Compartir a través de

Tutorial: Extracción de entidades de incidentes con acciones no nativas

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La asignación de entidades enriquece las alertas e incidentes con información esencial para los procesos de investigación y las acciones correctivas siguientes.

Los cuadernos de estrategias de Microsoft Sentinel incluyen estas acciones nativas para extraer información de entidad:

  • Cuentas
  • DNS
  • Hashes de archivo
  • Hosts
  • Direcciones IP
  • Direcciones URL

Además de estas acciones, la asignación de entidades de regla analítica contiene tipos de entidad que no son acciones nativas, como malware, proceso, clave del Registro, buzón, etc. En este tutorial, aprenderá a trabajar con acciones no nativas mediante diferentes acciones integradas para extraer los valores pertinentes.

En este tutorial, aprenderá a:

  • Cree un cuaderno de estrategias con un desencadenador de incidentes y ejecútelo manualmente en el incidente.
  • Inicialice una variable de matriz.
  • Filtre el tipo de entidad necesario de otros tipos de entidad.
  • Analice los resultados en un archivo JSON.
  • Cree los valores como contenido dinámico para su uso futuro.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para completar este tutorial, asegúrese de disponer de los siguientes elementos:

  • Suscripción a Azure. Cree una cuenta gratuita si aún no tiene una.

  • Un usuario de Azure con los siguientes roles asignados en los siguientes recursos:

  • Será suficiente con una cuenta de VirusTotal (gratuita) para este tutorial. Una implementación de producción requiere una cuenta Premium de VirusTotal.

Creación de un cuaderno de estrategias con un desencadenador de incidentes

  1. Para Microsoft Sentinel en el Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.

  2. En la página Automatización, seleccione Crear> cuaderno de estrategias con desencadenador de incidencias.

  3. En el asistente para crear cuadernos de estrategias, en Aspectos básicos, seleccione la suscripción y el grupo de recursos y asigne un nombre al cuaderno de estrategias.

  4. Seleccione Siguiente: Conexiones>.

    En Conexiones, la conexión de Microsoft Sentinel: conexión con la identidad administrada debe estar visible. Por ejemplo:

    Captura de pantalla de la creación de un nuevo cuaderno de estrategias con un desencadenar de incidentes.

  5. Seleccione Siguiente: Revisar y crear>.

  6. En Revisar y crear, seleccione Crear y continuar con el diseñador.

    El Diseñador de aplicaciones lógicas abre una aplicación lógica con el nombre del cuaderno de estrategias.

    Captura de pantalla de la vista del cuaderno de estrategias en el Diseñador de aplicaciones lógicas.

Inicialización de una variable de matriz

  1. En el Diseñador de aplicaciones lógicas, vaya al paso en que debe agregar una variable y seleccione Nuevo paso.

  2. En Elegir una operación, en el cuadro de búsqueda, escriba variables como filtro. En la lista de acciones, seleccione Inicializar variable.

  3. Proporcione esta información sobre la variable:

    • Para el nombre de la variable, use Entidades.

    • Para el tipo, seleccione Matriz.

    • Para el valor, empiece a escribir entidades y seleccione Entidades en Contenido dinámico.

      Captura de pantalla de la inicialización de la variable de salida.

Selección de un incidente existente

  1. En Microsoft Sentinel, vaya a Incidentes y seleccione un incidente en el que desea ejecutar el cuaderno de estrategias.

  2. En el panel de detalles del incidente que aparece a la derecha, seleccione Acciones > Ejecutar cuaderno de estrategias (versión preliminar).

  3. En Cuadernos de estrategias, junto al cuaderno de estrategias que creó, seleccione Ejecutar.

    Cuando se desencadena el cuaderno de estrategias, en la parte superior derecha aparece el mensaje: El cuaderno de estrategias se ha desencadenado correctamente.

  4. Seleccione Ejecuciones y, junto al cuaderno de estrategias, seleccione Ver ejecución.

    La página de ejecución de la aplicación lógica está visible.

  5. En Inicializar variable, la carga de ejemplo está visible en Valor. Anote la carga de ejemplo para su uso posterior.

    Captura de pantalla de la vista de la carga de ejemplo en el campo Valor.

Filtro del tipo de entidad necesario de otros tipos de entidad

  1. Vuelva a la página Automatización y seleccione el cuaderno de estrategias.

  2. En el paso en el que quiera agregar una variable, seleccione Nuevo paso.

  3. En Elegir una acción, en el cuadro de búsqueda, escriba Filtrar matriz como filtro. En la lista de acciones, seleccione Operaciones de datos.

    Captura de pantalla del filtrado de una matriz y selección de las operaciones de datos.

  4. Proporcione esta información sobre la matriz de filtro:

    1. En De>Contenido dinámico, seleccione la variable Entidades que inicializó anteriormente.

    2. Seleccione el primer campo Elegir un valor (a la izquierda) y seleccione Expresión.

    3. Pegue el valor item()?['kind'] y seleccione Aceptar.

      Captura de pantalla del relleno en la expresión de filtrar matriz.

    4. Deje el valor igual a (no lo modifique).

    5. En el segundo campo Elegir un valor (a la derecha), escriba Proceso. Debe ser una coincidencia exacta con el valor del sistema.

      Nota

      Esta consulta distingue mayúsculas de minúsculas. Asegúrese de que el valor kind coincide con el valor de la carga de ejemplo. Vea la carga de ejemplo de cuando crea un cuaderno de estrategias.

      Captura de pantalla del relleno en la información de filtrar matriz.

Análisis de los resultados en un archivo JSON

  1. En la aplicación lógica, vaya al paso en que debe agregar una variable y seleccione Nuevo paso.

  2. Seleccione Operaciones de datos>Analizar JSON.

    Captura de pantalla de la selección de la opción Analizar JSON en Operaciones de datos.

  3. Proporcione esta información sobre la operación:

    1. Seleccione Contenido y, en Contenido dinámico>Filtrar matriz, seleccione Cuerpo.

      Captura de pantalla de la selección de Contenido dinámico en Contenido.

    2. En Esquema, pegue un esquema JSON para que pueda extraer valores de una matriz. Copie la carga de ejemplo que generó al crear el cuaderno de estrategias.

      Captura de pantalla de la copia de la carga de ejemplo.

    3. Vuelva al cuaderno de estrategias y seleccione Usar carga de ejemplo para generar el esquema.

      Captura de pantalla de la selección de Usar carga de ejemplo para generar el esquema.

    4. Pegue la carga. Agregue un corchete de apertura ([) al principio del esquema y ciérrelo al final del esquema ].

      Captura de pantalla de la acción de pegar la carga de ejemplo.

      Captura de pantalla de la segunda parte de la acción de pegar la carga de ejemplo.

    5. Seleccione Listo.

Uso de los nuevos valores como contenido dinámico para su uso futuro

Ahora puede usar los valores que creó como contenido dinámico para otras acciones. Por ejemplo, si desea enviar un correo electrónico con datos de proceso, puede encontrar la acción Analizar JSON en Contenido dinámico si no cambió el nombre de la acción.

Captura de pantalla del envío de un correo electrónico con datos de proceso.

Asegurarse de que el cuaderno de estrategias está guardado

Asegúrese de que el cuaderno de estrategias está guardado y podrá usar el cuaderno de estrategias para las operaciones SOC.

Pasos siguientes

Pase al siguiente artículo para aprender a crear y realizar tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias.

Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias