Respuestas automatizadas de Microsoft Sentinel

Microsoft Sentinel es una solución escalable basada en la nube para la administración de eventos e información de seguridad (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR). Ofrece análisis de seguridad inteligente para organizaciones de todos los tamaños y proporciona las siguientes funcionalidades y mucho más:

• Detección de ataques empresariales
• Búsqueda proactiva
• Respuesta automatizada a incidentes

La respuesta a amenazas en Microsoft Sentinel se administra a través de cuadernos de estrategias. Cuando se desencadena mediante una alerta o incidente, un cuaderno de estrategias ejecuta una serie de acciones automatizadas para contrarrestar la amenaza. Estos cuadernos de estrategias se crean mediante Azure Logic Apps.

Microsoft Sentinel proporciona cientos de cuadernos de estrategias listos para usar, incluidos los cuadernos de estrategias para los escenarios siguientes:

• Bloquear un usuario de Microsoft Entra
• Bloqueo de un usuario de Microsoft Entra basado en el rechazo por correo electrónico
• Publicar un mensaje en un canal de Microsoft Teams sobre un incidente o alerta
• Publicar un mensaje en Slack
• Enviar un correo electrónico con detalles de incidentes o alertas
• Enviar un correo electrónico con un informe de incidentes con formato
• Determinar si un usuario de Microsoft Entra está en riesgo
• Envío de una tarjeta adaptable a través de Microsoft Teams para determinar si un usuario está en peligro
• Aislamiento de un punto de conexión mediante Microsoft Defender para punto de conexión

En este artículo se incluye un ejemplo de implementación de un cuaderno de estrategias que responde a una amenaza bloqueando a un usuario de Microsoft Entra que está en peligro por actividad sospechosa.

Posibles casos de uso

Las técnicas descritas en este artículo se aplican siempre que necesite implementar una respuesta automática a una condición detectable.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

Este flujo de trabajo muestra los pasos para implementar el cuaderno de estrategias. Asegúrese de que se cumplen los requisitos previos antes de empezar. Por ejemplo, debe elegir un usuario de Microsoft Entra.

1. Siga los pasos descritos en Envío de registros a Azure Monitor para configurar Microsoft Entra ID para que envíe registros de auditoría al área de trabajo de Log Analytics que se usa con Microsoft Sentinel.

   Nota:

   Esta solución no usa los registros de auditoría, pero puede usarlos para investigar lo que sucede cuando el usuario está bloqueado.

2. Microsoft Entra ID Protection genera las alertas que desencadenan la ejecución del cuaderno de estrategias de respuesta a amenazas. Para que Microsoft Sentinel recopile las alertas, vaya a la instancia de Microsoft Sentinel y seleccione Conectores de datos. Busque Microsoft Entra ID Protection y habilite la recopilación de alertas. Para más información sobre Identity Protection, consulte Qué es Identity Protection.

3. Instale el explorador ToR en un equipo o máquina virtual que pueda usar sin poner en riesgo la seguridad de TI.

4. Use el Explorador Tor para iniciar sesión de forma anónima en Mis aplicaciones como el usuario que seleccionó para esta solución. Consulte Dirección IP anónima para obtener instrucciones sobre cómo usar el explorador Tor para simular direcciones IP anónimas.

5. Microsoft Entra autentica al usuario.

6. Protección de id. de Microsoft Entra detecta que el usuario usó un explorador ToR para iniciar sesión de forma anónima. Este tipo de inicio de sesión es una actividad sospechosa que pone al usuario en riesgo. Identity Protection envía una alerta a Microsoft Sentinel.

7. Configure Microsoft Sentinel para crear un incidente a partir de la alerta. Consulte Creación automática de incidentes a partir de alertas de seguridad de Microsoft para obtener información sobre cómo hacerlo. La plantilla de regla de análisis de seguridad de Microsoft que se va a usar es Crear incidentes basados en alertas de Microsoft Entra ID Protection.

8. Cuando Microsoft Sentinel desencadena un incidente, el cuaderno de estrategias responde con acciones que bloquean al usuario.

Componentes

• Microsoft Sentinel es una solución SIEM y SOAR nativa de la nube. Usa análisis avanzados de inteligencia artificial y seguridad para detectar y dar respuesta a amenazas en la empresa. Hay muchos cuadernos de estrategias en Microsoft Sentinel que puede usar para automatizar las respuestas y proteger el sistema.
• Microsoft Entra ID es un servicio de administración de identidades y directorios basado en la nube que combina los servicios de directorio principales, la administración del acceso a aplicaciones y la protección de identidades en una única solución. Puede sincronizarse con directorios locales. El servicio de identidad proporciona un inicio de sesión único, autenticación multifactor y acceso condicional para protegerse contra los ataques de ciberseguridad. La solución que se muestra en este artículo usa Microsoft Entra Identity Protect para detectar actividades sospechosas por parte de un usuario.
• Logic Apps es un servicio en la nube sin servidor que permite crear y ejecutar flujos de trabajo automatizados que integren aplicaciones, datos, servicios y sistemas. Los desarrolladores pueden usar un diseñador visual para programar y organizar flujos de trabajo de tareas comunes. Logic Apps incluye conectores para muchos servicios en la nube conocidos, productos locales u otras aplicaciones de software como servicio. En esta solución, Logic Apps ejecuta el cuaderno de estrategias de respuesta a amenazas.

Consideraciones

• El marco de buena arquitectura de Azure es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
• Microsoft Sentinel ofrece más de 50 cuadernos de estrategias que están listos para su uso. Puede encontrarlos en la pestaña Plantillas de cuaderno de estrategias de la página Microsoft Sentinel|Automatización del área de trabajo.
• GitHub tiene una variedad de cuadernos de estrategias de Microsoft Sentinel creados por la comunidad.

