Crear y administrar cuadernos de estrategias de Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Sentinel en respuesta a un incidente completo, a una alerta individual o a una entidad específica. Un cuaderno de estrategias puede ayudar a automatizar y organizar la respuesta, y se puede adjuntar a una regla de automatización para ejecutarse automáticamente cuando se generan alertas específicas o cuando se crean o actualizan incidentes. Los cuadernos de estrategias también se pueden ejecutar manualmente a petición en incidentes, alertas o entidades específicos.

En este artículo se describe cómo crear y administrar cuadernos de estrategias de Microsoft Sentinel. Posteriormente, puede adjuntar estos cuadernos de estrategias a reglas de análisis o reglas de automatización, o ejecutarlos manualmente en incidentes, alertas o entidades específicos.

Nota:

Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Se pueden aplicar cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Microsoft Sentinel en el portal de Defender ahora se admite para su uso en producción. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para crear y administrar cuadernos de estrategias, necesita acceso a Microsoft Sentinel con uno de los siguientes roles de Azure:

• Colaborador de aplicación lógica para editar y administrar aplicaciones lógicas
• Operador de aplicación lógica para leer, habilitar y deshabilitar aplicaciones lógicas

Para obtener más información, consulte Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

Se recomienda leer Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel antes de crear el cuaderno de estrategias.

Crear un cuaderno de estrategias

Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:

1. Para Microsoft Sentinel en Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.

   Azure Portal

   

   Portal de Defender

   

2. En el menú superior, seleccione Crear y, a continuación, seleccione una de las siguientes opciones:

   1. Si va a crear un cuaderno de estrategias Estándar, seleccione Cuaderno de estrategias en blanco y, a continuación, siga los pasos del tipo de aplicación lógica estándar.

   2. Si va a crear un cuaderno de estrategias consumo, seleccione una de las siguientes opciones, en función del desencadenador que quiera usar y, a continuación, siga los pasos descritos en la pestaña Consumo de Logic Apps a continuación:

      • Cuaderno de estrategias con desencadenador de incidentes
      • Cuaderno de estrategias con desencadenador de alertas
      • Cuaderno de estrategias con desencadenador de entidad

   Para obtener más información, consulte Tipos de aplicación lógica compatibles y Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Prepare la aplicación lógica del cuaderno de estrategias

Seleccione una de las pestañas siguientes para obtener más información sobre cómo crear una aplicación lógica para el cuaderno de estrategias, en función de si usa un flujo de trabajo Consumo o Estándar. Para obtener más información, consulte Tipos de aplicación lógica compatibles.

Consumo

El asistente Crear cuaderno de estrategias aparece después de seleccionar el desencadenador que desea usar, incluido un incidente, una alerta o un desencadenador de entidad. Por ejemplo:

Haga lo siguiente para crear el cuaderno de estrategias:

1. En la pestaña Básica:

   1. Seleccione los valores de Suscripción, Grupo de recursos y Región que prefiera en sus listas desplegables respectivas. La región seleccionada es donde se almacena la información de la aplicación lógica.

   2. Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.

   3. Si desea supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, seleccione la casilla Habilitar registros de diagnóstico en Log Analytics y seleccione el Área de trabajo de Log Analytics en la lista desplegable.

   4. Si su cuaderno de estrategias necesitan acceder a recursos protegidos que están dentro de una red virtual Azure o conectados a ella, es posible que tenga que utilizar un entorno de servicios de integración (ISE). Si es así, seleccione la casilla Asociar con el entorno del servicio de integración y seleccione el ISE relevante en la lista desplegable.

   5. Seleccione Siguiente: Conexiones>.

2. En la pestaña Conexiones, se recomienda dejar los valores predeterminados, configurando Logic Apps para conectarse a Microsoft Sentinel con identidad administrada. Para obtener más información, consulte Autenticar cuadernos de estrategias en Microsoft Sentinel.

   Seleccione Siguiente: Revisar y crear > para continuar.

3. En la pestaña Revisar y crear, revise las opciones de configuración que ha realizado y seleccione Crear y continuar con el diseñador.

