Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Uno de los factores más importantes para ejecutar las operaciones de seguridad (SecOps) de forma eficaz y eficaz es la estandarización de los procesos. Se espera que los analistas de SecOps realicen una lista de pasos o tareas en el proceso de triaging, investigación o corrección de un incidente. Estandarizar y formalizar la lista de tareas puede ayudar a mantener el SOC funcionando sin problemas, lo que garantiza que se aplican los mismos requisitos a todos los analistas. De este modo, independientemente de quién esté de turno, un incidente siempre recibirá el mismo tratamiento y acuerdos de nivel de servicio. Los analistas no tendrán que dedicar tiempo a pensar en qué hacer ni preocuparse por perder un paso crítico. Estos pasos los definen el administrador de SOC o los analistas sénior (nivel 2/3) en función de los conocimientos de seguridad comunes (como NIST), su experiencia con incidentes anteriores o las recomendaciones proporcionadas por el proveedor de seguridad que detectó el incidente.
Casos de uso
Los analistas de SOC pueden usar una única lista de comprobación central para controlar los procesos de evaluación de incidentes, investigación y respuesta, todo ello sin preocuparse de que falte un paso crítico.
Los ingenieros de SOC o los analistas sénior pueden documentar, actualizar y alinear los estándares de respuesta a incidentes en los equipos y los turnos de los analistas. También pueden crear listas de comprobación de tareas para entrenar a nuevos analistas o analistas que encuentren nuevos tipos de incidentes.
Como administrador de SOC o como MSSP, puede asegurarse de que los incidentes se controlan de acuerdo con los ACUERDOs de Nivel de Servicio/SOP pertinentes.
Requisitos previos
El rol respondedor de Microsoft Sentinel es necesario para crear reglas de automatización y para ver y editar incidentes, que son necesarios para agregar, ver y editar tareas.
El rol Colaborador de Logic Apps es necesario para crear y editar cuadernos de estrategias.
Escenarios
Analista
Siga las tareas al controlar un incidente.
Al seleccionar un incidente y ver los detalles completos, en la página de detalles del incidente verá en el panel derecho todas las tareas que se han agregado a ese incidente, ya sea manualmente o mediante reglas de automatización.
Expanda una tarea para ver su descripción completa, incluido el usuario, la regla de automatización o el cuaderno de estrategias que la creó.
Marque una tarea completa seleccionando su círculo de "casilla".
Adición de tareas a un incidente en el lugar
Puede agregar tareas a un incidente abierto en el que está trabajando, ya sea para proporcionarle recordatorios de las acciones que ha detectado que necesita realizar o para registrar las acciones que ha realizado por iniciativa propia que no aparecen en la lista de tareas. Las tareas agregadas de esta manera solo se aplicarán al incidente abierto.
Creador de flujo de trabajo
Adición de tareas a incidentes con reglas de automatización
Use la acción Agregar tarea en las reglas de automatización para proporcionar automáticamente todos los incidentes con una lista de comprobación de tareas para los analistas. Establezca la condición de nombre de regla de Analytics en la regla de automatización para determinar el ámbito:
Aplique la regla de automatización a todas las reglas de análisis para definir un conjunto estándar de tareas que se aplicarán a todos los incidentes.
Al aplicar la regla de automatización a un conjunto limitado de reglas de análisis, puede asignar tareas específicas a incidentes concretos, de acuerdo con las amenazas detectadas por la regla de análisis o las reglas que generaron esos incidentes.
Tenga en cuenta que el orden en el que aparecen las tareas en el incidente viene determinado por el tiempo de creación de las tareas. Puede establecer el orden de las reglas de automatización para que las reglas que agregan las tareas necesarias para todos los incidentes se ejecuten primero y solo después las reglas que agreguen las tareas necesarias para los incidentes generados por reglas de análisis específicas. Dentro de una sola regla, el orden en el que se definen las acciones rige el orden en que aparecen en un incidente.
Vea qué incidentes están cubiertos por las reglas y tareas de automatización existentes, antes de crear una nueva regla de automatización.
Use el filtro Acción de la lista Reglas de automatización para ver solo las reglas que agregan tareas a incidentes y ver a qué reglas de análisis se aplican esas reglas de automatización, para comprender a qué incidentes se agregarán esas tareas.
Adición de tareas a incidentes con cuadernos de estrategias
Use la acción Agregar tarea en un cuaderno de estrategias (en el conector de Microsoft Sentinel) para agregar automáticamente una tarea al incidente que desencadenó el cuaderno de estrategias.
A continuación, use otras acciones del cuaderno de estrategias(en sus respectivos conectores de Logic Apps) para completar el contenido de la tarea.
Por último, use la acción Marcar como completada (de nuevo en el conector de Microsoft Sentinel) para marcar automáticamente la tarea completada.
Considere los siguientes escenarios como ejemplos:
Deje que los cuadernos de estrategias agreguen y completen tareas: Cuando se crea un incidente, desencadenará un cuaderno de estrategias que haga lo siguiente:
- Agrega una tarea al incidente para restablecer la contraseña de un usuario.
- Realiza la tarea mediante la emisión de una llamada API al sistema de aprovisionamiento de usuarios para restablecer la contraseña del usuario.
- Espera una respuesta del sistema en cuanto al éxito o error del restablecimiento.
- Si el restablecimiento de contraseña se realizó correctamente, el cuaderno de estrategias marca la tarea que acaba de crear en el incidente como completada.
- Si se produjo un error en el restablecimiento de contraseña, el cuaderno de estrategias no marcará la tarea como completada, lo que la dejará a un analista para que la realice.
Deje que el cuaderno de estrategias evalúe si se deben agregar tareas condicionales: Cuando se crea un incidente, desencadenará un cuaderno de estrategias que solicita un informe de dirección IP desde un origen de inteligencia sobre amenazas externo.
- Si la dirección IP es malintencionada, el cuaderno de estrategias agrega una tarea determinada (por ejemplo, "Bloquear esta dirección IP").
- De lo contrario, el cuaderno de estrategias no realiza ninguna acción adicional.
¿Usa reglas de automatización o cuadernos de estrategias para agregar tareas?
¿Qué consideraciones deben dictar cuál de estos métodos se debe usar para crear tareas de incidentes?
- Reglas de automatización: se usan siempre que sea posible. Use para tareas estáticas sin formato que no requieran interactividad.
- Cuadernos de estrategias: use para casos de uso avanzados: la creación de tareas basadas en condiciones o de tareas con acciones automatizadas integradas.
Pasos siguientes
- Obtenga información sobre cómo los analistas pueden usar tareas para controlar el flujo de trabajo de incidentes en Microsoft Sentinel.
- Obtenga más información sobre la investigación de incidentes en Microsoft Sentinel.
- Obtenga información sobre cómo agregar tareas a grupos de incidentes automáticamente mediante reglas de automatización o cuadernos de estrategias.
- Obtenga más información sobre las reglas de automatización y cómo crearlas.
- Obtenga más información sobre los cuadernos de estrategias y cómo crearlos.