a los ingenieros de automatización:

• Usar un cuaderno de estrategias para agregar una tarea y realizarla
• Uso de un cuaderno de estrategias para agregar una tarea de forma condicional

En el siguiente artículo complementario se abordan otros escenarios para este público:

• Visualización de reglas de automatización con acciones de tareas de incidentes
• Adición de tareas a incidentes con reglas de automatización

Otro artículo, en los vínculos siguientes, aborda los escenarios que se aplican más a los analistas de SOC:

• Ver y seguir las tareas de incidentes
• Agregar manualmente una tarea ad hoc a un incidente

Prerrequisitos

El rol de respondedor de Sentinel Microsoft es necesario para ver y editar incidentes, lo que es necesario para agregar, ver y editar tareas.

El rol Colaborador de Logic Apps es necesario para crear y editar cuadernos de estrategias.

Adición de tareas a incidentes con cuadernos de estrategias

Use la acción Agregar tarea en un cuaderno de estrategias (en el conector Microsoft Sentinel) para agregar automáticamente una tarea al incidente que desencadenó el cuaderno de estrategias.

Siga estas instrucciones para crear un cuaderno de estrategias basado en el desencadenador de incidentes. (Puede usar un flujo de trabajo estándar o un flujo de trabajo de consumo).

Hay dos maneras de trabajar con cuadernos de estrategias para generar tareas:

Usar un cuaderno de estrategias para agregar una tarea y realizarla

En este ejemplo, vamos a agregar una acción de cuaderno de estrategias que agregue una tarea al incidente para restablecer la contraseña de un usuario en peligro y agregaremos otra acción de cuaderno de estrategias que envíe una señal a Microsoft Entra ID Protection (AADIP) para restablecer realmente la contraseña. A continuación, agregaremos una acción final del cuaderno de estrategias para marcar la tarea en el incidente completado.

Para agregar y configurar estas acciones, siga estos pasos:

1. En el conector de Microsoft Sentinel, agregue la acción Agregar tarea al incidente.
   Elija el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes. Escriba Restablecer contraseña de usuario como Título. Si así lo desea, agregue una descripción.

   

2. Agregue la acción Entidades- Obtener cuentas (versión preliminar).
   Agregue el elemento de contenido dinámico Entities (desde el esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades.

   

3. Agregue un bucle For each desde la biblioteca de acciones de control.
   Agregue el elemento de contenido dinámico Accounts de la salida Entities - Get Accounts (Entidades: obtener cuentas ) al campo Seleccionar una salida de los pasos anteriores.

   

4. En el bucle Para cada uno, seleccione Agregar una acción.
   Busque y seleccione el conector de Microsoft Entra ID Protection y seleccione la acción Confirmar un usuario de riesgo como en peligro (versión preliminar).
   Agregue el elemento de contenido dinámico Identificador de usuario de Cuentas de Microsoft Entra al campo userIds Item - 1.

   Nota:

   Este campo (Id. de usuario de cuentas de Microsoft Entra) es una manera de identificar a un usuario en AADIP. Es posible que no sea necesariamente la mejor manera en cada escenario, pero se trae aquí como ejemplo. Para obtener ayuda, consulte otros cuadernos de estrategias que controle usuarios en peligro o la documentación de Microsoft Entra ID Protection.

   Esta acción establece en los procesos de movimiento dentro de Microsoft Entra ID Protection que restablecerá la contraseña del usuario.

   

5. Agregue la acción Marcar una tarea como completada desde el conector Microsoft Sentinel.
   Agregue el elemento de contenido dinámico Id. de tarea incidente al campo Id. de ARM de tarea.

   

Uso de un cuaderno de estrategias para agregar una tarea de forma condicional

En este ejemplo, vamos a agregar una acción de cuaderno de estrategias que investigue una dirección IP que aparece en un incidente. Si los resultados de esta investigación son que la dirección IP es malintencionada, el cuaderno de estrategias creará una tarea para que el analista deshabilite el usuario con esa dirección IP. Si la dirección IP no es una dirección malintencionada conocida, el cuaderno de estrategias creará una tarea diferente para que el analista se comunique con el usuario para comprobar la actividad.

1. En el conector de Microsoft Sentinel, agregue la acción Entities - Get IPs (Entidades: obtener direcciones IP).
   Agregue el elemento de contenido dinámico Entities (desde el esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades.

   

2. Agregue un bucle For each desde la biblioteca de acciones de control.
   Agregue el elemento de contenido dinámico IPs de la salida Entities - Get IPs (Entidades: obtener IP) al campo Seleccionar una salida de los pasos anteriores.

   

3. En el bucle Para cada uno, seleccione Agregar una acción.
   Busque y seleccione el conector Virus Total y seleccione la acción Obtener un informe IP (versión preliminar).
   Agregue el elemento de contenido dinámico Dirección IP de la salida Entities - Get IPs (Entidades: obtener direcciones IP ) al campo Dirección IP.

   

4. En el bucle Para cada uno, seleccione Agregar una acción.
   Agregue una condición desde la biblioteca de acciones de control.
   Agregue el elemento Contenido dinámico malintencionado estadísticas de último análisis de la salida Obtener un informe IP (es posible que tenga que seleccionar "Ver más" para encontrarlo), seleccionar es mayor que el operador y escribir 0 como valor. Esta condición formula la pregunta "¿El informe de IP total de virus tiene algún resultado?"

   

5. Dentro de la opción True, seleccione Agregar una acción.
   Seleccione del conector de Microsoft Sentinel la acción Agregar tarea al incidente.
   Elija el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
   Escriba Marcar usuario como en peligro como Título. Si así lo desea, agregue una descripción.

   

6. Dentro de la opción False, seleccione Agregar una acción.
   Seleccione del conector de Microsoft Sentinel la acción Agregar tarea al incidente.
   Elija el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
   Escriba Ponerse en contacto con el usuario para confirmar la actividad como título. Si así lo desea, agregue una descripción.

   

Pasos siguientes

• Obtenga más información sobre las tareas de incidentes.
• Aprenda cómoInvestigar incidentes.
• Obtenga información sobre cómo agregar tareas a grupos de incidentes automáticamente mediante reglas de automatización.
• Aprenda a usar tareas para controlar el flujo de trabajo de incidentes en Microsoft Sentinel.
• Obtenga más información sobre los cuadernos de estrategias, cómo crearlos y, especialmente, sobre cómo trabajar con acciones.