Supervisión del estado de las reglas de automatización y los cuadernos de estrategias

Artículo
04/18/2023

Para garantizar el correcto funcionamiento y el rendimiento de la orquestación de seguridad, la automatización y las operaciones respuesta en el servicio Microsoft Sentinel, realice un seguimiento del estado de las reglas de automatización y los cuadernos de estrategias mediante la supervisión de sus registros de ejecución.

Configure notificaciones de eventos de estado para las partes interesadas competentes, que luego pueden tomar medidas. Por ejemplo, defina y envíe mensajes de correo electrónico o de Microsoft Teams, cree nuevos vales en el sistema de vales, etc.

En este artículo se describe cómo se usan las características de seguimiento de estado de Microsoft Sentinel para realizar un seguimiento del estado de las reglas de automatización y los cuadernos de estrategias desde Microsoft Sentinel.

Resumen

Registros de estado de automatización de Microsoft Sentinel:
- Este registro captura eventos que registran la ejecución de reglas de automatización y el resultado final de estas ejecuciones (si se han realizado correctamente o no y, en caso de error, el motivo). El registro detalla si las acciones se iniciaron en conjunto correctamente o con errores en la regla, y también enumera los cuadernos de estrategias a los que llama la regla.
- El registro también captura los eventos que registran el desencadenamiento a petición (manual o basado en API) de cuadernos de estrategias, incluidas las identidades que los desencadenaron, si se realizaron correctamente o no y, en caso de error, el motivo.
- Este registro no incluye un registro de la ejecución del contenido de un cuaderno de estrategias; únicamente registra si el cuaderno de estrategias se inició correctamente o con errores. Para obtener un registro de las acciones realizadas en un cuaderno de estrategias, consulte la lista siguiente.
- Estos registros se recopilan en la tabla SentinelHealth de Log Analytics.
Importante

La tabla de datos SentinelHealth se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Registros de diagnóstico de Azure Logic Apps:
- Estos registros capturan los resultados de la ejecución de los cuadernos de estrategias (también conocidos como flujos de trabajo de Logic Apps) y las acciones que contienen.
- Estos registros proporcionan una visión completa del estado de automatización cuando se usan junto con los registros de estado de automatización.
- Estos registros se recopilan en la tabla AzureDiagnostics de Log Analytics.

Uso de la tabla de datos SentinelHealth (versión preliminar pública)

Para obtener datos del estado de automatización de la tabla de datos SentinelHealth, debe activar primero la característica de estado de Microsoft Sentinel para el área de trabajo. Para obtener más información, consulte Activar la supervisión de estado para Microsoft Sentinel.

Una vez que active la característica de estado, la tabla de datos SentinelHealth se crea en el primer evento de éxito o error generado para las reglas de automatización y los cuadernos de estrategias.

Descripción de los eventos de la tabla SentinelHealth

Los siguientes tipos de eventos del estado de automatización se registran en la tabla SentinelHealth:

Automation rule run (Ejecución de regla de automatización). Se registra cada vez que se cumplen las condiciones de una regla de automatización, lo que hace que se ejecute. Además de los campos de la tabla básica SentinelHealth, estos eventos incluirán propiedades extendidas exclusivas de la ejecución de reglas de automatización, incluida una lista de los cuadernos de estrategias a los que llama la regla. La consulta de ejemplo siguiente mostrará estos eventos:
```
SentinelHealth
| where OperationName == "Automation rule run"
```
Playbook was triggered (Se ha desencadenado el cuaderno de estrategias). Se registra cada vez que se desencadena un cuaderno de estrategias tras un incidente de forma manual desde el portal o a través de la API. Además de los campos de la tabla básica SentinelHealth, estos eventos incluirán propiedades extendidas exclusivas del desencadenamiento manual de los cuadernos de estrategias. La consulta de ejemplo siguiente mostrará estos eventos:
```
SentinelHealth
| where OperationName == "Playbook was triggered"
```

Para más información, vea Esquema de columnas de la tabla SentinelHealth.

