Usar un cuaderno de estrategias de Microsoft Sentinel para detener a los usuarios potencialmente comprometidos
En este artículo se describe un escenario de muestra de cómo puede usar un cuaderno de estrategias y una regla de automatización para automatizar la respuesta a incidentes y corregir las amenazas de seguridad. Las reglas de automatización ayudan en la evaluación de prioridades de incidentes en Microsoft Sentinel y también se usan para ejecutar cuadernos de estrategias en respuesta a incidentes o alertas. Para obtener más información, consulte Automatización en Microsoft Sentinel: orquestación de seguridad, automatización y respuesta (SOAR).
En el escenario de muestra descrito en este artículo se describe cómo usar una regla de automatización y un cuaderno de estrategias para detener a un usuario potencialmente comprometido cuando se crea un incidente.
Nota:
Dado que los cuadernos de estrategias hacen uso de Azure Logic Apps, es posible que se apliquen cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Los siguientes roles son necesarios para usar Azure Logic Apps para crear y ejecutar cuadernos de estrategias en Microsoft Sentinel.
Role | Descripción |
---|---|
Propietario | Permite conceder acceso a cuadernos de estrategias en el grupo de recursos. |
Colaborador de Microsoft Sentinel | Permite adjuntar un cuaderno de estrategias a una regla de análisis o automatización. |
Respondedor de Microsoft Sentinel | Permite acceder a un incidente para ejecutar un cuaderno de estrategias manualmente, pero no le permite ejecutar el cuaderno de estrategias. |
Operador de cuaderno de estrategias de Microsoft Sentinel | Permite ejecutar manualmente un cuaderno de estrategias. |
Colaborador de automatización de Microsoft Sentinel | Permite que las reglas de automatización ejecuten cuadernos de estrategias. Este rol no se usa para ningún otro propósito. |
En la siguiente tabla se describen los roles necesarios en función de si selecciona una aplicación lógica de consumo o estándar para crear el cuaderno de estrategias:
Aplicación lógica | Roles de Azure | Descripción |
---|---|---|
Consumo | Colaborador de aplicación lógica | Edite y administre las aplicaciones lógicas. Ejecutar cuadernos de estrategias. No permite conceder acceso a cuadernos de estrategias. |
Consumo | Operador de aplicación lógica | Lea, habilite y deshabilite las aplicaciones lógicas. No permite editar ni actualizar aplicaciones lógicas. |
Estándar | Operador estándar de Logic Apps | Habilite, vuelva a enviar y deshabilite los flujos de trabajo en una aplicación lógica. |
Estándar | Desarrollador de Logic Apps Estándar | Cree y edite aplicaciones lógicas. |
Estándar | Colaborador estándar de Logic Apps | Administre todos los aspectos de una aplicación lógica. |
La pestaña Cuadernos de estrategias activos de la página Automatización muestra todos los cuadernos de estrategias activos disponibles en todas las suscripciones seleccionadas. De forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.
Permisos adicionales necesarios para ejecutar cuadernos de estrategias en incidentes
Microsoft Sentinel usa una cuenta de servicio para ejecutar cuadernos de estrategias en incidentes, para agregar seguridad y habilitar la API de reglas de automatización para admitir casos de uso de CI/CD. Esta cuenta de servicio se usa para cuadernos de estrategias desencadenados por incidentes o cuando se ejecuta un cuaderno de estrategias manualmente en un incidente específico.
Además de sus propios roles y permisos, esta cuenta de servicio de Microsoft Sentinel debe tener su propio conjunto de permisos en el grupo de recursos donde reside el cuaderno de estrategias, en forma de rol Colaborador de automatización de Microsoft Sentinel. Una vez que Microsoft Sentinel tiene este rol, puede ejecutar cualquier cuaderno de estrategias en el grupo de recursos correspondiente, manualmente o desde una regla de automatización.
Para conceder a Microsoft Sentinel los permisos necesarios, debe tener el rol Propietario o Administrador de acceso de usuario. Para ejecutar los cuadernos de estrategias, también necesitará el rol Colaborador de aplicación lógica en el grupo de recursos que contiene los cuadernos de estrategias que desea ejecutar.
Detener a usuarios potencialmente comprometidos
Los equipos del SOC quieren asegurarse de que los usuarios potencialmente comprometidos no puedan moverse por su red y robar información. Se recomienda crear una respuesta automatizada y multifacética a los incidentes generados por reglas que detectan usuarios comprometidos para controlar estos escenarios.
Configure la regla de automatización y el cuaderno de estrategias para usar el flujo siguiente:
Se crea un incidente para un usuario potencialmente comprometido y se desencadena una regla de automatización para llamar al cuaderno de estrategias.
El cuaderno de estrategias abre un vale en el sistema de vales de TI, como ServiceNow.
El cuaderno de estrategias también envía un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad sean conscientes del incidente.
El cuaderno de estrategias también envía toda la información del incidente en un mensaje de correo electrónico al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico incluye los botones de opciones de usuario Bloquear e Ignorar.
El cuaderno de estrategias espera hasta que se reciba una respuesta de los administradores y, después, continúa con los pasos siguientes.
Si los administradores eligen Bloquear, el cuaderno de estrategias envía un comando a Microsoft Entra ID para deshabilitar el usuario y uno al firewall para bloquear la dirección IP.
Si los administradores eligen Ignorar, el cuaderno de estrategias cierra el incidente en Microsoft Azure Sentinel y el vale en ServiceNow.
En la captura de pantalla siguiente se muestran las acciones y condiciones que agregaría al crear este cuaderno de estrategias de ejemplo: