Configurar la automatización en Microsoft Sentinel

Completado

¿Qué son las reglas de automatización y los cuadernos de estrategias?

Las reglas de automatización ayudan a evaluar incidentes en Microsoft Azure Sentinel. Puede usarlas para asignar automáticamente incidentes al personal adecuado, cerrar incidentes ruidosos o falsos positivos conocidos, cambiar su gravedad y agregar etiquetas. También son el mecanismo por el que puede ejecutar cuadernos de estrategias en respuesta a los incidentes o las alertas.

Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Sentinel en respuesta a un incidente completo, a una alerta individual o a una entidad específica. Un cuaderno de estrategias puede ayudarle a automatizar y organizar su respuesta y se puede configurar para que se ejecute automáticamente cuando se generen alertas o se creen o actualicen incidentes; para ello, se adjuntan a una regla de automatización. También se puede ejecutar manualmente a petición en incidentes, alertas o entidades específicos.

Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Cada cuaderno de estrategias se crea para la suscripción específica a la que pertenece, pero la pantalla Cuadernos de estrategias muestra todos los cuadernos de estrategias disponibles en cualquier suscripción seleccionada.

Por ejemplo, si desea detener el movimiento en la red y el robo de información por parte de usuarios potencialmente en peligro, puede crear una respuesta automatizada y de varias facetas para los incidentes generados por reglas que detecten usuarios en peligro. Comience por crear un cuaderno de estrategias que lleve a cabo las siguientes acciones:

1. Cuando una regla de automatización llama al cuaderno de estrategias y le pasa un incidente, el cuaderno de estrategias abre una incidencia en ServiceNow o en cualquier otro sistema de vales de TI.

2. Envía un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad sean conscientes del incidente.

3. También envía toda la información del incidente en un mensaje de correo electrónico al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico incluirá los botones de opciones de usuario Bloquear e Ignorar.

4. El cuaderno de estrategias espera hasta que se reciba una respuesta de los administradores y, después, continúa con los pasos siguientes.

5. Si los administradores eligen Bloquear, envía un comando a Microsoft Entra ID para deshabilitar el usuario y uno al firewall para bloquear la dirección IP.

6. Si los administradores eligen Ignorar, el cuaderno de estrategias cierra el incidente en Microsoft Azure Sentinel y el vale en ServiceNow.

Para desencadenar el cuaderno de estrategias, cree una regla de automatización que se ejecute cuando se generen estos incidentes. Esta regla llevará a cabo estos pasos:

1. La regla cambia el estado del incidente a Activo.

2. Asigna el incidente al analista encargado de administrar este tipo de incidentes.

3. Agrega la etiqueta "usuario en peligro".

4. Por último, llama al cuaderno de estrategias que acaba de crear. (Se requieren permisos especiales para este paso).

Los cuadernos de estrategias se pueden ejecutar automáticamente en respuesta a incidentes mediante la creación de reglas de automatización que llaman a los cuadernos de estrategias como acciones, como en el ejemplo anterior. También se pueden ejecutar automáticamente en respuesta a alertas, indicando a la regla de análisis que ejecute automáticamente uno o varios cuadernos de estrategias cuando se genere la alerta.

También puede elegir ejecutar un cuaderno de estrategias manualmente a petición, como respuesta a una alerta seleccionada.

Obtenga una introducción más completa y detallada para la automatización de las respuestas a amenazas mediante reglas de automatización y cuadernos de estrategias en Microsoft Azure Sentinel.

Crear un cuaderno de estrategias

Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:

1. Para Microsoft Sentinel en Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.
2. En el menú superior, seleccione Crear.
   
3. El menú desplegable que aparece en Crear ofrece cuatro opciones para crear cuadernos de estrategias:
   
   • Si va a crear un cuaderno de estrategias Estándar (el nuevo tipo, consulte Tipos de aplicación lógica), seleccione Blank playbook (Cuaderno de estrategias en blanco) y siga los pasos de la pestaña Logic Apps Standard (Aplicaciones lógicas Estándar) que aparece a continuación.
     
