Crear y administrar cuadernos de estrategias de Microsoft Sentinel
Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Sentinel en respuesta a un incidente completo, a una alerta individual o a una entidad específica. Un cuaderno de estrategias puede ayudar a automatizar y organizar la respuesta, y se puede adjuntar a una regla de automatización para ejecutarse automáticamente cuando se generan alertas específicas o cuando se crean o actualizan incidentes. Los cuadernos de estrategias también se pueden ejecutar manualmente a petición en incidentes, alertas o entidades específicos.
En este artículo se describe cómo crear y administrar cuadernos de estrategias de Microsoft Sentinel. Posteriormente, puede adjuntar estos cuadernos de estrategias a reglas de análisis o reglas de automatización, o ejecutarlos manualmente en incidentes, alertas o entidades específicos.
Nota:
Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Se pueden aplicar cargos adicionales. Para más información, visite la página de precios de Azure Logic Apps.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Una cuenta y una suscripción de Azure. Si aún no tiene una, regístrese para obtener una cuenta de Azure gratuita.
Para crear y administrar cuadernos de estrategias, necesita acceso a Microsoft Sentinel con uno de los siguientes roles de Azure:
Aplicación lógica Roles de Azure Descripción Consumo Colaborador de aplicación lógica Edite y administre las aplicaciones lógicas. Consumo Operador de aplicación lógica Lea, habilite y deshabilite las aplicaciones lógicas. Estándar Operador estándar de Logic Apps Habilite, vuelva a enviar y deshabilite los flujos de trabajo. Estándar Desarrollador de Logic Apps Estándar Crear y editar flujos de trabajo. Estándar Colaborador estándar de Logic Apps Administrar todos los aspectos de un flujo de trabajo. Para más información, consulte la siguiente documentación:
Se recomienda leer Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel.
Crear un cuaderno de estrategias
Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:
En Azure Portal o en el portal de Defender, vaya al área de trabajo de Microsoft Sentinel. En el menú del área de trabajo, en Configuración, seleccioneAutomatización.
En el menú superior, seleccione Crear y, a continuación, seleccione una de las siguientes opciones:
Si va a crear un cuaderno de estrategias consumo, seleccione una de las siguientes opciones, en función del desencadenador que quiera usar y, a continuación, siga los pasos descritos en la pestaña Consumo de Logic Apps a continuación:
- Cuaderno de estrategias con desencadenador de incidentes
- Cuaderno de estrategias con desencadenador de alertas
- Cuaderno de estrategias con desencadenador de entidad
Esta guía continúa con el cuaderno de estrategias con el desencadenador de entidad.
Si va a crear un cuaderno de estrategias Estándar, seleccione Cuaderno de estrategias en blanco y, a continuación, siga los pasos del tipo de aplicación lógica estándar.
Para obtener más información, consulte Tipos de aplicación lógica compatibles y Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.
Prepare la aplicación lógica del cuaderno de estrategias
Seleccione una de las pestañas siguientes para obtener más información sobre cómo crear una aplicación lógica para el cuaderno de estrategias, en función de si usa un flujo de trabajo Consumo o Estándar. Para obtener más información, consulte Tipos de aplicación lógica compatibles.
Sugerencia
Si los cuadernos de estrategias necesitan acceso a recursos protegidos que están dentro o conectados a una red virtual de Azure, cree un flujo de trabajo de aplicación lógica estándar.
Por ejemplo, los flujos de trabajo estándar admiten el uso de puntos de conexión privados para el tráfico entrante para que los flujos de trabajo puedan comunicarse de forma privada y segura con redes virtuales. Los flujos de trabajo estándar también admiten la integración de red virtual para el tráfico saliente. Para obtener más información, consulte Proteger el tráfico entre redes virtuales y Azure Logic Apps de un solo inquilino mediante puntos de conexión privados.
Después de seleccionar el desencadenador, que incluye un incidente, una alerta o un desencadenador de entidad, aparece el Asistente para crear cuaderno de estrategias, por ejemplo:
Siga estos pasos para crear el cuaderno de estrategias:
En la pestaña Básico, especifique la siguiente información:
En Suscripción y Grupo de recursos, seleccione los valores que desee en sus listas respectivas.
El valor región se establece en la misma región que el área de trabajo de Log Analytics asociada.
Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.
