Añadir condiciones avanzadas a las reglas de automatización de Microsoft Sentinel
En este artículo se explica cómo añadir condiciones "O" avanzadas a las reglas de automatización en Microsoft Sentinel, para un triaje más eficaz de los incidentes.
Añada condiciones "O" en forma de grupos de condiciones en la sección Condiciones de su regla de automatización.
Los grupos de condiciones pueden contener dos niveles de condiciones:
Simple: Al menos dos condiciones, cada una separada por un operador
OR
:- A
OR
B - A
OR
BOR
C (consulte el ejemplo 1B a continuación.) - etcétera.
- A
Compuesto: más de dos condiciones, con al menos dos condiciones en al menos un lado de un operador
OR
:- (A
and
B)OR
C - (A
and
B)OR
(Cand
D) - (A
and
B)OR
(Cand
Dand
E) - (A
and
B)OR
(Cand
D)OR
(Eand
F) - etcétera.
- (A
Puede ver que esta capacidad le ofrece un gran poder y flexibilidad para determinar cuándo se ejecutarán las reglas. También puede aumentar en gran medida su eficiencia al permitirle combinar muchas reglas de automatización antiguas en una nueva regla.
Importante
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Añadir un grupo de condiciones
Dado que los grupos de condiciones ofrecen mucho más poder y flexibilidad en la creación de reglas de automatización, la mejor manera de explicar cómo hacerlo es presentando algunos ejemplos.
Vamos a crear una regla que cambiará la gravedad de un incidente entrante de lo que sea a Alta, suponiendo que cumpla las condiciones que vamos a establecer.
Para Microsoft Sentinel en el Azure portal, seleccione la página Configuración>Automatización. Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización.
En la página de Automatización, seleccione Crear > Regla de automatización en la barra de botones de la parte superior.
Consulte las instrucciones generales para crear una regla de automatización para obtener más detalles.
Asigne un nombre a la regla: "Triage: Cambiar la gravedad a alta".
Seleccione el desencadenante Cuando se crea el incidente.
En Condiciones, si ve las condiciones del Proveedor de incidentes y el Nombre de la regla de análisis, déjelas tal y como están. Estas condiciones no están disponibles si su área de trabajo está integrada en el portal de Microsoft Defender. En cualquier caso, agregaremos más condiciones más adelante en este proceso.
En Acciones, seleccione Cambiar gravedad en la lista desplegable.
Seleccione Alto en la lista desplegable que aparece a continuación Cambiar gravedad.
Por ejemplo, las siguientes pestañas muestran ejemplos de un área de trabajo que está integrada en el portal de Defender, ya sea en el portal de Azure o en el de Defender, y un área de trabajo que no lo está:
Ejemplo 1: condiciones simples
En este primer ejemplo, crearemos un grupo de condiciones simples: Si la condición A o la condición B son verdaderas, la regla se ejecutará y la gravedad del incidente se establecerá como Alta.
Seleccione el expansor + Añadir y elija Grupo de condiciones (O) en la lista desplegable.
Vea que aparecen dos conjuntos de campos de condición, separados por un operador
OR
. Estas son las condiciones "A" y "B" que mencionamos anteriormente: Si A o B es verdadera, la regla se ejecutará.
(No se confunda por todas las diferentes capas de enlaces "Añadir" - todas serán explicadas).Decidamos cuáles serán estas condiciones. Es decir, ¿qué dos condiciones diferentes harán que la gravedad del incidente se cambie a Alta? Propongamos lo siguiente:
Si las tácticas de MITRE ATT&CK asociadas al incidente incluyen alguna de las cuatro que hemos seleccionado en el menú desplegable (consulte la imagen siguiente), la gravedad debería elevarse a Alta.
Si el incidente contiene una entidad de nombre de host llamada "SUPER_SECURE_STATION", la gravedad debe elevarse a Alta.
Mientras al menos UNA de estas condiciones sea verdadera, las acciones que definimos en la regla se ejecutarán, cambiando la gravedad del incidente a Alta.
Ejemplo 1A: añadir un valor OR dentro de una sola condición
Supongamos que tenemos no uno, sino dos puestos de trabajo supersensibles cuyos incidentes queremos que sean de alta gravedad. Podemos añadir otro valor a una condición existente (para cualquier condición basada en las propiedades de la entidad) seleccionando el icono del dado a la derecha del valor existente y añadiendo el nuevo valor debajo.
Ejemplo 1B: Añadir más condiciones OR
Supongamos que queremos que esta regla se ejecute si una de las TRES (o más) condiciones es verdadera. Si A o B o C es verdadera, la regla se ejecutará.
¿Recuerda todos esos enlaces "Añadir"? Para añadir otra condición OR, seleccione el + Añadir conectado por una línea al operador
OR
.Ahora, rellene los parámetros y valores de esta condición de la misma manera que lo hizo con las dos primeras.
Ejemplo 2: condiciones compuestas
Ahora decidimos que vamos a ser un poco más exigentes. Queremos añadir más condiciones a cada lado de nuestra condición OR original. Es decir, queremos que la regla se ejecute si A y B son verdaderos, O si C y D son verdaderos.
Para añadir una condición a un lado de un grupo de condiciones OR, seleccione el enlace + Añadir inmediatamente debajo de la condición existente, en el mismo lado del operador
OR
(en la misma área sombreada en azul) al que desea añadir la nueva condición.Verá una nueva fila agregada bajo la condición existente (en el mismo área sombreada azul), vinculada a ella por un
AND
operador.Rellene los parámetros y valores de esta condición de la misma manera que hizo con las otras.
Repita los dos pasos anteriores para añadir una condición AND a cualquier lado del grupo de condiciones OR.
Eso es todo. Puedes utilizar lo que has aprendido aquí para añadir más condiciones y grupos de condiciones, utilizando diferentes combinaciones de operadores AND
y OR
, para crear reglas de automatización potentes, flexibles y eficaces que realmente ayuden a que tu SOC funcione sin problemas y reduzcan tus tiempos de respuesta y resolución.
Pasos siguientes
En este documento, aprendió a añadir grupos de condiciones utilizando operadores OR
a las reglas de automatización.
- Para obtener instrucciones sobre la creación de reglas de automatización básicas, consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta.
- Para obtener más información sobre las reglas de automatización, consulte Automatización del tratamiento de incidentes en Microsoft Sentinel mediante reglas de automatización
- Para obtener más información sobre las opciones avanzadas de automatización, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias de Microsoft Sentinel.
- Para obtener sobre la implementación de reglas de automatización y cuadernos de estrategias, consulte Tutorial: Uso de cuadernos de estrategias para automatizar las respuestas a amenazas en Microsoft Sentinel.