Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas
Una plantilla de cuaderno de estrategias es un flujo de trabajo de automatización precompilado, probado y listo para usarse en Microsoft Sentinel, que se puede personalizar para satisfacer sus necesidades. Las plantillas también pueden servir como referencia para los procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización.
Las plantillas de cuaderno de estrategias no son cuadernos de estrategias activos y debe crear una copia editable adecuada a sus necesidades.
La comunidad de Microsoft Sentinel, proveedores de software independientes (ISV) y los propios expertos de Microsoft han desarrollado muchas plantillas de cuadernos de estrategias basadas en escenarios de automatización populares que usan los centros de operaciones de seguridad de todo el mundo.
Importante
Las plantillas de cuadernos de estrategias se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Para crear y administrar cuadernos de estrategias, necesita acceso a Microsoft Sentinel con uno de los siguientes roles de Azure:
- Colaborador de aplicación lógica para editar y administrar aplicaciones lógicas
- Operador de aplicación lógica para leer, habilitar y deshabilitar aplicaciones lógicas
Para obtener más información, consulte Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.
Se recomienda leer Azure Logic Apps for Microsoft Sentinel playbooks (Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel) antes de crear el cuaderno de estrategias.
Acceso a plantillas de cuadernos de estrategias
Acceda a plantillas de cuadernos de estrategias de los siguientes orígenes:
Location | Descripción |
---|---|
Página de automatización de Microsoft Sentinel | En la pestaña Plantillas de cuaderno de estrategias figuran todos los cuadernos de estrategias instalados. Cree uno o varios cuadernos de estrategias activos con la misma plantilla. Cuando se publica una nueva versión de una plantilla, los cuadernos de estrategias activos creados a partir de esta tienen una etiqueta adicional agregada en la pestaña Cuadernos de estrategias activos para indicar que hay una actualización disponible. |
Página del centro de contenido de Microsoft Sentinel | Las plantillas de cuaderno de estrategias están disponibles como parte de soluciones de productos o contenido independiente que se instala desde el Centro de contenido. Para más información, consulte: Acerca del contenido y las soluciones de Microsoft Sentinel Descubre y administra el contenido listo para usar de Microsoft Sentinel |
GitHub | El repositorio de GitHub de Microsoft Sentinel contiene muchas otras plantillas de cuadernos de estrategias. Seleccione Implementar en Azure para implementar la plantilla en su suscripción. |
Técnicamente, una plantilla de cuaderno de estrategias es una plantilla de Azure Resource Manager (ARM) que consta de varios recursos: un flujo de trabajo de Azure Logic Apps y conexiones de API para cada conexión implicada.
Este artículo se centra en la implementación de una plantilla de cuaderno de estrategias desde la pestaña Plantillas del cuaderno de estrategias en Automation.
Explorar plantillas de cuaderno de estrategias
Para Microsoft Sentinel en el Azure portal seleccione la página Administrador de contenido>.Centro de contenido. Para Microsoft Sentinel en el Portal de Defender, portal, seleccione Microsoft Sentinel>Administración de contenidos >Centro de contenido.
En la página Centro de contenido, seleccione Tipo de contenido para filtrar por cuaderno de estrategias. En esta vista filtrada se enumeran todas las soluciones y el contenido independiente que incluyen una o varias plantillas de cuaderno de estrategias. Instale la solución o el contenido independiente para obtener la plantilla.
A continuación, seleccione Configuración>Automation>plantillas de cuaderno de estrategias pestaña para ver las plantillas instaladas. Por ejemplo:
Para buscar una plantilla de cuaderno de estrategias que se adapte a sus requisitos, filtre la lista según los criterios siguientes:
Filter | Descripción |
---|---|
Desencadenador | Filtre por cómo se desencadena el cuaderno de estrategias, incluidos incidentes, alertas o entidades. Para más información, consulte Supported Microsoft Sentinel triggers (Desencadenadores compatibles de Microsoft Sentinel). |
Conectores de Aplicaciones lógicas | Filtre por los servicios externos con los que interactúan los cuadernos de estrategias. Durante el proceso de implementación, cada conector debe asumir una identidad para autenticarse en el servicio externo. |
Entidades | Filtre por los tipos de entidad que el cuaderno de estrategias espera encontrar en el incidente. Por ejemplo, un cuaderno de estrategias que indica a un firewall que bloquee una dirección IP espera encontrar direcciones IP en el incidente. Estos incidentes pueden crearse mediante una regla de análisis de ataques por fuerza bruta. |
Etiquetas | Filtre por las etiquetas aplicadas al cuaderno de estrategias que lo relacionan con un escenario específico o que indican una característica especial. Por ejemplo: - Enriquecimiento: los cuadernos de estrategias que capturan información de otro servicio para agregar contexto a un incidente. Esta información normalmente se agrega como comentario al incidente o se envía al centro de operaciones de seguridad. - Corrección: el cuaderno de estrategias que realiza una acción en las entidades afectadas para eliminar una posible amenaza. - Sincronización: el cuaderno de estrategias que ayuda a mantener actualizado un servicio externo, como un servicio de administración de incidentes, con las propiedades del incidente. - Notificación: cuadernos de estrategias que envían un correo electrónico o un mensaje. - Respuesta de Teams: el cuaderno de estrategias que permite a los analistas realizar una acción manual desde Teams mediante tarjetas interactivas. |
Por ejemplo:
Personalización de un cuaderno de estrategias a partir de una plantilla
En este procedimiento se describe cómo se implementan plantillas de cuaderno de estrategias y se puede repetir para crear varios a partir de la misma plantilla.
Aunque la mayoría de las plantillas de cuaderno de estrategias se pueden usar tal como son, se recomienda ajustarlas para adaptarlas a sus necesidades de SOC.
En la pestaña Plantillas de cuadernos de estrategias, seleccione un cuaderno de estrategias como punto de partida.
Si el cuaderno de estrategias tiene requisitos previos, asegúrese de seguir las instrucciones. Por ejemplo:
Algunos cuadernos de estrategias llaman a otros cuadernos como acciones. Este segundo cuaderno de estrategias se conoce como cuaderno de estrategias anidado. En tal caso, uno de los requisitos previos es implementar primero el cuaderno de estrategias anidado.
Algunos cuadernos de estrategias requieren la implementación de un conector de Logic Apps personalizado o una instancia de Azure Functions. En esos casos, el vínculo Implementar en Azure le llevará al proceso general de implementación de plantillas de Resource Manager.
Seleccione Create playbook (Crear cuaderno de estrategias) para abrir el asistente para la creación de cuadernos de estrategias basado en la plantilla seleccionada. El asistente tiene cuatro pestañas:
Conceptos básicos: busque el nuevo cuaderno de estrategias, que es un recurso de Logic Apps, y asígnele un nombre. Puede usar el predeterminado. Por ejemplo:
Parámetros: escriba los valores específicos del cliente que usa el cuaderno de estrategias. Por ejemplo, si el cuaderno de estrategias envía un correo electrónico al centro de operaciones de seguridad, defina la dirección del destinatario. Si el cuaderno de estrategias tiene un conector personalizado en uso, este debe implementarse en el mismo grupo de recursos y se le solicitará que escriba el nombre en la pestaña Parámetros.
En la pestaña Parámetros solo se mostrará si el cuaderno de estrategias tiene parámetros. Por ejemplo:
Conexiones: expanda cada acción para ver las conexiones existentes que ha creado para los cuadernos de estrategias anteriores. Puede optar por usar conexiones existentes o crear una nueva. Por ejemplo:
Para crear una conexión, seleccione Crear nueva conexión después de la implementación. Esto le llevará al diseñador de Logic Apps una vez completado el proceso de implementación.
Los conectores personalizados se enumeran con el nombre del conector personalizado especificado en la pestaña Parámetros.
En el caso de los conectores que admiten la conexión con identidad administrada, como Microsoft Sentinel, la identidad administrada es el método de conexión predeterminado.
Para obtener más información, consulte Autenticar cuadernos de estrategias en Microsoft Sentinel.
Revisar y crear: vea un resumen del proceso y espere la validación de la entrada antes de crear el cuaderno de estrategias.
Después de seguir los pasos del asistente para la creación del cuaderno de estrategias hasta el final, se le conduce al diseño del flujo de trabajo del nuevo cuaderno de estrategias en el diseñador de Logic Apps. Por ejemplo:
Para cada conector que ha elegido, cree una conexión para después de la implementación:
En el menú de navegación, seleccione conexiones de API y después seleccione el nombre de la conexión. Por ejemplo:
Seleccione Editar conexión de API en el menú de navegación.
Rellene los parámetros obligatorios y seleccione Guardar. Por ejemplo:
Como alternativa, cree una nueva conexión desde dentro de los pasos pertinentes del diseñador de Logic Apps:
Para cada paso que aparece con un signo de error, selecciónelo para expandirlo y seleccione Agregar nuevo.
Autentíquese según las instrucciones pertinentes. Para obtener más información, consulte Autenticar cuadernos de estrategias en Microsoft Sentinel.
Si hay otros pasos que usan este mismo conector, expanda sus cuadros. En la lista de conexiones que aparece, seleccione la conexión que acaba de crear.
Si ha elegido usar una conexión de identidad administrada para Microsoft Sentinel o para otras conexiones admitidas, conceda permisos al nuevo cuaderno de estrategias en el área de trabajo de Microsoft Sentinel o en los recursos de destino pertinentes para otros conectores.
Guarde el cuaderno de estrategias. El cuaderno de estrategias aparece en la pestaña Cuadernos de estrategias activos.
Para ejecutar el cuaderno de estrategias, establezca una respuesta automatizada o ejecútelo manualmente. Para obtener más información, consulte Respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
Notificación de un problema en una plantilla de cuaderno de estrategias
Para notificar un error o solicitar una mejora para un cuaderno de estrategias, seleccione el vínculo Compatible con en el panel de detalles del cuaderno de estrategias. Si se trata de un cuaderno de estrategias compatible con la comunidad, el vínculo le llevará a abrir un problema de GitHub. De lo contrario, se le dirigirá a la página del soporte técnico con información sobre cómo enviar comentarios.