     
   • Si va a crear un cuaderno de estrategias Consumo (el tipo original y clásico), en función del desencadenador que quiera usar, seleccione Cuaderno de estrategias con desencadenador de incidentes, Cuaderno de estrategias con desencadenador de alertas o Cuaderno de estrategias con desencadenador de entidad. A continuación, siga los pasos descritos en la pestaña Logic Apps Consumption siguiente.
     

Para obtener más información sobre qué desencadenador usar, consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel. Para obtener más información sobre qué desencadenador usar, consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel.

En la pestaña Básica:

1. Seleccione los valores de Suscripción, Grupo de recursos y Región que prefiera en sus listas desplegables respectivas. La región elegida es donde se almacenará la información de la aplicación lógica.

2. Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.

3. Si desea supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, marque la casilla Habilitar registros de diagnóstico en Log Analytics y elija el Área de trabajo de Log Analytics en la lista desplegable.

4. Si su cuaderno de estrategias necesitan acceder a recursos protegidos que están dentro de una red virtual Azure o conectados a ella, es posible que tenga que utilizar un entorno de servicios de integración (ISE). Si es así, marque la casilla Asociar con el entorno del servicio de integración y seleccione el ISE deseado en la lista desplegable.

5. Haga clic en Siguiente: Conexiones>.

En la pestaña Conexiones:

Lo ideal sería dejar esta sección tal cual y configurar Logic Apps para la conexión con Microsoft Sentinel con identidad administrada. Aprenda sobre esta y otras alternativas de autenticación.

Seleccione Siguiente: Revisar y crear>.

En la pestaña Revisar y crear:

Revise las opciones de configuración que ha realizado y seleccione Crear y continuar con el diseñador.

El cuaderno de estrategias tardará unos minutos en crearse e implementarse, después de lo cual verá el mensaje "Se completó la implementación" y se le llevará al nuevo diseñador de aplicaciones lógicas del cuaderno de estrategias. El desencadenador que eligió al principio se agregará automáticamente como primer paso y, a partir de aquí, podrá seguir diseñando el flujo de trabajo.

Si eligió el desencadenador Entidad de Microsoft Sentinel (versión preliminar), seleccione el tipo de entidad que quiere que este cuaderno de estrategias reciba como entrada.

Incorporación de una acción

Ahora puede definir lo que ocurre cuando se llame al cuaderno de estrategias. Puede agregar acciones, condiciones lógicas, bucles o condiciones switch-case; para ello, seleccione Nuevo paso. Esta selección abre un nuevo marco en el diseñador, donde puede elegir un sistema o una aplicación con la que interactuar o una condición para establecer. Escriba el nombre del sistema o la aplicación en la barra de búsqueda de la parte superior del marco y, a continuación, elija entre los resultados disponibles.

En cada uno de estos pasos, al hacer clic en cualquier campo se muestra un panel con dos menús: Contenido dinámico y Expresión. Desde el menú Contenido dinámico, es posible agregar referencias a los atributos de la alerta o incidente que se pasó al cuaderno de estrategias, incluyendo los valores y atributos de todas las entidades asignadas y los detalles personalizados contenidos en la alerta o incidente. En el menú Expresión, puede elegir entre una gran biblioteca de funciones para agregar lógica adicional a los pasos.

En esta captura de pantalla se muestran las acciones y condiciones que agregaría en la creación del cuaderno de estrategias descrito en el ejemplo que aparece al principio de este documento. Obtenga más información sobre cómo agregar acciones a los cuadernos de estrategias.

Consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel para obtener más información sobre las acciones que puede agregar a los cuadernos de estrategias con distintos fines.

En concreto, tenga en cuenta esta información importante sobre los cuadernos de estrategias basados en el desencadenador de entidad en un contexto que no sea de incidente.

Automatizar las respuestas frente a amenazas

Ha creado el cuaderno de estrategias y ha definido el desencadenador, ha establecido las condiciones y ha indicado las acciones que realizará y las salidas que generará. Ahora debe determinar los criterios según los cuales se ejecutará y configurar el mecanismo de automatización que lo ejecutará cuando se cumplan los criterios.

