Compartir a través de


Automatización en Microsoft Sentinel: orquestación de seguridad, automatización y respuesta (SOAR)

Los equipos de administración de eventos e información de seguridad (SIEM) y del centro de operaciones de seguridad (SOC) normalmente se inundan con alertas de seguridad e incidentes de forma periódica, en volúmenes tan grandes que el personal disponible está sobrecargado. Esto genera, con demasiada frecuencia, situaciones en las que se ignoran muchas alertas y no se pueden investigar muchos incidentes, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.

Microsoft Sentinel, además de ser un sistema SIEM, también es una plataforma para orquestación de seguridad, automatización y respuesta (SOAR). Uno de sus objetivos principales es automatizar las tareas de enriquecimiento, respuesta y análisis recurrentes y predecibles que sean responsabilidad del centro de operaciones de seguridad y el personal (SOC/SecOps), liberando tiempo de actividad y recursos para realizar una investigación más detallada de las amenazas avanzadas y para buscarlas.

En este artículo se describen las funcionalidades SOAR de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y le ahorra tiempo y recursos.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Regalas de automatización

Microsoft Sentinel usa reglas de automatización para permitir a los usuarios administrar la automatización del control de incidentes desde una ubicación central. Use reglas de automatización para:

  • Asignar automatización más avanzada a incidentes y alertas mediante cuadernos de estrategias
  • Etiquetar, asignar o cerrar incidentes automáticamente sin un cuaderno de estrategias
  • Automatización de respuestas para varias reglas de análisis a la vez
  • Crear listas de tareas para que los analistas realicen al evaluar, investigar y corregir incidentes
  • Controlar el orden de las acciones que se ejecutan

Se recomienda aplicar reglas de automatización cuando se creen o actualicen incidentes para simplificar aún más la automatización y simplificar los flujos de trabajo complejos para los procesos de orquestación de incidentes.

Para obtener más información, consulte Automatizar la respuesta ante amenazas en Microsoft Sentinel con reglas de automatización.

Playbooks

Un cuaderno de estrategias es una colección de acciones y lógica de respuesta y corrección que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede:

  • Ayudar a automatizar y organizar la respuesta a amenazas
  • Integrar con otros sistemas, tanto internos como externos
  • Debe configurarse para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, o bien ejecutar manualmente a petición, como en respuesta a nuevas alertas

Los cuadernos de estrategias en Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la eficacia y la personalización de las funciones de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como el grado de escalabilidad, confiabilidad y servicio del nivel 1 de Azure.

Para obtener más información, vea Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Automatización en el portal de Microsoft Defender

Después de incorporar el área de trabajo de Microsoft Sentinel al portal de Defender, tenga en cuenta las siguientes diferencias en la forma en que funcionan la automatización en el área de trabajo:

Funcionalidad Descripción
Reglas de automatización con desencadenadores de alertas En el portal de Defender, las reglas de automatización con desencadenadores de alerta solo actúan en alertas de Microsoft Sentinel.

Para obtener más información, consulte Desencadenador de creación de alertas.
Reglas de automatización con desencadenadores de incidentes Tanto en Azure Portal como en el portal de Defender, se quita la propiedad condicional del Proveedor de incidentes, ya que todos los incidentes tienen Microsoft Defender XDR como proveedor de incidentes (el valor del campo ProviderName).

En ese momento, las reglas de automatización existentes se ejecutan en incidentes de Microsoft Sentinel y Microsoft Defender XDR, incluidos aquellos en los que la condición Proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender.

Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutan en incidentes que contienen alertas creadas por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición Nombre de regla analítica en una regla de análisis que solo existe en Microsoft Sentinel para limitar la ejecución de la regla en incidentes de Microsoft Sentinel.

Para obtener más información, consulte Condiciones del desencadenador de incidentes.
Cambios en los nombres de incidente existentes El portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo al portal de Defender, es posible que se cambien los nombres de incidentes existentes si se aplica la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar usar títulos de incidentes como criterios de condición en las reglas de automatización y sugerir en su lugar que usen el nombre de cualquier regla de análisis que haya creado alertas incluidas en el incidente y etiquetas si se requiere más especificidad.
Campo Actualizado por
  • Después de incorporar el área de trabajo, el campo Actualizado por tiene un nuevo conjunto de valores admitidos, que ya no incluyen Microsoft 365 Defender. En las reglas de automatización existentes, Microsoft 365 Defender se reemplaza por un valor de Otrodespués de incorporar el área de trabajo.

  • Si se realizan varios cambios en el mismo incidente en un período de 5 a 10 minutos, se envía una única actualización a Microsoft Sentinel, con solo el cambio más reciente.

    Para obtener más información, consulte Desencadenador de actualización de incidentes.
  • Reglas de automatización que agregan tareas de incidentes Si una regla de automatización agrega una tarea de incidentes, la tarea solo se muestra en Azure Portal.
    Reglas de creación de incidentes de Microsoft Las reglas de creación de incidentes de Microsoft no se admiten en el portal de Defender.

    Para obtener más información, consulte Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft.
    Ejecutar reglas de automatización desde el portal de Defender Podrían pasar hasta 10 minutos desde el momento en que se desencadene una alerta y se cree o actualice un incidente en el portal de Defender hasta cuando se ejecute una regla de automatización. Este retraso temporal se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización.
    Pestaña de cuadernos de estrategias activos Después de la incorporación al portal de Defender, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción.

    Para más información, consulte Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido.
    Ejecución manual de cuadernos de estrategias a petición Actualmente no se admiten los procedimientos siguientes en el portal de Defender:
  • Ejecución manual de un cuaderno de estrategias en una alerta
  • Ejecución manual de un cuaderno de estrategias en una entidad
  • Ejecutar cuadernos de estrategias en incidentes requiere de la sincronización de Microsoft Sentinel Si intenta ejecutar un cuaderno de estrategias en un incidente desde el portal de Defender y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos"., significa que el incidente aún no está sincronizado con Microsoft Sentinel.

    Actualice la página del incidente después de sincronizarlo para ejecutar el cuaderno de estrategias correctamente.
    Incidentes: Agregar alertas a incidentes/
    Eliminación de alertas de incidentes
    Dado que no se admite la adición de alertas o la eliminación de alertas de incidentes después de incorporar el área de trabajo al portal de Defender, estas acciones tampoco se admiten desde los cuadernos de estrategias. Para obtener más información, consulte Diferencias de funcionalidad entre los portales.