Compartir vía


Añadir condiciones avanzadas a las reglas de automatización de Microsoft Sentinel

En este artículo se explica cómo añadir condiciones "O" avanzadas a las reglas de automatización en Microsoft Sentinel, para un triaje más eficaz de los incidentes.

Añada condiciones "O" en forma de grupos de condiciones en la sección Condiciones de su regla de automatización.

Los grupos de condiciones pueden contener dos niveles de condiciones:

  • Simple: Al menos dos condiciones, cada una separada por un operador OR:

  • Compuesto: más de dos condiciones, con al menos dos condiciones en al menos un lado de un operador OR:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • etcétera.

Puede ver que esta capacidad le ofrece un gran poder y flexibilidad para determinar cuándo se ejecutarán las reglas. También puede aumentar en gran medida su eficiencia al permitirle combinar muchas reglas de automatización antiguas en una nueva regla.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Añadir un grupo de condiciones

Dado que los grupos de condiciones ofrecen mucho más poder y flexibilidad en la creación de reglas de automatización, la mejor manera de explicar cómo hacerlo es presentando algunos ejemplos.

Vamos a crear una regla que cambiará la gravedad de un incidente entrante de lo que sea a Alta, suponiendo que cumpla las condiciones que vamos a establecer.

  1. Para Microsoft Sentinel en el Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.

  2. En la página de Automatización, seleccione Crear > Regla de automatización en la barra de botones de la parte superior.

    Consulte las instrucciones generales para crear una regla de automatización para obtener más detalles.

  3. Asigne un nombre a la regla: "Triage: Cambiar la gravedad a alta".

  4. Seleccione el desencadenante Cuando se crea el incidente.

  5. En Condiciones, si ve las condiciones del Proveedor de incidentes y el Nombre de la regla de análisis, déjelas tal y como están. Estas condiciones no están disponibles si su área de trabajo está integrada en el portal de Microsoft Defender. En cualquier caso, agregaremos más condiciones más adelante en este proceso.

  6. En Acciones, seleccione Cambiar gravedad en la lista desplegable.

  7. Seleccione Alto en la lista desplegable que aparece a continuación Cambiar gravedad.

Por ejemplo, las siguientes pestañas muestran ejemplos de un área de trabajo que está integrada en el portal de Defender, ya sea en el portal de Azure o en el de Defender, y un área de trabajo que no lo está:

Ejemplo 1: condiciones simples

En este primer ejemplo, crearemos un grupo de condiciones simples: Si la condición A o la condición B son verdaderas, la regla se ejecutará y la gravedad del incidente se establecerá como Alta.

  1. Seleccione el expansor + Añadir y elija Grupo de condiciones (O) en la lista desplegable.

    Captura de pantalla de la adición de un grupo de condiciones al conjunto de condiciones de una regla de automatización.

  2. Vea que aparecen dos conjuntos de campos de condición, separados por un operador OR. Estas son las condiciones "A" y "B" que mencionamos anteriormente: Si A o B es verdadera, la regla se ejecutará.
    (No se confunda por todas las diferentes capas de enlaces "Añadir" - todas serán explicadas).

    Captura de pantalla de los campos de grupos de condiciones vacíos.

  3. Decidamos cuáles serán estas condiciones. Es decir, ¿qué dos condiciones diferentes harán que la gravedad del incidente se cambie a Alta? Propongamos lo siguiente:

    • Si las tácticas de MITRE ATT&CK asociadas al incidente incluyen alguna de las cuatro que hemos seleccionado en el menú desplegable (consulte la imagen siguiente), la gravedad debería elevarse a Alta.

    • Si el incidente contiene una entidad de nombre de host llamada "SUPER_SECURE_STATION", la gravedad debe elevarse a Alta.

    Captura de pantalla de la adición de condiciones O simples a una regla de automatización.

    Mientras al menos UNA de estas condiciones sea verdadera, las acciones que definimos en la regla se ejecutarán, cambiando la gravedad del incidente a Alta.

Ejemplo 1A: añadir un valor OR dentro de una sola condición

Supongamos que tenemos no uno, sino dos puestos de trabajo supersensibles cuyos incidentes queremos que sean de alta gravedad. Podemos añadir otro valor a una condición existente (para cualquier condición basada en las propiedades de la entidad) seleccionando el icono del dado a la derecha del valor existente y añadiendo el nuevo valor debajo.

Captura de pantalla de la adición de más valores a una sola condición.

Ejemplo 1B: Añadir más condiciones OR

Supongamos que queremos que esta regla se ejecute si una de las TRES (o más) condiciones es verdadera. Si A o B o C es verdadera, la regla se ejecutará.

  1. ¿Recuerda todos esos enlaces "Añadir"? Para añadir otra condición OR, seleccione el + Añadir conectado por una línea al operador OR.

    Captura de pantalla de la adición de otra condición OR a una regla de automatización.

  2. Ahora, rellene los parámetros y valores de esta condición de la misma manera que lo hizo con las dos primeras.

    Captura de pantalla de otra condición OR añadida a una regla de automatización

Ejemplo 2: condiciones compuestas

Ahora decidimos que vamos a ser un poco más exigentes. Queremos añadir más condiciones a cada lado de nuestra condición OR original. Es decir, queremos que la regla se ejecute si A y B son verdaderos, O si C y D son verdaderos.

  1. Para añadir una condición a un lado de un grupo de condiciones OR, seleccione el enlace + Añadir inmediatamente debajo de la condición existente, en el mismo lado del operador OR (en la misma área sombreada en azul) al que desea añadir la nueva condición.

    Captura de pantalla de la adición de una condición compuesta a una regla de automatización.

    Verá una nueva fila agregada bajo la condición existente (en el mismo área sombreada azul), vinculada a ella por un AND operador.

    Captura de pantalla de la fila de la nueva condición vacía en las reglas de automatización.

  2. Rellene los parámetros y valores de esta condición de la misma manera que hizo con las otras.

    Captura de pantalla de los nuevos campos de condición a rellenar para añadir a las reglas de automatización.

  3. Repita los dos pasos anteriores para añadir una condición AND a cualquier lado del grupo de condiciones OR.

    Captura de pantalla de la adición de múltiples condiciones compuestas a una regla de automatización.

Eso es todo. Puedes utilizar lo que has aprendido aquí para añadir más condiciones y grupos de condiciones, utilizando diferentes combinaciones de operadores AND y OR, para crear reglas de automatización potentes, flexibles y eficaces que realmente ayuden a que tu SOC funcione sin problemas y reduzcan tus tiempos de respuesta y resolución.

Pasos siguientes

En este documento, aprendió a añadir grupos de condiciones utilizando operadores OR a las reglas de automatización.