Estados, errores y pasos sugeridos

En el caso de Automation rule run (Ejecución de regla de automatización), es posible que vea los estados siguientes:

Correcto: la regla se ha ejecutado correctamente y ha desencadenado todas las acciones.
Éxito parcial: la regla se ha ejecutado y ha desencadenado al menos una acción, pero se han producido errores en algunas acciones.
Error: la regla de automatización no ha ejecutado ninguna acción debido a uno de los motivos siguientes:
- Se ha producido un error en la evaluación de las condiciones.
- Se han cumplido las condiciones, pero se ha producido un error en la primera acción.

En el caso de Playbook was triggered (Se ha desencadenado el cuaderno de estrategias), es posible que vea los estados siguientes:

Correcto: el cuaderno de estrategias se ha desencadenado correctamente.
Error: no se ha podido desencadenar el cuaderno de estrategias.

Nota

"Correcto" significa únicamente que la regla de automatización ha desencadenado correctamente un cuaderno de estrategias. No indica cuándo se inició o se finalizó el cuaderno de estrategias, los resultados de las acciones del cuaderno o el resultado final del cuaderno. Para encontrar esta información, consulte los registros de diagnóstico de Logic Apps (consulte las instrucciones que se indican más adelante en este artículo).

Descripciones de errores y acciones sugeridas

Descripción del error	Acciones sugeridas
*Could not add task (No se pudo agregar la tarea): <nombreDeTarea>.* No se han encontrado el incidente o la alerta.	Asegúrese de que el incidente o la alerta existen e inténtelo de nuevo.
*Could not modify property (No se pudo modificar la propiedad): <nombreDePropiedad>.* No se han encontrado el incidente o la alerta.	Asegúrese de que el incidente o la alerta existen e inténtelo de nuevo.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se han encontrado el incidente o la alerta.	Si el error se produjo al intentar desencadenar un cuaderno de estrategias a petición, asegúrese de que el incidente o la alerta existen e inténtelo de nuevo.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque no se encontró o porque Microsoft Sentinel no tenía permisos en él.	Edite la regla de automatización, busque el cuaderno de estrategias, selecciónelo en su nueva ubicación y guárdelo. Asegúrese de que Microsoft Sentinel tiene permiso para ejecutar este cuaderno de estrategias.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque contiene un tipo de desencadenador no admitido.	Asegúrese de que el cuaderno de estrategias comienza con el desencadenador correcto de Logic Apps: incidente de Microsoft Sentinel o alerta de Microsoft Sentinel.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque la suscripción está deshabilitada y marcada como de solo lectura. Los cuadernos de estrategias de esta suscripción no se pueden ejecutar hasta que se vuelva a habilitar la suscripción.	Vuelva a habilitar la suscripción de Azure en la que se encuentra el cuaderno de estrategias.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque estaba deshabilitado.	Habilite el cuaderno de estrategias, ya sea en Microsoft Sentinel en la pestaña de cuadernos de estrategias activos en Automatización, o bien en la página de recursos de Logic Apps.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias debido a una definición de plantilla no válida.	Hay un error en la definición del cuaderno de estrategias. Vaya al diseñador de Logic Apps para corregir los problemas y guarde el cuaderno de estrategias.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque la configuración del control de acceso aplica una restricción a Microsoft Sentinel.	Las configuraciones de Logic Apps permiten restringir el acceso para desencadenar el cuaderno de estrategias. Esta restricción está en vigor para este cuaderno de estrategias. Quite esta restricción para que Microsoft Sentinel no esté bloqueado. Más información
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque Microsoft Sentinel no tiene permisos para ejecutarlo.	Microsoft Sentinel requiere permisos para ejecutar cuadernos de estrategias.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque no se migró al nuevo modelo de permisos. Conceda a Microsoft Sentinel permisos para ejecutar este cuaderno de estrategias y vuelva a guardar la regla.	Conceda a Microsoft Sentinel permisos para ejecutar este cuaderno de estrategias y vuelva a guardar la regla.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias debido a que demasiadas solicitudes superan los límites de flujos de trabajo.	El número de ejecuciones de flujos de trabajo en espera ha superado el límite máximo permitido. Pruebe a aumentar el valor de `'maximumWaitingRuns'` en la configuración de simultaneidad del desencadenador.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias debido a que demasiadas solicitudes superan los límites.	Obtenga más información sobre los límites de la suscripción y el inquilino.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque el acceso estaba prohibido. Faltan valores de configuración de la identidad administrada o se ha establecido una restricción de red de Logic Apps.	Si el cuaderno de estrategias usa una identidad administrada, asegúrese de que la identidad administrada se asignó con permisos. El cuaderno de estrategias puede tener reglas de restricción de red que le impidan desencadenarse cuando bloquean el servicio Microsoft Sentinel.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque la suscripción o grupo de recursos estaba bloqueado.	Quite el bloqueo para permitir que Microsoft Sentinel desencadene cuadernos de estrategias en el ámbito bloqueado. Obtenga más información sobre los recursos bloqueados.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque el autor de la llamada no tiene los permisos de desencadenamiento de cuadernos de estrategias necesarios en el cuaderno de estrategias o porque Microsoft Sentinel no tiene permisos en él.	El usuario que intenta desencadenar el cuaderno de estrategias a petición no tiene el rol de Colaborador de Logic Apps en el cuaderno de estrategias o para desencadenar el cuaderno de estrategias. Más información
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias debido a credenciales no válidas en la conexión.	Compruebe las credenciales que usa la conexión en el servicio de conexiones de API de Azure Portal.
*Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>.* No se pudo desencadenar el cuaderno de estrategias porque el identificador de ARM del cuaderno de estrategias no es válido.