   El cuaderno de estrategias tardará unos minutos en crearse e implementarse, después de lo cual verá el mensaje "Su implementación está completa" y se le llevará al nuevo cuaderno de estrategias Diseñador de aplicaciones lógicas. El desencadenador que eligió al principio se agrega automáticamente como primer paso y puede seguir diseñando el flujo de trabajo desde allí.

   

4. Si eligió el desencadenador entidad de Microsoft Sentinel, seleccione el tipo de entidad que desea que este cuaderno de estrategias reciba como entrada.

   

Estándar

Dado que los cuadernos de estrategias basados en el flujo de trabajo estándar no admiten plantillas de cuaderno de estrategias, primero debe crear la aplicación lógica, luego crear el cuaderno de estrategias y, por último, elegir el desencadenador del cuaderno de estrategias.

Después de seleccionar la opción Cuaderno de estrategias en blanco, se abre una nueva pestaña del explorador con el asistente Crear aplicación lógica. Por ejemplo:

Creación de una aplicación lógica

1. En la pestaña Aspectos básicos, escriba los detalles siguientes:

   1. Seleccione los valores de Suscripción y Grupo de recursos que prefiera en sus listas desplegables respectivas.
   2. Escriba un nombre para la aplicación lógica. En Publicar, seleccione Flujo de trabajo. Seleccione el valor de Región donde desea implementar la aplicación lógica.
   3. En Tipo de plan, seleccione Estándar.
   4. Seleccione Siguiente: Hospedaje>.

2. En la pestaña Hospedaje:

   1. En Tipo de almacenamiento, seleccione Azure Storage y seleccione o cree una Cuenta almacenamiento.
   2. Seleccione un Plan de Windows.

3. En la pestaña Supervisión:

   1. Si quiere habilitar la supervisión del rendimiento en Azure Monitor para esta aplicación, deje el botón de alternancia en Sí. De lo contrario, cambie a No.

      Nota

      Esta supervisión no es necesaria para Microsoft Sentinel y le costará más.

   2. De manera opcional, puede seleccionar Siguiente: etiquetas > para aplicar etiquetas a esta aplicación lógica con fines de categorización y facturación de recursos. En caso contrario, seleccione Revisar y crear.

4. En la pestaña Revisar y crear, revise las opciones de configuración que ha realizado y seleccione Crear.

   El cuaderno de estrategias tarda unos minutos en crearse e implementarse, durante el cual verá algunos mensajes de implementación. Al final del proceso, se le lleva a la pantalla de implementación final, donde verá el mensaje: "La implementación está completa".

5. Haga clic en Go to resource (Ir al recurso). Se le lleva a la página principal de la nueva aplicación lógica.

   A diferencia de los cuadernos de estrategias de consumo clásicos, aún no ha terminado. Ahora debe crear un flujo de trabajo.

Crear un flujo de trabajo para el cuaderno de estrategias

1. En la página de detalles de la aplicación lógica, seleccione Flujos de trabajo > + Agregar. Puede tardar unos minutos en activarse el botón + Agregar.

2. En el panel Nuevo flujo de trabajo que aparece:

   1. Escriba un nombre descriptivo para el flujo de trabajo.
   2. En Tipo de estado, seleccione Con estado. Microsoft Sentinel no admite el uso de flujos de trabajo sin estado como cuadernos de estrategias.
   3. Seleccione Crear.

   El flujo de trabajo se guarda y aparece en la lista de flujos de trabajo de la aplicación lógica.

3. Seleccione el nuevo flujo de trabajo para continuar y acceder a la página de detalles del flujo de trabajo. Aquí puede ver toda la información sobre el flujo de trabajo, incluido un registro de todas las veces que se ejecuta.

