Migración de cuadernos de estrategias de desencadenamiento de alertas de Microsoft Sentinel a reglas de automatización

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Se recomienda migrar los cuadernos de estrategias existentes integrados en los desencadenadores de alertas y migrarlos de forma que en lugar de invocarlos las reglas de análisis los invoquen las reglas de automatización. En este artículo se explica por qué se recomienda esta acción y cómo se migran los cuadernos de estrategias.

• Si va a migrar un cuaderno de estrategias que solo usa una regla de análisis, siga las instrucciones de Create an automation rule from an analytics rule (Creación de una regla de automatización a partir de una regla de análisis).

• Si va a migrar un cuaderno de estrategias que usan varias reglas de análisis, siga las instrucciones de Create a new automation rule from the Automation page (Creación de una nueva regla de automatización desde la página de Automation).

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Por qué migrar

Los cuadernos de estrategias invocados por reglas de automatización en lugar de reglas de análisis presentan las siguientes ventajas:

• Administración de automatización desde una sola pantalla, independientemente del tipo («panel único»).

• Use una sola regla de automatización que desencadene cuadernos de estrategias para varias reglas de análisis, en lugar de configurar cada regla de análisis por separado.

• Defina el orden en el que se van a ejecutar los cuadernos de estrategias de alertas.

• Soporte técnico para escenarios que establecen una fecha de expiración para ejecutar un cuaderno de estrategias.

Al migrar el desencadenador del cuaderno de estrategias, no se cambia en absoluto el cuaderno de estrategias y solo modifica el mecanismo que invoca para ejecutar los cambios.

La capacidad de invocar cuadernos de estrategias desde reglas analíticas quedará en desuso a partir de marzo de 2026. Hasta entonces, los cuadernos de estrategias ya definidos desde reglas analíticas se seguirán ejecutando, pero a partir de junio de 2023 ya no se podrán agregar cuadernos de estrategias a la lista de los invocados desde reglas analíticas. La única opción que queda es invocarlos desde reglas de automatización.

Requisitos previos

Necesitará:

• El rol colaborador de Logic Apps para crear y editar cuadernos de estrategia

• El rol colaborador de Microsoft Sentinel para adjuntar un cuaderno de estrategias a una regla de automatización

Para obtener más información, consulte Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

Creación de una regla de automatización a partir de una regla de análisis

Use este procedimiento si va a migrar un cuaderno de estrategias que solo usa una regla de análisis. De lo contrario, use Creación de una regla de automatización desde la página de Automation.

1. Para Microsoft Sentinel en Azure Portal, seleccione la página Configuración>Análisis. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>Análisis.

2. En Reglas activas, busque una regla de análisis ya configurada para ejecutar un cuaderno de estrategias y seleccione Editar.

   

3. Seleccione la pestaña Respuesta automatizada. Los cuadernos de estrategias configurados directamente para ejecutarse desde esta regla de análisis se pueden encontrar en Automatización de alertas (clásico). Observe la advertencia sobre la caducidad.

   

4. En la mitad superior de la pantalla, seleccione + Agregar nueva en Reglas de automatización para crear una regla de automatización.

5. En el panel Creación de una regla de automatización, en Desencadenador, seleccione Cuando se crea la alerta.

   

6. En Acciones, vea que la acción Ejecutar cuaderno de estrategias (el único tipo de acción disponible) se selecciona y se atenúa automáticamente. Seleccione su cuaderno de estrategias entre los que hay disponibles en la lista desplegable de la línea siguiente.

   

7. Seleccione Aplicar. La regla nueva aparece en la cuadrícula de reglas de automatización.

8. Quite el cuaderno de estrategias de la sección Automatización de alertas (clásico).

9. Revise y actualice la regla de análisis para guardar los cambios.

Creación de una regla de automatización nueva desde la página de Automation

Use este procedimiento si va a migrar un cuaderno de estrategias que usan varias reglas de análisis. De lo contrario, use Creación de una regla de automatización a partir de una regla de análisis

1. Para Microsoft Sentinel en Azure Portal, seleccione la página Configuración>Análisis. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>Análisis.

2. En la barra de menús superior, seleccione Crear -> Regla de automatización.

3. En el panel Creación de una regla de automatización, en la lista desplegable Desencadenador, seleccione Cuando se crea la alerta.

4. En Condiciones, seleccione las reglas de análisis en las que quiere ejecutar un cuaderno de estrategias o un conjunto de cuadernos de estrategias determinados.

5. En Acciones, para cada cuaderno de estrategias que quiera que invoque esta regla, seleccione + Agregar acción. La acción Ejecutar cuaderno de estrategias se selecciona automáticamente y aparece atenuada.

6. Seleccione un elemento en la lista de cuadernos de estrategias disponibles en la lista desplegable de la línea siguiente. Ordene las acciones en función del orden en el que quiere que se ejecuten los cuadernos de estrategias seleccionando las flechas arriba y abajo junto a cada acción.

7. Seleccione Aplicar para guardar la regla de automatización.

8. Edite las reglas de análisis que han invocado estos cuadernos de estrategias (las reglas que especificó en Condiciones); para ello, quite el cuaderno de estrategias de la sección Automatización de alertas (clásico) de la pestaña Respuesta automatizada.

Contenido relacionado

Para más información, vea:

• Automatización de la respuesta a amenazas en Microsoft Sentinel con las reglas de automatización
• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Create and manage Microsoft Sentinel playbooks (Crear y administrar cuadernos de estrategias de Microsoft Sentinel)