Migración de la automatización SOAR de ArcSight a Microsoft Sentinel
Microsoft Sentinel proporciona funcionalidades de orquestación de seguridad, automatización y respuesta (SOAR) con reglas de automatización y cuadernos de estrategias. Las reglas de automatización automatizan el control y la respuesta ante incidentes, y los cuadernos de estrategias ejecutan secuencias predeterminadas de acciones para responder a amenazas y corregirlas. En este artículo se describe cómo identificar casos de uso de SOAR y migrar la automatización SOAR de ArcSight a Microsoft Sentinel.
Las reglas de automatización simplifican los flujos de trabajo complejos para los procesos de orquestación de incidentes y permiten administrar de forma centralizada la automatización del control de incidentes.
Con las reglas de automatización, puede hacer lo siguiente:
- Realizar tareas de automatización sencillas sin necesidad de usar cuadernos de estrategias. Por ejemplo, puede asignar, etiquetar incidentes, cambiar el estado y cerrar incidentes.
- Automatizar las respuestas de varias reglas de análisis a la vez.
- Controlar el orden de las acciones que se ejecutan.
- Ejecutar cuadernos de estrategias para aquellos casos en los que se necesiten tareas de automatización más complejas.
Identificación de casos de uso de SOAR
Esto es lo que debe pensar al migrar casos de uso de SOAR desde ArcSight.
- Calidad del caso de uso. Elija casos de uso de calidad para la automatización. Los casos de uso se deben basar en procedimientos claramente definidos, con una variación mínima y una tasa baja de falsos positivos. La automatización debe funcionar con casos de uso eficaces.
- Intervención manual. La respuesta automatizada puede tener efectos amplios y las automatizaciones de alto impacto deben tener una entrada humana para confirmar acciones de alto impacto antes de que se realicen.
- Criterios binarios. Para aumentar el éxito de la respuesta, los puntos de decisión dentro de un flujo de trabajo automatizado deben ser lo más limitados posible, con criterios binarios. Los criterios binarios reducen la necesidad de intervención humana y mejoran la previsibilidad de los resultados.
- Alertas o datos precisos. Las acciones de respuesta dependen de la precisión de las señales, como las alertas. Las alertas y los orígenes de enriquecimiento deben ser confiables. Los recursos de Microsoft Sentinel, como las listas de reproducción y la inteligencia sobre amenazas confiable, pueden mejorar la confiabilidad.
- Rol de analista. Aunque la automatización siempre que sea posible es excelente, reserve tareas más complejas para los analistas y proporcióneles la oportunidad de introducir datos en flujos de trabajo que necesiten validación. En resumen, la automatización de respuestas debe aumentar y ampliar las funcionalidades de los analistas.
Migración del flujo de trabajo de SOAR
En esta sección se muestra cómo se traducen los conceptos clave SOAR de ArcSight en componentes de Microsoft Sentinel y se proporcionan instrucciones generales sobre cómo migrar cada paso o componente en el flujo de trabajo de SOAR.
| Paso (en el diagrama) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Ingesta de eventos en Enterprise Security Manager (ESM) y desencadenamiento de eventos de correlación. | Ingesta de eventos en el área de trabajo de Log Analytics. |
| 2 | Filtrado automático de alertas para la creación de casos. | Uso de reglas de análisis para desencadenar alertas. Enriquecimiento de las alertas mediante la característica de detalles personalizados para crear nombres de incidentes dinámicos. |
| 3 | Clasificación de casos. | Use reglas de automatización. Con las reglas de automatización, Microsoft Sentinel trata los incidentes según la regla de análisis que los haya desencadenado y las propiedades del incidente que coinciden con criterios definidos. |
| 4 | Consolidación de casos. | Puede consolidar varias alertas en un único incidente en función de propiedades, como entidades coincidentes, detalles de alerta o período de tiempo de creación, mediante la característica de agrupación de alertas. |
| 5 | Envío de casos. | Asigne incidentes a analistas específicos mediante una integración entre Microsoft Teams, Azure Logic Apps y reglas de automatización de Microsoft Sentinel. |
Asignación de componentes de SOAR
Revise qué características de Microsoft Sentinel o Azure Logic Apps se asignan a los componentes principales de SOAR en ArcSight.
| ArcSight | Microsoft Sentinel o Azure Logic Apps |
|---|---|
| Desencadenador | Desencadenador |
| Bit de automatización | Conector de Azure Functions |
| Acción | Acción |
| Cuadernos de estrategias programados | Cuadernos de estrategias iniciados por el desencadenador de periodicidad |
| Cuadernos de estrategias de flujo de trabajo | Cuadernos de estrategias iniciados automáticamente por desencadenadores de incidentes o alertas de Microsoft Sentinel |
| Marketplace | • Pestaña Plantillas y automatización • Catálogo del centro de contenido • GitHub |
Operacionalización de cuadernos de estrategias y reglas de automatización en Microsoft Sentinel
La mayoría de los cuadernos de estrategias que usa con Microsoft Sentinel están disponibles en la pestaña Plantillas > Automatización, el catálogo del centro de contenido o GitHub. Pero en algunos casos, es posible que tenga que crear cuadernos de estrategias desde cero o a partir de plantillas existentes.
Normalmente, la aplicación lógica personalizada se compila mediante la característica Diseñador de aplicaciones lógicas de Azure. El código de las aplicaciones lógicas se basa en plantillas de Azure Resource Manager (ARM), que facilitan el desarrollo, la implementación y la portabilidad de Azure Logic Apps en varios entornos. Para convertir el cuaderno de estrategias personalizado en una plantilla de ARM portátil, puede usar el generador de plantillas de ARM.
Use estos recursos cuando necesite crear cuadernos de estrategias propios desde cero o a partir de plantillas existentes.
- Automatización del control de incidentes en Microsoft Sentinel
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
- Procedimiento para usar Microsoft Sentinel para la respuesta a incidentes, la orquestación y la automatización
- Tarjetas adaptables para mejorar la respuesta a incidentes en Microsoft Sentinel
Procedimientos recomendados de SOAR posteriores a la migración
Estos son los procedimientos recomendados que debe tener en cuenta después de la migración de SOAR:
- Después de migrar los cuadernos de estrategias, pruébelos ampliamente para asegurarse de que las acciones migradas funcionan según lo previsto.
- Revise periódicamente las automatizaciones para explorar formas de simplificar o mejorar SOAR. Microsoft Sentinel agrega constantemente nuevos conectores y acciones que pueden ayudarle a simplificar o aumentar la eficacia de las implementaciones de respuesta actuales.
- Supervise el rendimiento de los cuadernos de estrategias mediante el libro de supervisión del estado de los cuadernos de estrategias.
- Uso de identidades administradas y entidades de servicio: autentíquese en varios servicios de Azure dentro de Logic Apps, almacene los secretos en Azure Key Vault y oculte la salida de la ejecución del flujo. También se recomienda supervisar las actividades de estas entidades de servicio.
Pasos siguientes
En este artículo, ha aprendido a asignar la automatización de SOAR de ArcSight a Microsoft Sentinel.