Para supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, seleccione Habilitar registros de diagnóstico en Log Analyticsy, a continuación, seleccione un área de trabajo de Log Analytics a menos que ya haya seleccionado un área de trabajo.
Seleccione Siguiente: Conexiones>.
En la pestaña Conexiones, se recomienda dejar los valores predeterminados, configurando una aplicación lógica para conectarse a Microsoft Sentinel con identidad administrada.
Para obtener más información, consulte Autenticar cuadernos de estrategias en Microsoft Sentinel.
Seleccione Siguiente: Revisar y crear > para continuar.
En la pestaña Revisar y crear, revise las opciones de configuración y seleccione Crear cuaderno de estrategias.
Azure tarda unos minutos en crear e implementar el cuaderno de estrategias. Una vez completada la implementación, el cuaderno de estrategias se abre en el Diseñador de flujos de trabajo de consumo para Azure Logic Apps. El desencadenador que seleccionó anteriormente aparece automáticamente como primer paso del flujo de trabajo, por lo que ahora puede seguir compilando el flujo de trabajo desde aquí.
En el diseñador, seleccione el desencadenador de Microsoft Sentinel, si aún no está seleccionado.
En el panel Crear conexión, siga estos pasos para proporcionar la información necesaria para conectarse a Microsoft Sentinel.
En Autenticación, seleccione entre los métodos siguientes, que afectan a los parámetros de conexión posteriores:
Method Descripción OAuth Open Authorization (OAuth) es un estándar de tecnología que permite autorizar a una aplicación o servicio a iniciar sesión en otra sin exponer información privada, como contraseñas. OAuth 2.0 es el protocolo del sector para la autorización y concede acceso limitado a los recursos protegidos. Para obtener más información, consulte los siguientes recursos:
- ¿Qué es OAuth?
- Autorización de OAuth 2.0 con identificador de Microsoft EntraEntidad de servicio Una entidad de servicio representa una entidad que requiere acceso a los recursos protegidos por un inquilino de Microsoft Entra. Para más información, vea Entidad de servicio. Identidad administrada Una identidad que se administra automáticamente en Microsoft Entra ID. Las aplicaciones pueden usar esta identidad para acceder a los recursos que admiten la autenticación de Microsoft Entra y para obtener tokens de Microsoft Entra sin tener que administrar credenciales.
Para una seguridad óptima, Microsoft recomienda usar una identidad administrada para la autenticación siempre que sea posible. Esta opción proporciona una seguridad superior y ayuda a mantener segura la información de autenticación para que no tengas que gestionar esta información sensible. Para obtener más información, consulte los siguientes recursos:
- ¿Qué son las identidades administradas de recursos de Azure?
- Autenticación del acceso y las conexiones a recursos de Azure con identidades administradas en Azure Logic Apps.Para más información, consulte Métodos de autenticación.
En función de la opción de autenticación seleccionada, proporcione los valores de parámetro necesarios para la opción correspondiente.
Para obtener más información sobre estos parámetros, consulte Referencia del conector de Microsoft Sentinel.
En Id. de inquilino, seleccione el identificador de inquilino de Microsoft Entra.
Cuando termine, seleccione Guardar.
Si eligió previamente cuaderno de estrategias con desencadenadorde entidad, seleccione el tipo de entidad que desea que este cuaderno de estrategias reciba como entrada.
Solicitudes de autenticación
Al agregar un desencadenador o una acción posterior que requiera autenticación, es posible que se le pida que elija entre los tipos de autenticación disponibles admitidos por el proveedor de recursos correspondiente. En este ejemplo, un desencadenador de Microsoft Sentinel es la primera operación que se agrega al flujo de trabajo. Por lo tanto, el proveedor de recursos es Microsoft Sentinel, que admite varias opciones de autenticación. Para más información, consulte la siguiente documentación:
- Autenticación de cuadernos de estrategias en Microsoft Sentinel
- Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel
Agregar acciones al cuaderno de estrategias
Ahora que tiene un flujo de trabajo para el cuaderno de estrategias, defina lo que sucede cuando llame al cuaderno de estrategias. Agregue acciones, condiciones lógicas, bucles o condiciones de cambio de mayúsculas y minúsculas; para ello, seleccione el signo más (+) en el diseñador. Para obtener más información, consulte Compilación de un flujo de trabajo con un desencadenador o acciones.
