Compartir a través de


Casos de uso, plantillas y ejemplos recomendados del cuaderno de estrategias

En este artículo se enumeran casos de uso de ejemplo para cuadernos de estrategias de Microsoft Sentinel, así como cuadernos de estrategias de ejemplo y plantillas de cuadernos de estrategias recomendadas.

Se recomienda empezar con los cuadernos de estrategias de Microsoft Sentinel para los siguientes escenarios de SOC, para los que proporcionamos plantillas de cuadernos de estrategias listas para usar.

Enriquecimiento: recopilación y asociación de datos a un incidente para tomar decisiones más inteligentes

Si el incidente de Microsoft Sentinel se crea a partir de una regla de alertas y análisis que genera entidades de dirección IP, configure el incidente para desencadenar una regla de automatización para ejecutar un cuaderno de estrategias y recopilar más información.

Configure el cuaderno de estrategias con los pasos siguientes:

  1. Inicie el cuaderno de estrategias cuando se cree el incidente. Las entidades representadas en el incidente se almacenan en los campos dinámicos del desencadenador de incidente.

  2. Para cada dirección IP, configure el cuaderno de estrategias para consultar un proveedor externo de inteligencia sobre amenazas, como Virus Total, para recuperar más datos.

  3. Agregue los datos devueltos y la información como comentarios del incidente para enriquecer la investigación.

Sincronización bidireccional para incidentes de Microsoft Sentinel con otros sistemas de vales

Para sincronizar los datos de incidentes de Microsoft Sentinel con un sistema de vales, como ServiceNow:

  1. Cree una regla de automatización para toda la creación de incidentes.

  2. Adjunte un cuaderno de estrategias que se desencadene cuando se cree un nuevo incidente.

  3. Configure el cuaderno de estrategias para crear un nuevo vale en ServiceNow mediante el conector de ServiceNow.

    Asegúrese de que los equipos puedan saltar fácilmente desde el vale de ServiceNow al incidente de Microsoft Sentinel mediante la configuración del cuaderno de estrategias para incluir el nombre del incidente, los campos importantes y una dirección URL al incidente de Microsoft Sentinel en el vale de ServiceNow.

Orquestación: control de la cola de incidentes desde la plataforma de chat de SOC

Si el incidente de Microsoft Sentinel se crea a partir de una regla de alertas y análisis que genera entidades de nombre de usuario y dirección IP, configure el incidente para desencadenar una regla de automatización para ejecutar un cuaderno de estrategias y ponerse en contacto con el equipo a través de los canales de comunicaciones estándar.

Configure el cuaderno de estrategias con los pasos siguientes:

  1. Inicie el cuaderno de estrategias cuando se cree el incidente. Las entidades representadas en el incidente se almacenan en los campos dinámicos del desencadenador de incidente.

  2. Configure el cuaderno de estrategias para enviar un mensaje al canal de comunicaciones de operaciones de seguridad, como en Microsoft Teams o Slack , para asegurarse de que los analistas de seguridad sean conscientes del incidente.

  3. Configure el cuaderno de estrategias para enviar toda la información de la alerta por correo electrónico al administrador de red sénior y al administrador de seguridad. El mensaje de correo electrónico incluye los botones de opción Bloquear y Omitir usuario.

  4. Configure el cuaderno de estrategias para esperar hasta que se reciba una respuesta de los administradores y, a continuación, continúe ejecutándose.

  5. Si los administradores seleccionan Bloquear, configure el cuaderno de estrategias para enviar un comando al firewall para bloquear la dirección IP de la alerta y otro en Microsoft Entra ID para deshabilitar el usuario.

Respuesta a amenazas inmediatamente con dependencias humanas mínimas

En esta sección se proporcionan dos ejemplos, que responden a las amenazas de un usuario en peligro y a una máquina en peligro.