Respuesta a incidentes y alertas

Para usar un cuaderno de estrategias para responder automáticamente a un incidente completo o a una alerta individual, cree una regla de automatización que se ejecute cuando se cree o actualice el incidente, o cuando se genere la alerta. Esta regla de automatización incluirá un paso que llama al cuaderno de estrategias que desea usar.

Para crear una regla de automatización:

1. En la página Automatización del menú de navegación de Microsoft Sentinel, seleccione Crear en el menú superior, y luego, Regla de automatización.
   
2. Se abre el panel Create new automation rule (Creación de una regla de automatización). Escriba un nombre para la regla. Sus opciones varían en función de si su área de trabajo está integrada en la plataforma unificada de operaciones de seguridad. Por ejemplo:
3. Desencadenador: seleccione el desencadenador adecuado según la circunstancia para la que esté creando la regla de automatización: Cuando se crea un incidente, Cuando se actualiza un incidente o Cuando se crea una alerta.
   
4. Condiciones:
   
   • Si su área de trabajo aún no está integrada en la plataforma unificada de operaciones de seguridad, los incidentes pueden tener dos posibles orígenes:
     
     • Los incidentes pueden crearse dentro de Microsoft Sentinel
       
     • Los incidentes pueden importarse de Microsoft Defender XDR y sincronizarse con él.
   • Si ha seleccionado uno de los desencadenantes de incidentes y desea que la regla de automatización surta efecto solo en incidentes con origen en Microsoft Sentinel o, alternativamente, en Microsoft Defender XDR, especifique el origen en la condición Si el proveedor del incidente es igual.
   • Esta condición solo se mostrará si se selecciona un desencadenante de incidentes y su área de trabajo no está integrada en la plataforma unificada de operaciones de seguridad.
     
   • Para todos los tipos de desencadenador, si desea que la regla de automatización solo tenga efecto en determinadas reglas de análisis, especifique cuáles modificando la condición Si el nombre de la regla de análisis contiene.
     
   • Agregue cualquier otra condición que desee determinar si se ejecuta esta regla de automatización. Seleccione + Agregar y elija condiciones o grupos de condiciones en la lista desplegable. La lista de condiciones se rellena mediante los campos de detalles de la alerta e identificador de la entidad.
     
5. Acciones:
   
   • Puesto que usa esta regla de automatización para ejecutar un cuaderno de estrategias, elija la acción Ejecutar cuaderno de estrategias en la lista desplegable. A continuación, se le pedirá que elija en una segunda lista desplegable que muestra los cuadernos de estrategias disponibles. Una regla de automatización solo puede ejecutar esos cuadernos de estrategias que comiencen con el mismo desencadenador (incidente o alerta) que el desencadenador definido en la regla, por lo que solo aparecerán esos cuadernos de estrategias en la lista.

Importante

Se deben conceder permisos explícitos a Microsoft Sentinel para ejecutar cuadernos de estrategias, ya sea manualmente o a partir de reglas de automatización. Si un cuaderno de estrategias aparece "atenuado" en la lista desplegable, significa que Sentinel no tiene permisos para el grupo de recursos de este cuaderno de estrategias. Haga clic en el vínculo Manage playbook permissions (Administrar permisos del cuaderno de estrategias) para asignar permisos.

En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que desea ejecutar y haga clic en Apply (Aplicar).

• Debe tener permisos de propietario en cualquier grupo de recursos al que quiera conceder permisos de Microsoft Sentinel y debe tener el rol Colaborador de aplicaciones lógicas en cualquier grupo de recursos que contenga cuadernos de estrategias que quiera ejecutar.
  
• En una implementación multiinquilino, si el cuaderno de estrategias que desea ejecutar estuviera en un inquilino diferente, deberá conceder a Microsoft Sentinel permiso para ejecutar el cuaderno de estrategias en el inquilino del cuaderno de estrategias.
  
• En el menú de navegación de Microsoft Azure Sentinel del inquilino de los cuadernos de estrategias, seleccione Settings (Configuración).
  