Visión global de la automatización

La tabla de seguimiento de estado de Microsoft Sentinel le permite realizar el seguimiento del desencadenamiento de cuadernos de estrategias, pero para supervisar lo que sucede en los cuadernos de estrategias y sus resultados cuando se ejecutan, también debe activar los diagnósticos de Azure Logic Apps para introducir los siguientes eventos en la tabla AzureDiagnostics:

{Nombre de la acción} iniciado
{Nombre de la acción} finalizado
Flujo de trabajo (cuaderno de estrategias) iniciado
Flujo de trabajo (cuaderno de estrategias) finalizado

Estos eventos agregados le proporcionarán información adicional sobre las acciones que se realizan en los cuadernos de estrategias.

Activación de los diagnósticos de Logic Apps

Para cada cuaderno de estrategias que le interese supervisar, habilite Log Analytics para la aplicación lógica. Asegúrese de seleccionar Send to Log Analytics workspace (Enviar al área de trabajo de Log Analytics) como destino de registro y elija el área de trabajo de Microsoft Sentinel.

Correlación de registros de Microsoft Sentinel y Azure Logic Apps

Ahora que tiene registros para las reglas de automatización y los cuadernos de estrategias y registros de los flujos de trabajo individuales de Logic Apps en el área de trabajo, puede correlacionarlos para obtener una visión global. Observe el ejemplo de consulta siguiente:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Uso del libro de supervisión de estado

El libro Automation health (Estado de automatización) le ayuda a visualizar los datos de estado, así como la correlación entre los dos tipos de registros que acabamos de mencionar. El libro incluye lo siguiente:

Estado y detalles de la regla de automatización
Estado y detalles del desencadenador del cuaderno de estrategias
Estado y detalles de las ejecuciones del cuaderno de estrategias (requiere que Azure Diagnostic esté habilitado en el nivel de cuaderno de estrategias)
Detalles de automatización por incidente

Captura de pantalla en la que se muestra el panel de apertura del libro Automation health (Estado de automatización).

Seleccione la pestaña Playbooks run by Automation Rules (Cuadernos de estrategias ejecutados por reglas de automatización) para ver la actividad del cuaderno de estrategias.

Captura de pantalla en la que se muestra una lista de los cuadernos de estrategias a los que llaman las reglas de automatización.

Seleccione un cuaderno de estrategias para ver la lista de sus ejecuciones en el gráfico de exploración en profundidad de más abajo.

Captura de pantalla en la que se muestra una lista de ejecuciones del cuaderno de estrategias elegido.

Seleccione una ejecución determinada para ver los resultados de las acciones del cuaderno de estrategias.

Pasos siguientes

Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
Supervisión del estado de los conectores de datos.
Supervisión del estado y la integridad de las reglas de análisis.
Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.