Esta selección abre el panel Agregar una acción donde puede examinar o buscar servicios, aplicaciones, sistemas, acciones de flujo de control, etc. Después de escribir los términos de búsqueda o seleccionar el recurso que desee, la lista de resultados muestra las acciones disponibles.
En cada acción, al seleccionar dentro de un campo, obtendrá las siguientes opciones:
Contenido dinámico (icono de rayo): elija entre una lista de salidas disponibles de las acciones anteriores en el flujo de trabajo, incluido el desencadenador de Microsoft Sentinel. Por ejemplo, estas salidas pueden incluir los atributos de una alerta o incidente que se haya pasado al libro de jugadas, incluidos los valores y atributos de todas las entidades mapeadas y detalles personalizados de la alerta o incidente. Puede agregar referencias a la acción actual seleccionando estas salidas.
Para ver ejemplos que muestran el uso de contenido dinámico, consulte las secciones siguientes:
Editor de expresiones (icono de función): elija entre una biblioteca grande de funciones para agregar más lógica al flujo de trabajo.
Para obtener más información, consulte Desencadenadores y acciones admitidos en cuadernos de estrategias de Microsoft Sentinel.
Contenido dinámico: uso de cuadernos de estrategias de entidad sin identificador de incidente
Los libros de jugadas creados con el activador de entidades de Microsoft Sentinel suelen utilizar el campo ID ARM del incidente, por ejemplo, para actualizar un incidente después de realizar una acción sobre la entidad. Si este libro de jugadas se activa en un escenario que no está relacionado con un incidente, como la caza de amenazas, no hay ID de incidente para rellenar este campo. En este caso, el campo se rellena con un valor NULL. Como resultado, es posible que el cuaderno de estrategias no se ejecute hasta completarse.
Para evitar este error, se recomienda crear una condición que compruebe si hay un valor en el campo id. de incidente antes de que el flujo de trabajo realice otras acciones. Puede recetar un conjunto diferente de acciones que se deben realizar si el campo tiene un valor NULL, debido a que el cuaderno de estrategias no se ejecuta desde un incidente.
En el flujo de trabajo, que precede a la primera acción que hace referencia al campo Id. de ARM de incidente, siga estos pasos generales para agregar una acción Condición.
En el panel Condición, en la fila de condición, seleccione el campo Elegir un valor a la izquierda y, a continuación, seleccione la opción de contenido dinámico (icono de rayo).
En la lista de contenido dinámico, en Incidente de Microsoft Sentinel, use el cuadro de búsqueda para buscar y seleccionar Id. de ARM de incidente.
Sugerencia
Si la salida no aparece en la lista, junto al nombre del desencadenador, seleccione Ver más.
En el campo central, en la lista de operadores, la selección no es igual a.
En el campo de la derecha Elegir un valor y seleccionar la opción editor de expresiones (icono de función).
En el editor, escriba NULLy seleccione Agregar.
Cuando termine, la condición tendrá un aspecto similar al ejemplo siguiente:
Contenido dinámico: trabajar con detalles personalizados
En el desencadenador de incidentes de Microsoft Sentinel, la salida de detalles personalizados de alerta es una matriz de objetos JSON donde cada uno representa un detalle personalizado de una alerta. Detalles personalizados son pares clave-valor que permiten exponer información de eventos de la alerta para que se puedan representar, realizar un seguimiento y analizarlos como parte del incidente.
Puesto que este campo de la alerta es personalizable, su esquema depende del tipo de evento que se va a exponer. Para generar el esquema que determina cómo analizar la salida de detalles personalizados, proporcione los datos de una instancia de este evento:
En el menú de navegación de Microsoft Sentinel, en Configuración, seleccione Análisis.
Sigue los pasos para crear o abrir una regla de consulta programada existente o una regla de consulta NRT.
En la pestaña Establecer lógica de regla, expanda la sección Detalles personalizados, por ejemplo:
La siguiente tabla proporciona más información sobre estos pares clave-valor:
Elemento Location Descripción Clave Columna izquierda Representa los campos personalizados que se crean. Valor Columna derecha Representa los campos de los datos del evento que rellenan los campos personalizados. Para generar el esquema, proporcione el código JSON de ejemplo siguiente:
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
El código muestra los nombres de clave como matrices y los valores como elementos de las matrices. Los valores se muestran como valores reales, no como la columna que contiene los valores.
