Compartir vía


Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel

Los analistas de SOC tratan numerosos incidentes y alertas de seguridad, y el volumen de la gran cantidad puede sobrecargar a los equipos, lo que conduce a alertas ignoradas e incidentes no investigados. Muchas alertas e incidentes se pueden solucionar mediante los mismos conjuntos de acciones de corrección predefinidas, que se pueden automatizar para que el SOC sea más eficaz y libere a los analistas para realizar investigaciones más profundas.

Use cuadernos de estrategias de Microsoft Sentinel para ejecutar conjuntos preconfigurados de acciones de corrección para ayudar a automatizar y organizar la respuesta a amenazas. Ejecute cuadernos de estrategias automáticamente, en respuesta a alertas e incidentes específicos que desencadenan una regla de automatización configurada, o manualmente y a petición para una entidad o alerta determinada.

Por ejemplo, si una cuenta y una máquina están en peligro, un cuaderno de estrategias puede aislar automáticamente la máquina de la red y bloquear la cuenta en el momento en que se notifica el incidente al equipo de SOC.

Nota:

Dado que los cuadernos de estrategias hacen uso de Azure Logic Apps, es posible que se apliquen cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

En la tabla siguiente se enumeran los casos de uso generales en los que se recomienda usar cuadernos de estrategias de Microsoft Sentinel para automatizar la respuesta a amenazas:

Caso de uso Descripción
Enriquecimiento Recopile datos y adjunte a un incidente para ayudar a su equipo a tomar decisiones más inteligentes.
Sincronización bidireccional Sincronice incidentes de Microsoft Sentinel con otros sistemas de vales. Por ejemplo, cree una regla de automatización para todas las creaciones de incidentes y adjunte un cuaderno de estrategias que abra un vale en ServiceNow.
Orquestación Use la plataforma de chat del equipo de SOC para controlar mejor la cola de incidentes. Por ejemplo, envíe un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad son conscientes del incidente.
Respuesta Responda inmediatamente a las amenazas, con dependencias humanas mínimas, como cuando se indica un usuario o una máquina en peligro. Como alternativa, desencadene manualmente una serie de pasos automatizados durante una investigación o durante la búsqueda.

Para obtener más información, consulte Casos de uso, plantillas y ejemplos recomendados.

Requisitos previos

Los siguientes roles son necesarios para usar Azure Logic Apps para crear y ejecutar cuadernos de estrategias en Microsoft Sentinel.

Role Descripción
Propietario Permite conceder acceso a cuadernos de estrategias en el grupo de recursos.
Colaborador de Microsoft Sentinel Permite adjuntar un cuaderno de estrategias a una regla de análisis o automatización.
Respondedor de Microsoft Sentinel Permite acceder a un incidente para ejecutar un cuaderno de estrategias manualmente, pero no le permite ejecutar el cuaderno de estrategias.
Operador de cuaderno de estrategias de Microsoft Sentinel Permite ejecutar manualmente un cuaderno de estrategias.
Colaborador de automatización de Microsoft Sentinel Permite que las reglas de automatización ejecuten cuadernos de estrategias. Este rol no se usa para ningún otro propósito.

En la siguiente tabla se describen los roles necesarios en función de si selecciona una aplicación lógica de consumo o estándar para crear el cuaderno de estrategias:

Aplicación lógica Roles de Azure Descripción
Consumo Colaborador de aplicación lógica Edite y administre las aplicaciones lógicas. Ejecutar cuadernos de estrategias. No permite conceder acceso a cuadernos de estrategias.
Consumo Operador de aplicación lógica Lea, habilite y deshabilite las aplicaciones lógicas. No permite editar ni actualizar aplicaciones lógicas.
Estándar Operador estándar de Logic Apps Habilite, vuelva a enviar y deshabilite los flujos de trabajo en una aplicación lógica.
Estándar Desarrollador de Logic Apps Estándar Cree y edite aplicaciones lógicas.
Estándar Colaborador estándar de Logic Apps Administre todos los aspectos de una aplicación lógica.

La pestaña Cuadernos de estrategias activos de la página Automatización muestra todos los cuadernos de estrategias activos disponibles en todas las suscripciones seleccionadas. De forma predeterminada, un libro de estrategias solo se puede usar dentro de la suscripción a la que pertenece, a menos que otorgue específicamente permisos a Microsoft Sentinel al grupo de recursos del libro de estrategias.

Permisos adicionales necesarios para que Microsoft Sentinel ejecute cuadernos de estrategias

Microsoft Sentinel usa una cuenta de servicio para ejecutar cuadernos de estrategias en incidentes, para agregar seguridad y habilitar la API de reglas de automatización para admitir casos de uso de CI/CD. Esta cuenta de servicio se usa para cuadernos de estrategias desencadenados por incidentes o cuando se ejecuta un cuaderno de estrategias manualmente en un incidente específico.

Además de sus propios roles y permisos, esta cuenta de servicio de Microsoft Sentinel debe tener su propio conjunto de permisos en el grupo de recursos donde reside el cuaderno de estrategias, en forma de rol Colaborador de automatización de Microsoft Sentinel. Una vez que Microsoft Sentinel tiene este rol, puede ejecutar cualquier cuaderno de estrategias en el grupo de recursos correspondiente, manualmente o desde una regla de automatización.

Para conceder a Microsoft Sentinel los permisos necesarios, debe tener el rol Propietario o Administrador de acceso de usuario. Para ejecutar los cuadernos de estrategias, también necesitará el rol Colaborador de aplicación lógica en el grupo de recursos que contiene los cuadernos de estrategias que desea ejecutar.

Plantillas de cuaderno de estrategias (versión preliminar)

Importante

Las plantillas de cuadernos de estrategias se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Las plantillas de cuaderno de estrategias son flujos de trabajo precompilados, probados y listos para usar que no se pueden usar como cuadernos de estrategias propiamente dichos, pero que están listos para que los personalice según sus necesidades. También se recomienda usar plantillas de cuaderno de estrategias como referencia de procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización.

Acceda a plantillas de cuaderno de estrategias desde los siguientes orígenes:

Location Descripción
Página de automatización de Microsoft Sentinel En la pestaña Plantillas de cuaderno de estrategias figuran todos los cuadernos de estrategias instalados. Cree uno o varios cuadernos de estrategias activos con la misma plantilla.

Cuando se publica una nueva versión de una plantilla, los cuadernos de estrategias activos creados a partir de esta tienen una etiqueta adicional agregada en la pestaña Cuadernos de estrategias activos para indicar que hay una actualización disponible.
Página del centro de contenido de Microsoft Sentinel Las plantillas de cuaderno de estrategias están disponibles como parte de soluciones de productos o contenido independiente que se instala desde el Centro de contenido.

Para más información, consulte:
Acerca del contenido y las soluciones de Microsoft Sentinel
Descubre y administra el contenido listo para usar de Microsoft Sentinel
GitHub El repositorio de GitHub de Microsoft Sentinel contiene muchas otras plantillas de cuadernos de estrategias. Seleccione Implementar en Azure para implementar la plantilla en su suscripción.

Técnicamente, una plantilla de cuaderno de estrategias es una plantilla de Azure Resource Manager (ARM) que consta de varios recursos: un flujo de trabajo de Azure Logic Apps y conexiones de API para cada conexión implicada.

Para más información, vea:

Flujo de trabajo de uso y creación de cuadernos de estrategias

Use el siguiente flujo de trabajo para crear y ejecutar cuadernos de estrategias de Microsoft Sentinel:

  1. Defina el escenario de automatización. Para empezar, se recomienda revisar los casos de uso recomendados de cuadernos de estrategias y las plantillas de cuadernos de estrategias.

  2. Si no usa una plantilla, cree el cuaderno de estrategias y compile la aplicación lógica. Para obtener más información, consulte Creación y administración de cuadernos de estrategias de Microsoft Sentinel.

    Pruebe la aplicación lógica ejecutándola manualmente. Para obtener más información, consulte Ejecutar manualmente un cuaderno de estrategias, a petición.

  3. Configure el cuaderno de estrategias para que se ejecute automáticamente en una nueva alerta o creación de incidentes, o ejecútelo manualmente según sea necesario para los procesos. Para obtener más información, consulte Responder a amenazas con cuadernos de estrategias de Microsoft Sentinel.