Migración de la automatización SOAR de IBM Security QRadar a Microsoft Sentinel
Microsoft Sentinel proporciona funcionalidades de orquestación de seguridad, automatización y respuesta (SOAR) con reglas de automatización y cuadernos de estrategias. Las reglas de automatización automatizan el control y la respuesta ante incidentes, y los cuadernos de estrategias ejecutan secuencias predeterminadas de acciones para responder a amenazas y corregirlas. En este artículo se describe cómo identificar casos de uso de SOAR y migrar la automatización de IBM Security QRadar SOAR a Microsoft Sentinel.
Las reglas de automatización simplifican los flujos de trabajo complejos para los procesos de orquestación de incidentes y permiten administrar de forma centralizada la automatización del control de incidentes.
Con las reglas de automatización, puede hacer lo siguiente:
- Realizar tareas de automatización sencillas sin necesidad de usar cuadernos de estrategias. Por ejemplo, puede asignar, etiquetar incidentes, cambiar el estado y cerrar incidentes.
- Automatizar las respuestas de varias reglas de análisis a la vez.
- Controlar el orden de las acciones que se ejecutan.
- Ejecutar cuadernos de estrategias para aquellos casos en los que se necesiten tareas de automatización más complejas.
Identificación de casos de uso de SOAR
Esto es lo que debe pensar al migrar casos de uso de SOAR desde IBM Security QRadar SOAR.
- Calidad del caso de uso. Elija casos de uso de calidad para la automatización. Los casos de uso se deben basar en procedimientos claramente definidos, con una variación mínima y una tasa baja de falsos positivos. La automatización debe funcionar con casos de uso eficaces.
- Intervención manual. La respuesta automatizada puede tener efectos amplios y las automatizaciones de alto impacto deben tener una entrada humana para confirmar acciones de alto impacto antes de que se realicen.
- Criterios binarios. Para aumentar el éxito de la respuesta, los puntos de decisión dentro de un flujo de trabajo automatizado deben ser lo más limitados posible, con criterios binarios. Los criterios binarios reducen la necesidad de intervención humana y mejoran la previsibilidad de los resultados.
- Alertas o datos precisos. Las acciones de respuesta dependen de la precisión de las señales, como las alertas. Las alertas y los orígenes de enriquecimiento deben ser confiables. Los recursos de Microsoft Sentinel, como las listas de reproducción y la inteligencia sobre amenazas confiable, pueden mejorar la confiabilidad.
- Rol de analista. Aunque la automatización siempre que sea posible es excelente, reserve tareas más complejas para los analistas y proporcióneles la oportunidad de introducir datos en flujos de trabajo que necesiten validación. En resumen, la automatización de respuestas debe aumentar y ampliar las funcionalidades de los analistas.
Migración del flujo de trabajo de SOAR
En esta sección se muestra cómo se traducen los conceptos clave SOAR de IBM Security QRadar SOAR a los componentes de Microsoft Sentinel. En la sección también se proporcionan instrucciones generales sobre cómo migrar cada paso o componente en el flujo de trabajo SOAR.
| Paso (en el diagrama) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Definir reglas y condiciones. | Definir reglas de automatización. |
| 2 | Ejecutar actividades ordenadas. | Ejecutar reglas de automatización que contengan varios cuadernos de estrategias. |
| 3 | Ejecutar flujos de trabajo seleccionados. | Ejecutar otros cuadernos de estrategias según las etiquetas aplicadas por cuadernos de estrategias que se ejecutaron anteriormente. |
| 4 | Publicar datos en destinos de mensajes. | Ejecutar fragmentos de código mediante acciones insertadas en Logic Apps. |
Asignación de componentes de SOAR
Revise qué características de Microsoft Sentinel o Azure Logic Apps se asignan a los componentes principales de SOAR en QRadar.
| QRadar | Microsoft Sentinel o Azure Logic Apps |
|---|---|
| Reglas | Reglas de análisis asociadas a cuadernos de estrategias o reglas de automatización |
| Puerta de enlace | Control de condiciones |
| Scripts | Código alineado |
| Procesadores de acciones personalizados | Llamadas API personalizadas en conectores de Azure Logic Apps o de terceros |
| Functions | Conector de Azure Functions |
| Destinos de mensajes | Azure Logic Apps con Azure Service Bus |
| IBM X-Force Exchange | • Pestaña Plantillas > Automatización • Catálogo del centro de contenido • GitHub |
Operacionalización de cuadernos de estrategias y reglas de automatización en Microsoft Sentinel
La mayoría de los cuadernos de estrategias que usa con Microsoft Sentinel están disponibles en la pestaña Plantillas > Automatización, el catálogo del centro de contenido o GitHub. Pero en algunos casos, es posible que tenga que crear cuadernos de estrategias desde cero o a partir de plantillas existentes.
Normalmente, la aplicación lógica personalizada se compila mediante la característica Diseñador de aplicaciones lógicas de Azure. El código de las aplicaciones lógicas se basa en plantillas de Azure Resource Manager (ARM), que facilitan el desarrollo, la implementación y la portabilidad de Azure Logic Apps en varios entornos. Para convertir el cuaderno de estrategias personalizado en una plantilla de ARM portátil, puede usar el generador de plantillas de ARM.
Use estos recursos cuando necesite crear cuadernos de estrategias propios desde cero o a partir de plantillas existentes.
- Automatización del control de incidentes en Microsoft Sentinel
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
- Procedimiento para usar Microsoft Sentinel para la respuesta a incidentes, la orquestación y la automatización
- Tarjetas adaptables para mejorar la respuesta a incidentes en Microsoft Sentinel
Procedimientos recomendados de SOAR posteriores a la migración
Estos son los procedimientos recomendados que debe tener en cuenta después de la migración de SOAR:
- Después de migrar los cuadernos de estrategias, pruébelos ampliamente para asegurarse de que las acciones migradas funcionan según lo previsto.
- Revise periódicamente las automatizaciones para explorar formas de simplificar o mejorar SOAR. Microsoft Sentinel agrega constantemente nuevos conectores y acciones que pueden ayudarle a simplificar o aumentar la eficacia de las implementaciones de respuesta actuales.
- Supervise el rendimiento de los cuadernos de estrategias mediante el libro de supervisión del estado de los cuadernos de estrategias.
- Uso de identidades administradas y entidades de servicio: autentíquese en varios servicios de Azure dentro de Logic Apps, almacene los secretos en Azure Key Vault y oculte la salida de la ejecución del flujo. También se recomienda supervisar las actividades de estas entidades de servicio.
Pasos siguientes
En este artículo, ha aprendido a asignar la automatización de SOAR de IBM Security QRadar SOAR a Microsoft Sentinel.