Añadir condiciones avanzadas a las reglas de automatización de Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo añadir condiciones "O" avanzadas a las reglas de automatización en Microsoft Sentinel, para un triaje más eficaz de los incidentes.

Añada condiciones "O" en forma de grupos de condiciones en la sección Condiciones de su regla de automatización.

Los grupos de condiciones pueden contener dos niveles de condiciones:

• Simple: Al menos dos condiciones, cada una separada por un operador OR:

  • A OR B
  • A OR B OR C (consulte el ejemplo 1B a continuación.)
  • etcétera.

• Compuesto: más de dos condiciones, con al menos dos condiciones en al menos un lado de un operador OR:

  • (A and B) OR C
  • (A and B) OR (C and D)
  • (A and B) OR (C and D and E)
  • (A and B) OR (C and D) OR (E and F)
  • etcétera.

Puede ver que esta capacidad le ofrece un gran poder y flexibilidad para determinar cuándo se ejecutarán las reglas. También puede aumentar en gran medida su eficiencia al permitirle combinar muchas reglas de automatización antiguas en una nueva regla.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Añadir un grupo de condiciones

Dado que los grupos de condiciones ofrecen mucho más poder y flexibilidad en la creación de reglas de automatización, la mejor manera de explicar cómo hacerlo es presentando algunos ejemplos.

Vamos a crear una regla que cambiará la gravedad de un incidente entrante de lo que sea a Alta, suponiendo que cumpla las condiciones que vamos a establecer.

1. Para Microsoft Sentinel en el Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.

2. En la página de Automatización, seleccione Crear > Regla de automatización en la barra de botones de la parte superior.

   Consulte las instrucciones generales para crear una regla de automatización para obtener más detalles.

3. Asigne un nombre a la regla: "Triage: Cambiar la gravedad a alta".

4. Seleccione el desencadenante Cuando se crea el incidente.

5. En Condiciones, si ve las condiciones del Proveedor de incidentes y el Nombre de la regla de análisis, déjelas tal y como están. Estas condiciones no están disponibles si el área de trabajo está incorporada a la plataforma unificada de operaciones de seguridad. En cualquier caso, agregaremos más condiciones más adelante en este proceso.

6. En Acciones, seleccione Cambiar gravedad en la lista desplegable.

7. Seleccione Alto en la lista desplegable que aparece a continuación Cambiar gravedad.

Por ejemplo, en las pestañas siguientes se muestran ejemplos de un área de trabajo que se incorpora a la plataforma unificada de operaciones de seguridad, ya sea en los portales de Azure o Defender y en un área de trabajo que no sea:

Áreas de trabajo incorporadas

Áreas de trabajo no incorporadas

Ejemplo 1: condiciones simples

En este primer ejemplo, crearemos un grupo de condiciones simples: Si la condición A o la condición B son verdaderas, la regla se ejecutará y la gravedad del incidente se establecerá como Alta.

1. Seleccione el expansor + Añadir y elija Grupo de condiciones (O) en la lista desplegable.

   

2. Vea que aparecen dos conjuntos de campos de condición, separados por un operador OR. Estas son las condiciones "A" y "B" que mencionamos anteriormente: Si A o B es verdadera, la regla se ejecutará.
   (No se confunda por todas las diferentes capas de enlaces "Añadir" - todas serán explicadas).

   

3. Decidamos cuáles serán estas condiciones. Es decir, ¿qué dos condiciones diferentes harán que la gravedad del incidente se cambie a Alta? Propongamos lo siguiente:

   • Si las tácticas de MITRE ATT&CK asociadas al incidente incluyen alguna de las cuatro que hemos seleccionado en el menú desplegable (consulte la imagen siguiente), la gravedad debería elevarse a Alta.

   • Si el incidente contiene una entidad de nombre de host llamada "SUPER_SECURE_STATION", la gravedad debe elevarse a Alta.

   

   Mientras al menos UNA de estas condiciones sea verdadera, las acciones que definimos en la regla se ejecutarán, cambiando la gravedad del incidente a Alta.

Ejemplo 1A: añadir un valor OR dentro de una sola condición

Supongamos que tenemos no uno, sino dos puestos de trabajo supersensibles cuyos incidentes queremos que sean de alta gravedad. Podemos añadir otro valor a una condición existente (para cualquier condición basada en las propiedades de la entidad) seleccionando el icono del dado a la derecha del valor existente y añadiendo el nuevo valor debajo.

Ejemplo 1B: Añadir más condiciones OR

Supongamos que queremos que esta regla se ejecute si una de las TRES (o más) condiciones es verdadera. Si A o B o C es verdadera, la regla se ejecutará.

1. ¿Recuerda todos esos enlaces "Añadir"? Para añadir otra condición OR, seleccione el + Añadir conectado por una línea al operador OR.

   

2. Ahora, rellene los parámetros y valores de esta condición de la misma manera que lo hizo con las dos primeras.

   

Ejemplo 2: condiciones compuestas

Ahora decidimos que vamos a ser un poco más exigentes. Queremos añadir más condiciones a cada lado de nuestra condición OR original. Es decir, queremos que la regla se ejecute si A y B son verdaderos, O si C y D son verdaderos.

1. Para añadir una condición a un lado de un grupo de condiciones OR, seleccione el enlace + Añadir inmediatamente debajo de la condición existente, en el mismo lado del operador OR (en la misma área sombreada en azul) al que desea añadir la nueva condición.

   

   Verá una nueva fila agregada bajo la condición existente (en el mismo área sombreada azul), vinculada a ella por un AND operador.

   

2. Rellene los parámetros y valores de esta condición de la misma manera que hizo con las otras.

   

3. Repita los dos pasos anteriores para añadir una condición AND a cualquier lado del grupo de condiciones OR.

   

Eso es todo. Puedes utilizar lo que has aprendido aquí para añadir más condiciones y grupos de condiciones, utilizando diferentes combinaciones de operadores AND y OR, para crear reglas de automatización potentes, flexibles y eficaces que realmente ayuden a que tu SOC funcione sin problemas y reduzcan tus tiempos de respuesta y resolución.

Pasos siguientes

En este documento, aprendió a añadir grupos de condiciones utilizando operadores OR a las reglas de automatización.

• Para obtener instrucciones sobre la creación de reglas de automatización básicas, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta.
• Para obtener más información sobre las reglas de automatización, consulte Automatización del tratamiento de incidentes en Microsoft Sentinel mediante reglas de automatización
• Para obtener más información sobre las opciones avanzadas de automatización, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
• Para obtener sobre la implementación de reglas de automatización y cuadernos de estrategias, consulte Tutorial: Uso de cuadernos de estrategias para automatizar las respuestas a amenazas en Microsoft Sentinel.