Implementación de este escenario

Puede implementar este escenario mediante los pasos descritos en la sección Flujo de trabajo después de asegurarse de que se cumplen los requisitos previos.

Prerrequisitos

• Preparación del software y elección de un usuario de prueba
• Implementación del cuaderno de estrategias

Preparación del software y elección de un usuario de prueba

Para implementar y probar el cuaderno de estrategias, necesita Azure y Microsoft Sentinel junto con lo siguiente:

• Una licencia de Microsoft Entra ID Protection (Premium P2, E3 o E5).
• Un usuario de Microsoft Entra. Puede usar un usuario existente o crear uno nuevo. Si crea un nuevo usuario, puede eliminarlo cuando termine de usarlo.
• Un equipo o máquina virtual que pueda ejecutar un explorador ToR. Usará el explorador para iniciar sesión en el portal de Mis aplicaciones como usuario de Microsoft Entra.

Implementación del cuaderno de estrategias

Para implementar un cuaderno de estrategias de Microsoft Sentinel, siga estos pasos:

• Si no tiene un área de trabajo de Log Analytics que se va a usar para este ejercicio, cree una nueva de la siguiente manera:
  • Vaya a la página principal de Microsoft Sentinel y seleccione + Crear para ir a la página Agregar Microsoft Sentinel a un área de trabajo.
  • Seleccione Crear área de trabajo. Siga las instrucciones para crear el área de trabajo. Poco después, se crea el área de trabajo.
• En este momento, tiene un área de trabajo, quizás una que acaba de crear. Siga estos pasos para ver si Microsoft Sentinel se ha agregado a ella y agregarlo si no:
  • Vaya a la página principal de Microsoft Sentinel.
  • Si Microsoft Sentinel ya se ha agregado al área de trabajo, el área de trabajo aparece en la lista mostrada. Si aún no se ha agregado, agréguelo como se indica a continuación.
    • Seleccione + Crear para ir a la página Agregar Microsoft Sentinel a un área de trabajo.
    • Seleccione el área de trabajo en la lista mostrada y, a continuación, seleccione Agregar en la parte inferior de la página. Después de un corto tiempo, Microsoft Sentinel se agrega al área de trabajo.
• Cree un cuaderno de estrategias, como se indica a continuación:
  • Vaya a la página principal de Microsoft Sentinel. Seleccione su área de trabajo. Seleccione Automation en el menú de la izquierda para ir a la página Automation. La página del área de trabajo tiene tres pestañas:
  • Seleccione la pestaña Plantillas del cuaderno de estrategias (versión preliminar).
  • En el campo de búsqueda, escriba Bloquear usuario de Microsoft Entra: Incidente.
  • En la lista de cuadernos de estrategias, seleccione Bloquear usuario de Microsoft Entra: Incidente y, a continuación, seleccione Crear cuaderno de estrategias en la esquina inferior derecha para ir a la página Crear reproducción.
  • En la página Create cuaderno de estrategias, realice los pasos siguientes:
    • Seleccione los valores de Suscripción, Grupo de recursos y Región en las listas.
    • Escriba un valor para Nombre del cuaderno de estrategias si no desea usar el nombre predeterminado que aparece.
    • Si lo desea, seleccione Habilitar los registros de diagnóstico en Log Analytics para habilitar los registros.
    • Deje desactivada la casilla Asociar con el entorno del servicio de integración.
    • Deje el entorno del servicio de integración vacío.
  • Seleccione Siguiente: Conexiones> para ir a la pestaña Conexiones de Crear cuaderno de estrategias.
  • Elija cómo autenticarse en los componentes del cuaderno de estrategias. Es necesaria la autenticación para:
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    Nota:

    Puede autenticar los recursos durante la personalización del cuaderno de estrategias en el recurso de aplicación lógica si desea habilitarlos más adelante. Para autenticar los recursos anteriores en este momento, necesita permisos para actualizar un usuario en Microsoft Entra ID y el usuario debe tener acceso a un buzón de correo electrónico y debe poder enviar correos electrónicos.

  • Seleccione Siguiente: Revisar y crear > para ir a la pestaña Revisar y crear de Crear cuaderno de estrategias.
  • Seleccione Crear y continuar con el diseñador para crear el cuaderno de estrategias y acceder a la página del diseñador de aplicaciones lógicas.

Para más información sobre la creación de aplicaciones lógicas, consulte Qué es Azure Logic Apps e Inicio rápido: Creación y administración de definiciones de flujo de trabajo de aplicaciones lógicas.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Rudnei Oliveira | Ingeniero sénior de seguridad de Azure

Otros colaboradores:

• Andrew Nathan | Director de ingeniería de clientes sénior
• Lavanya Kasturi | Escritor técnico

Pasos siguientes

• Información general de Azure Cloud Services
• ¿Qué es Microsoft Sentinel?
• Orquestación de seguridad, automatización y respuesta (SOAR) en Microsoft Sentinel.
• Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
• ¿Qué es Microsoft Entra ID?
• ¿Qué es Identity Protection?
• Simulación de detecciones de riesgo en Identity Protection
• ¿Qué es Azure Logic Apps?
• Tutorial: Creación de flujos de trabajo automatizados basados en aprobación mediante Azure Logic Apps
• Introducción a Microsoft Sentinel

Recursos relacionados

• Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel
• Supervisión de la seguridad híbrida mediante Microsoft Defender for Cloud y Microsoft Sentinel
• Diseño de arquitectura de seguridad