4. En la página de detalles del flujo de trabajo, seleccione Diseñador.

5. Se abre la página Diseñador y se le pedirá que agregue un desencadenador y continúe diseñando el flujo de trabajo. Por ejemplo:

   

Agregue al desencadenador

1. En la página Diseñador, seleccione la pestaña Azure y escriba Sentinel en el cuadro Buscar. En la pestaña Desencadenadores se muestran los desencadenadores admitidos por Microsoft Sentinel, entre los que se incluyen:

   • Alerta de Microsoft Sentinel
   • Entidad de Microsoft Sentinel
   • Incidente de Microsoft Sentinel

   Por ejemplo:

   

2. Si elige el desencadenador de Entidad de Microsoft Sentinel, seleccione el tipo de entidad que desea que este cuaderno de estrategias reciba como entrada. Por ejemplo:

   

Para obtener más información, consulte Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Agregar acciones al cuaderno de estrategias

Ahora que tiene una aplicación lógica, defina lo que sucede al llamar al cuaderno de estrategias. Agregue acciones, condiciones lógicas, bucles o condiciones de cambio de mayúsculas y minúsculas; para ello, seleccione Nuevo paso. Esta selección abre un nuevo marco en el diseñador, donde puede elegir un sistema o una aplicación con la que interactuar o una condición para establecer. Escriba el nombre del sistema o la aplicación en la barra de búsqueda de la parte superior del marco y, a continuación, elija entre los resultados disponibles.

En cada uno de estos pasos, al hacer clic en cualquier campo se muestra un panel con los menús siguientes:

• Contenido dinámico: agregue referencias a los atributos de la alerta o incidente que se pasó al cuaderno de estrategias, incluidos los valores y atributos de todas las entidades asignadas y detalles personalizados contenidos en la alerta o incidente. Para obtener ejemplos de uso de contenido dinámico, consulte:

  • Uso de cuadernos de estrategias de entidades sin identificador de incidente
  • Trabajar con detalles personalizados

• Expresión: elija entre una biblioteca grande de funciones para agregar más lógica a los pasos.

Para obtener más información, consulte Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.

Solicitudes de autenticación

Al elegir un desencadenador o cualquier acción posterior, se le pedirá que se autentique en el proveedor de recursos con el que interactúe. En este caso, el proveedor es Microsoft Sentinel y hay algunas opciones de autenticación. Para más información, vea:

• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel

Contenido dinámico: uso de cuadernos de estrategias de entidad sin identificador de incidente

Los cuadernos de estrategias creados con el desencadenador de entidad suelen usar el campo Id. de ARM de incidentes, como actualizar un incidente después de tomar medidas en la entidad.

Si este cuaderno de estrategias se desencadena en un contexto no conectado a un incidente, como cuando la búsqueda de amenazas, no hay ningún incidente cuyo identificador pueda rellenar este campo. En este caso, el campo se rellena con un valor NULL.

Como resultado, es posible que el cuaderno de estrategias no se ejecute hasta completarse. Para evitar este error, se recomienda crear una condición que compruebe si hay un valor en el campo id. de incidente antes de realizar acciones en él y recetar un conjunto diferente de acciones si el campo tiene un valor NULL, es decir, si el cuaderno de estrategias no se ejecuta desde un incidente.

Siga estos pasos:

1. Antes de la primera acción que hace referencia al campo Id. de ARM de incidente, agregue un paso Condición.

2. En el lado, seleccione el campo Elegir un valor para acceder al cuadro de diálogo Agregar contenido dinámico.

3. Seleccione Id. de ARM de incidente (opcional) y el operador is not equal to.

4. Seleccione Elegir un valor de nuevo para acceder al cuadro de diálogo Agregar contenido dinámico.

5. Seleccione la pestaña Expresión y la función NULL.

Por ejemplo:

Contenido dinámico: trabajar con detalles personalizados

El campo dinámico Alert custom details (Detalles personalizados de alerta), disponible en el desencadenador de incidentes, es una matriz de objetos JSON, cada uno de los cuales representa un detalle personalizado de una alerta. Detalles personalizados son pares clave-valor que permiten exponer información de eventos de la alerta para que se puedan representar, realizar un seguimiento y analizarlos como parte del incidente.

Puesto que este campo de la alerta es personalizable, su esquema depende del tipo de evento que se va a exponer. Proporcione datos de una instancia de este evento para generar el esquema que determina cómo se analiza el campo de detalles personalizados.

Por ejemplo:

En estos pares clave-valor:

• La clave, en la columna izquierda, representa los campos personalizados que cree.
• El valor, en la columna derecha, representa los campos de los datos del evento que rellenan los campos personalizados.