En el caso de un usuario en peligro, como detectado por Protección de id. de Microsoft Entra:

  1. Inicie el cuaderno de estrategias cuando se cree un nuevo incidente de Microsoft Sentinel.

  2. Para cada entidad de usuario del incidente sospechoso de estar en peligro, configure el cuaderno de estrategias para:

    1. Se envía un mensaje de Teams al usuario solicitando la confirmación de que el usuario realizó la acción sospechosa.

    2. Compruebe con Protección Microsoft Entra ID para confirmar el estado del usuario como comprometido. Protección de id. de Microsoft Entra etiqueta al usuario como de riesgo y aplica cualquier directiva de cumplimiento ya configurada; por ejemplo, para requerir que el usuario use MFA al iniciar sesión siguiente.

    Nota:

    Esta acción concreta de Microsoft Entra no inicia ninguna actividad de cumplimiento en el usuario, ni tampoco inicia ninguna configuración de directiva de cumplimiento. Solo indica la protección de Microsoft Entra ID que aplique las directivas ya definidas según corresponda. Cualquier medida de cumplimiento dependerá totalmente de que se definan las directivas apropiadas en la Protección de ID de Microsoft Entra.

En el caso de una máquina en peligro, como detectada por Microsoft Defender para punto de conexión:

  1. Inicie el cuaderno de estrategias cuando se cree un nuevo incidente de Microsoft Sentinel.

  2. Configure el cuaderno de estrategias con la acción Entidades: obtener hosts para analizar las máquinas sospechosas que se incluyen en las entidades del incidente.

  3. Configure el cuaderno de estrategias para emitir un comando que Microsoft Defender para punto de conexión para aislar las máquinas de la alerta.

Responder manualmente durante una investigación o durante la búsqueda sin salir del contexto

Use el desencadenador de entidad para tomar medidas inmediatas en actores de amenazas individuales que detecte durante una investigación, de uno en uno, directamente desde dentro de la investigación. Esta opción también está disponible en el contexto de búsqueda de amenazas, sin conexión con ningún incidente determinado.

Seleccione una entidad en contexto y realice acciones en ella justo allí, ahorrando tiempo y reduciendo la complejidad.

Los cuadernos de estrategias con desencadenadores de entidad admiten acciones como:

  • Bloquear a un usuario en peligro.
  • Bloquear el tráfico procedente de una dirección IP malintencionada en el firewall.
  • Aislar un host en peligro en la red.
  • Agregar una dirección IP a una lista de seguimiento de direcciones seguras o no seguras o a la base de datos de administración de configuración externa (CMDB).
  • Obtener un informe hash de archivo de un origen de inteligencia sobre amenazas externo y agregarlo a un incidente como comentario.

En esta sección se enumeran los cuadernos de estrategias recomendados y otros cuadernos de estrategias similares están disponibles en el centro de contenido o en el repositorio de GitHub de Microsoft Sentinel.

Plantillas de cuaderno de estrategias de notificación

Los cuadernos de estrategias de notificación se activan cuando se crea una alerta o un incidente, y envían una notificación a un destino configurado:

Guía La carpeta se encuentra en
Repositorio de GitHub
Solución en el centro de contenido/
Azure Marketplace
Publicación de un mensaje en un canal de Microsoft Teams Publicar mensajes de Teams Sentinel SOAR Essentials Solution
Envío de una notificación por correo electrónico de Outlook Enviar un correo electrónico básico Sentinel SOAR Essentials Solution
Publicación de un mensaje en un canal de Slack Publicar mensajes de Slack Sentinel SOAR Essentials Solution
Enviar una tarjeta adaptable de Microsoft Teams al crear incidentes Enviar una tarjeta adaptable de Teams al crear incidentes Sentinel SOAR Essentials Solution

Bloqueo de plantillas de cuaderno de estrategias

Los cuadernos de estrategias de bloqueo se activan cuando se crea una alerta o un incidente, recopilan información de la entidad, como la cuenta, la dirección IP y el host y les impiden realizar más acciones:

