Compartir a través de


Respuesta a actores de amenazas al investigar o buscar amenazas en Microsoft Sentinel

En este artículo se muestra cómo realizar acciones de respuesta contra actores de amenazas en el momento, durante el transcurso de una investigación de incidentes o una búsqueda de amenazas, sin dinamizar ni cambiar el contexto fuera de la investigación o la búsqueda. Para ello, use cuadernos de estrategias basados en el nuevo desencadenador de entidad.

El desencadenador de entidad admite actualmente los tipos de entidad siguientes:

Importante

El desencadenador de entidad se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Ejecución de cuadernos de estrategias con el desencadenador de entidad

Al investigar un incidente y determinar que una entidad concreta (una cuenta de usuario, un host, una dirección IP o un archivo, entre otros) representa una amenaza, puede emprender acciones de corrección inmediatas sobre esa amenaza mediante la ejecución de un cuaderno de estrategias a petición. Puede hacerlo igualmente si encuentra entidades sospechosas mientras busca amenazas de forma proactiva fuera del contexto de los incidentes.

  1. Seleccione la entidad en el contexto en el que la encuentre y elija los medios adecuados para ejecutar un cuaderno de estrategias, como se indica a continuación:

    • En el widget Entidades de la pestaña Información general de un incidente en la nueva página de detalles del incidente (ahora en versión preliminar), o en su pestaña Entidades, elija una entidad de la lista, seleccione los tres puntos junto a la entidad y seleccione Ejecutar cuaderno de estrategias (versión preliminar) en el menú emergente.

      Captura de pantalla de la página de detalles del incidente.

      Captura de pantalla de la pestaña de entidades en la página de detalles del incidente.

    • En la pestaña Entidades de un incidente, elija una entidad de la lista y seleccione el vínculo Ejecutar cuaderno de estrategias (versión preliminar) al final de la línea en la que aparece en la lista.

      Captura de pantalla de la selección de la entidad en la página de detalles del incidente para ejecutar un cuaderno de estrategias en ella.

    • En Gráfico de investigación, seleccione una entidad y elija el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel lateral de la entidad.

      Captura de pantalla de la selección de una entidad del gráfico de investigación para ejecutar un cuaderno de estrategias en ella.

    • Seleccione una entidad en la página Comportamiento de la entidad. En la página de la entidad resultante, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.

      Captura de pantalla de la selección de una entidad en la página de comportamiento de la entidad para ejecutar un cuaderno de estrategias en ella.

      Captura de pantalla de la página de entidad seleccionada para ejecutar un cuaderno de estrategias en una entidad.

  2. Todo esto abrirá el panel Ejecutar cuaderno de estrategias en <tipo de entidad>.

    Captura de pantalla del cuaderno de estrategias de ejecución en el panel de entidades.

    En cualquiera de estos paneles, verá dos pestañas: Cuadernos de estrategias y Ejecuciones.

  3. En la pestaña Cuadernos de estrategias, aparece una lista de todos los cuadernos de estrategias a los que tiene acceso y que usan el desencadenador Entidad de Microsoft Sentinel para ese tipo de entidad (en este caso, cuentas de usuario). Seleccione el botón Ejecutar para el cuaderno de estrategias que quiere ejecutar inmediatamente.

    Si no ve el cuaderno de estrategias que quiere ejecutar en la lista, significa que Microsoft Sentinel no tiene permisos para ejecutar cuadernos de estrategias en ese grupo de recursos.

    Para conceder esos permisos, seleccione Configuración > Configuración > Permisos de cuadernos > Configurar permisos. En el panel Administrar permisos, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Aplicar.

    Para más información, consulte Permisos adicionales necesarios para que Microsoft Sentinel ejecute cuadernos de estrategias.

  4. Puede auditar la actividad de los cuadernos de estrategias del desencadenador de entidades en la pestaña Ejecuciones. Verá una lista de todas las veces que se ha ejecutado cualquier cuaderno de estrategias en la entidad que ha seleccionado. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Azure Logic Apps.

Pasos siguientes

En este artículo, ha aprendido a ejecutar cuadernos de estrategias de forma manual para corregir amenazas de entidades durante la investigación de un incidente o la búsqueda de amenazas.