Proporcione el siguiente código JSON para generar el esquema. El código muestra los nombres de clave como matrices y los valores como elementos de las matrices. Los valores se muestran como valores reales, no como la columna que contiene los valores.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Para usar campos personalizados para desencadenadores de incidentes:

1. Agregue un nuevo paso mediante la acción integrada Analizar JSON. Escriba "parse json" en el campo Buscar para encontrarlo si es necesario.

2. Busque y seleccione Alert custom details (Detalles personalizados de alerta) en la lista Contenido dinámico, en el desencadenador de incidentes. Por ejemplo:

   

   Esto crea un Para cada bucle, ya que un incidente contiene una matriz de alertas.

3. Seleccione el vínculo Usar una carga de ejemplo para generar el esquema. Por ejemplo:

   

4. Proporcione una carga de ejemplo. Por ejemplo, puede encontrar una carga de ejemplo buscando en Log Analytics otra instancia de esta alerta y copiando el objeto de detalles personalizado, que se encuentra en Propiedades extendidas. Acceda a los datos de Log Analytics en la página Registros de Azure Portal o en la página Búsqueda avanzada en el portal de Defender. En la captura de pantalla siguiente, se usa el código JSON mostrado anteriormente.

   

Los campos personalizados están listos para usarse como campos dinámicos de tipo Matriz. Por ejemplo, en la captura de pantalla siguiente se muestra una matriz y sus elementos, tanto en el esquema como en la lista que aparece en Contenido dinámico, que se describe en esta sección:

Administración de los cuadernos de estrategias

Seleccione la pestaña Cuadernos de estrategias activos> de Automation para ver todos los cuadernos de estrategias a los que tiene acceso, filtrados por la vista de suscripción.

Después de incorporar a la plataforma de operaciones de seguridad unificadas, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, edite las suscripciones que se muestran en el menú Directorio y suscripción en el encabezado de página global de Azure.

Si bien la pestaña Cuadernos de estrategias activos muestra todos los libros de estrategias activos disponibles en las suscripciones seleccionadas, de forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.

En la pestaña Cuadernos de estrategias activos se muestran los cuadernos de estrategias con los detalles siguientes:

Nombre de la columna	Descripción
Estado	Indica si el cuaderno de estrategias está habilitado o deshabilitado.
Plan	Indica si el cuaderno de estrategias usa el tipo de recurso de Azure Logic Apps Estándar o Consumo. Los cuadernos de estrategias del tipo Estándar usan la convención de nomenclatura de LogicApp/Workflow, que refleja cómo un cuaderno de estrategias estándar representa un flujo de trabajo que existe junto con otros flujos de trabajo en una sola aplicación lógica. Para más información, consulte Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel.
Tipo de desencadenador	Indica el desencadenador de Azure Logic Apps que inicia este cuaderno de estrategias: - Incidente/alerta/entidad de Microsoft Sentinel: el cuaderno de estrategias se inicia con uno de los desencadenadores de Sentinel, incluido el incidente, la alerta o la entidad - Uso de la acción de Microsoft Sentinel: el cuaderno de estrategias se inicia con un desencadenador que no es de Microsoft Sentinel, pero usa una acción de Microsoft Sentinel - Otro: el cuaderno de estrategias no incluye ningún componente de Microsoft Sentinel - No inicializado: se creó el cuaderno de estrategias, pero no contiene componentes, ni desencadena ninguna acción.

Seleccione un cuaderno de estrategias para abrir su página de Azure Logic Apps, que muestra más detalles sobre el cuaderno de estrategias. En la página Azure Logic Apps:

• Ver un registro de todas las veces que se ejecutó el cuaderno de estrategias
• Ver los resultados de la ejecución, incluidos los éxitos y los errores y otros detalles
• Si tiene los permisos pertinentes, abra el diseñador de flujos de trabajo en Azure Logic Apps para editar el cuaderno de estrategias directamente

Contenido relacionado

Una vez creado el cuaderno de estrategias, adjunte a las reglas que desencadenarán los eventos de su entorno o ejecute los cuadernos de estrategias manualmente en incidentes, alertas o entidades específicos.

Para más información, vea:

• Automatizar y ejecutar cuadernos de estrategias de Microsoft Sentinel
• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Usar un cuaderno de estrategias de Microsoft Sentinel para detener a los usuarios potencialmente comprometidos