• En la hoja Settings (Configuración), seleccione la pestaña Settings (Configuración) y, a continuación, el expansor de Playbook permissions (Permisos del cuaderno de estrategias).
• Haga clic en el botón Configurar permisos para abrir el panel Administrar permisos mencionado anteriormente y continúe con lo descrito allí.

En un escenario de MSSP, quiere ejecutar un cuaderno de estrategias en un inquilino de cliente desde una regla de automatización creada mientras inició sesión en el inquilino del proveedor de servicios, debe conceder permiso a Microsoft Sentinel para ejecutar el cuaderno de estrategias en ambos inquilinos. En el inquilino cliente, siga las instrucciones para la implementación multiinquilino en la viñeta anterior. En el inquilino del proveedor de servicios, debe agregar la aplicación Azure Security Insights a la plantilla de incorporación de Azure Lighthouse:

1. Desde el portal Azure, vaya a Microsoft Entra ID.
   

2. Haga clic en Aplicaciones empresariales.

3. Seleccione Tipo de aplicación y filtre por Aplicaciones de Microsoft.

4. En el cuadro de búsqueda, escriba Azure Security Insights.

5. Copie el campo Id. de objeto. Deberá agregar esta autorización adicional a la delegación de Azure Lighthouse existente.

El rol Colaborador de automatización de Microsoft Azure Sentinel tiene un identificador único fijo, que es f4c81013-99ee-4d62-a7ee-b3f1f648599a.

6. Agregue cualquier otra acción que desee para esta regla. Puede cambiar el orden de ejecución de las acciones seleccionando las flechas arriba o abajo situadas a la derecha de cualquier acción.

7. Establezca una fecha de expiración para la regla de automatización si desea que tenga una.
   

8. Escriba un número en Order (Orden) para determinar en qué punto de la secuencia de reglas de automatización se ejecutará esta regla.
   

9. Seleccione Aplicar. ¡Y ya está!

Respuesta a alertas: método heredado

Otra manera de ejecutar cuadernos de estrategias automáticamente en respuesta a las alertas es llamarlos desde una regla de análisis. Cuando la regla genera una alerta, se ejecuta el cuaderno de estrategias.

Este método quedará en desuso a partir de marzo de 2026.

A partir de junio de 2023, ya no puede agregar cuadernos de estrategias a reglas de análisis de esta manera. Sin embargo, todavía puede ver los cuadernos de estrategias existentes que se llaman desde reglas de análisis. Estos cuadernos de estrategias se seguirán ejecutando hasta marzo de 2026. Se recomienda encarecidamente crear reglas de automatización para llamar a estos cuadernos de estrategias antes de esa fecha.

Ejecución de un cuaderno de estrategias a petición

También puede ejecutar manualmente un cuaderno de estrategias a petición, ya sea en respuesta a alertas, incidentes (en versión preliminar) o entidades (también en versión preliminar). Esto puede ser útil en situaciones en las que desea más entrada humana y control sobre los procesos de orquestación y respuesta.

Ejecución manual de un cuaderno de estrategias en una alerta

Nota:

Este procedimiento no es compatible con la plataforma unificada de operaciones de seguridad.

En el Azure Portal, seleccione una de las siguientes pestañas según sea necesario para su entorno:

1. En la página Incidents (Incidentes), seleccione un incidente. En el Azure portal, seleccione Ver detalles completos en la parte inferior del panel de detalles del incidente para abrir la página de detalles del incidente.

2. En la página de detalles del incidente, en el widget Incident timeline, elija la alerta en la que quiere ejecutar el cuaderno de estrategias. Seleccione los tres puntos al final de la línea de la alerta y elija Run playbook en el menú emergente.
   

3. Se abrirá el panel Alert playbooks (Cuadernos de estrategias de alertas) de reproducción de alertas. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de alertas de Microsoft Sentinel al que tiene acceso.

4. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.
   

Para ver el historial de ejecución de los cuadernos de estrategias en una alerta, seleccione la pestaña Runs (Ejecuciones) en el panel Alert playbooks (Cuadernos de estrategias de alertas). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.