Para usar campos personalizados para desencadenadores de incidentes, siga estos pasos para el flujo de trabajo:
En el diseñador de flujos de trabajo, en el desencadenador de incidentes de Microsoft Sentinel, agregue la acción integrada denominada Analizar JSON.
Seleccione dentro del parámetro Content de la acción y seleccione la opción de lista de contenido dinámico (icono lightning).
En la lista, en la sección desencadenador de incidentes, busque y seleccione Detalles personalizados de alerta, por ejemplo:
Esta selección añade automáticamente un bucle For each alrededor de Parse JSON porque un incidente contiene una matriz de alertas.
En el panel de información Parse JSON, selecciona Usar carga útil de muestra para generar esquema, por ejemplo:
En el cuadro Escribir o pegar una carga JSON de ejemplo, proporcione una carga de ejemplo y seleccione Listo.
Por ejemplo, puede encontrar una carga de ejemplo buscando en Log Analytics otra instancia de esta alerta y copiando el objeto de detalles personalizado, que se encuentra en Propiedades extendidas. Acceda a los datos de Log Analytics en la página Registros de Azure Portal o en la página Búsqueda avanzada en el portal de Defender.
En el ejemplo siguiente se muestra el código JSON de ejemplo anterior:
Cuando termine, el cuadro Esquema ahora contiene el esquema generado en función del ejemplo que proporcionó. La acción Analizar JSON crea campos personalizados que ahora puede usar como campos dinámicos con tipo de matriz en las acciones posteriores del flujo de trabajo.
En el ejemplo siguiente se muestra una matriz y sus elementos, tanto en el esquema como en la lista de contenido dinámico para una acción posterior denominada Compose:
Administración de los cuadernos de estrategias
Seleccione la pestaña Cuadernos de estrategias activos> de Automation para ver todos los cuadernos de estrategias a los que tiene acceso, filtrados por la vista de suscripción.
Después de incorporarse al portal de Microsoft Defender, de manera predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, edite las suscripciones que se muestran en el menú Directorio y suscripción en el encabezado de página global de Azure.
Si bien la pestaña Cuadernos de estrategias activos muestra todos los libros de estrategias activos disponibles en las suscripciones seleccionadas, de forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.
En la pestaña Cuadernos de estrategias activos se muestran los cuadernos de estrategias con los detalles siguientes:
Nombre de la columna | Descripción |
---|---|
Estado | Indica si el cuaderno de estrategias está habilitado o deshabilitado. |
Plan | Indica si el cuaderno de estrategias usa el tipo de recurso de Azure Logic Apps Estándar o Consumo. Los cuadernos de estrategias del tipo Estándar usan la convención de nomenclatura de LogicApp/Workflow , que refleja cómo un cuaderno de estrategias estándar representa un flujo de trabajo que existe junto con otros flujos de trabajo en una sola aplicación lógica. Para más información, consulte Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel. |
Tipo de desencadenador | Indica el activador en Azure Logic Apps que inicia este libro de jugadas: - Incidente/alerta/entidad de Microsoft Sentinel: el cuaderno de estrategias se inicia con uno de los desencadenadores de Sentinel, incluido el incidente, la alerta o la entidad - Uso de la acción de Microsoft Sentinel: el cuaderno de estrategias se inicia con un desencadenador que no es de Microsoft Sentinel, pero usa una acción de Microsoft Sentinel - Otro: el cuaderno de estrategias no incluye ningún componente de Microsoft Sentinel - No inicializado: se creó el cuaderno de estrategias, pero no contiene componentes, ni desencadena ninguna acción. |
Seleccione un cuaderno de estrategias para abrir su página de Azure Logic Apps, que muestra más detalles sobre el cuaderno de estrategias. En la página Azure Logic Apps:
- Ver un registro de todas las veces que se ejecutó el cuaderno de estrategias
- Ver los resultados de la ejecución, incluidos los éxitos y los errores y otros detalles
- Si tiene los permisos pertinentes, abra el diseñador de flujos de trabajo en Azure Logic Apps para editar el cuaderno de estrategias directamente
Contenido relacionado
Una vez creado el cuaderno de estrategias, adjunte a las reglas que desencadenarán los eventos de su entorno o ejecute los cuadernos de estrategias manualmente en incidentes, alertas o entidades específicos.
Para más información, vea: