Creación de tareas de incidentes en Microsoft Sentinel mediante reglas de automatización
En este artículo se explica cómo usar reglas de automatización para crear listas de tareas de incidentes, con el fin de estandarizar los procesos de flujo de trabajo de analistas en Microsoft Sentinel.
Las tareas de incidente se pueden crear automáticamente no solo mediante reglas de automatización, sino también mediante cuadernos de estrategias, y también manualmente, ad hoc, desde dentro de un incidente.
Casos de uso para distintos roles
En este artículo se tratan los siguientes escenarios que se aplican a los administradores de SOC, a los analistas sénior y a los ingenieros de automatización:
- Visualización de reglas de automatización con acciones de tareas de incidentes
- Adición de tareas a incidentes con reglas de automatización
Otro escenario de este tipo se aborda en el siguiente artículo complementario:
Otro artículo, en los vínculos siguientes, aborda los escenarios que se aplican más a los analistas de SOC:
Importante
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
El rol de respondedor de Sentinel Microsoft es necesario para crear reglas de automatización y ver y editar incidentes, ambos necesarios para agregar, ver y editar tareas.
Visualización de reglas de automatización con acciones de tareas de incidentes
En la página Automatización puede filtrar la vista de reglas de automatización para ver solo las que tienen definidas las acciones Agregar tarea.
Seleccione el filtro Acciones.
Desactive la casilla Seleccionar todo.
Desplácese hacia abajo y marque la casilla Agregar tarea.
Seleccione Aceptar y vea los resultados.
Estas son las reglas de automatización que agregan tareas a incidentes. La columna Nombres de reglas de análisis indica en qué reglas de análisis estas reglas de automatización están condicionadas, por lo que tendrá una idea general de qué incidentes se ven afectados.
Nota
Para tener conocimiento exacto de si una regla de automatización se aplicará a un incidente determinado, debe abrir la regla para ver si se definen condiciones adicionales, además de la condición de regla de análisis. Si se definen otras condiciones, el ámbito de los incidentes afectados se restringirá en consecuencia.
Adición de tareas a incidentes con reglas de automatización
En la página Automatización, seleccione + Crear y seleccione Regla de automatización.
El panel Crear nueva regla de automatización se abrirá en el lado derecho.
Asigne un nombre a la regla de automatización que describa lo que hace.Seleccione Cuando se cree un incidente como desencadenador (también puede usar Cuando se actualiza el incidente).
Agregue condiciones para determinar qué incidentes se agregarán nuevas tareas.
Por ejemplo, filtre por nombre de regla de Analytics:
Es posible que quiera agregar tareas a incidentes en función de los tipos de amenazas detectadas por una regla de análisis o un grupo de reglas de análisis que deben controlarse según un determinado flujo de trabajo. Busque y seleccione las reglas de análisis pertinentes en la lista desplegable.
O bien, es posible que quiera agregar tareas relevantes para incidentes en todos los tipos de amenazas (en este caso, deje la selección predeterminada de Todos tal como está).
En cualquier caso, puede agregar más condiciones para restringir el ámbito de los incidentes a los que se aplicará la regla de automatización. Obtenga más información sobre cómo agregar condiciones avanzadas a las reglas de automatización.
Algo que debe tener en cuenta es el orden en el que aparecen las tareas en el incidente viene determinado por la hora de creación de las tareas. Puede establecer el orden de las reglas de automatización para que las reglas que agreguen tareas necesarias para todos los incidentes se ejecutarán primero y solo después las reglas que agreguen tareas necesarias para incidentes generados por reglas de análisis específicas.
En Acciones, seleccione Agregar tarea.
Para cada tarea, escriba un título en el campo Título de tarea y, a continuación, seleccione (opcionalmente) + Agregar descripción para abrir un campo de descripción.
Solo los títulos de tarea aparecen de forma predeterminada en el panel de lista de tareas del incidente. La descripción de una tarea solo aparece cuando se expande el elemento de tarea.En el campo de descripción puede agregar una descripción de forma libre para la tarea, incluidas imágenes, vínculos y formato de texto enriquecido (vea los hipervínculos, las listas numeradas y el texto con formato de bloque de código en los ejemplos siguientes).
Agregue más tareas al mismo grupo de incidentes seleccionando + Agregar acción y repitiendo los tres últimos pasos.
Las tareas se crearán y agregarán al incidente según el orden de las acciones agregar tareas en la regla de automatización.
Termine de crear la regla de automatización completando los pasos restantes, Expiración de reglas y Orden y seleccionando Aplicar al final. Ver Creación y uso de reglas de automatización de Microsoft Sentinel para administrar respuestas para conocer los detalles completos.
Con respecto a la configuración de pedido : el orden en el que aparecen las tareas en los incidentes depende de dos cosas:
- El orden de ejecución de las reglas de automatización, según lo determinado por el número en la configuración De pedido, y...
- El orden de las acciones agregar tareas definidas dentro de cada regla de automatización.
Pasos siguientes
- Obtenga más información sobre las tareas de incidentes.
- Aprenda cómoInvestigar incidentes.
- Obtenga información sobre cómo agregar tareas a grupos de incidentes automáticamente mediante cuadernos de estrategias.
- Aprenda a usar tareas para controlar el flujo de trabajo de incidentes en Microsoft Sentinel.
- Obtenga más información sobre reglas de automatización y cómo crearlas.