Guía La carpeta se encuentra en
Repositorio de GitHub
Solución en el centro de contenido/
Azure Marketplace
Bloquear una dirección IP en Azure Firewall AzureFirewall-BlockIP-addNewRule Solución Azure Firewall para Sentinel
Bloquear un usuario de Microsoft Entra Block-AADUser Solución Microsoft Entra
Restablecer una contraseña de usuario de Microsoft Entra Reset-AADUserPassword Solución Microsoft Entra
Uso para aislar o desaisolar el dispositivo
Microsoft Defender para punto de conexión
Isolate-MDEMachine
Unisolate-MDEMachine
Solución de Microsoft Defender para punto de conexión

Crear, actualizar o cerrar plantillas de cuaderno de estrategias

Creación, actualización o cierre de cuadernos de estrategias: puede crear, actualizar o cerrar incidentes en Microsoft Sentinel, servicios de seguridad de Microsoft 365 y otros sistemas de control de vales:

Guía La carpeta se encuentra en
Repositorio de GitHub
Solución en el centro de contenido/
Azure Marketplace
Creación de un incidente mediante Microsoft Forms CreateIncident-MicrosoftForms Solución Sentinel SOAR Essentials
Relación de alertas con incidentes relateAlertsToIncident-basedOnIP Solución Sentinel SOAR Essentials
Creación de un incidente de Service Now Crear un registro de SNOW Solución ServiceNow

Configuraciones de cuadernos de estrategias usadas habitualmente

En esta sección se proporcionan capturas de pantalla de ejemplo para configuraciones de cuadernos de estrategias que se usan habitualmente, incluida la actualización de un incidente, el uso de detalles del incidente, la adición de comentarios a un incidente o la deshabilitación de un usuario.

Actualización de un incidente

En esta sección se proporcionan capturas de pantalla de ejemplo de cómo puede usar un cuaderno de estrategias para actualizar un incidente basado en un nuevo incidente o alerta.

Actualizar un incidente basado en un nuevo incidente (desencadenador de incidente):

Captura de pantalla de un ejemplo de flujo de actualización simple desencadenador de incidentes.

Actualizar un incidente basado en una nueva alerta (desencadenador de alerta):

Captura de pantalla de un ejemplo de flujo de incidente de actualización simple desencadenador de alertas.

Uso de los detalles del incidente en el flujo

En esta sección se proporcionan capturas de pantalla de ejemplo de cómo puede usar el cuaderno de estrategias para usar detalles de incidentes en otro lugar del flujo:

Envíe los detalles del incidente por correo, mediante un cuaderno de estrategias desencadenado por un nuevo incidente:

Captura de pantalla de un ejemplo de flujo de obtención simple del desencadenador de incidentes.

Envíe detalles de incidentes por correo, mediante un cuaderno de estrategias desencadenado por una nueva alerta:

Captura de pantalla de un ejemplo de flujo de incidentes de obtención simple del desencadenador de alertas.

Agregar un comentario a un incidente

En esta sección se proporcionan capturas de pantalla de ejemplo de cómo puede usar el cuaderno de estrategias para agregar comentarios a un incidente:

Agregue un comentario a un incidente mediante un cuaderno de estrategias desencadenado por un nuevo incidente:

Captura de pantalla de un ejemplo sencillo de adición de comentario del desencadenador de incidentes.

Agregue un comentario a un incidente mediante un cuaderno de estrategias desencadenado por una nueva alerta:

Captura de pantalla de un ejemplo de comentario de adición simple del desencadenador de alertas.

Deshabilitar un usuario

En la captura de pantalla siguiente se muestra un ejemplo de cómo puede usar el cuaderno de estrategias para deshabilitar una cuenta de usuario, en función de un desencadenador de entidad de Microsoft Sentinel:

Captura de pantalla que muestra las acciones que se van a realizar en un cuaderno de estrategias con un desencadenador de entidades para deshabilitar un usuario.