Compartir vía


Cuadernos de estrategias de Azure Logic Apps para Microsoft Sentinel

Los cuadernos de estrategias de Microsoft Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa. Los cuadernos de estrategias de Microsoft Sentinel pueden aprovechar toda la eficacia y las funcionalidades de las plantillas integradas en Azure Logic Apps.

Azure Logic Apps se comunica con otros sistemas y servicios mediante varios tipos de conectores. Use el Conector de Microsoft Sentinel para crear cuadernos de estrategias que interactúen con Microsoft Sentinel.

Nota:

Azure Logic Apps crea recursos independientes, por lo que se pueden aplicar cargos adicionales. Para más información, visite la página de precios de Azure Logic Apps.

Componentes del conector de Microsoft Sentinel

En el conector de Microsoft Sentinel, use desencadenadores, acciones y campos dinámicos para definir el flujo de trabajo del cuaderno de estrategias:

Componente Descripción
Desencadenador Un desencadenador es el componente del conector que inicia un flujo de trabajo, en este caso, un cuaderno de estrategias. Un desencadenador de Microsoft Sentinel define el esquema que el cuaderno de estrategias espera recibir cuando se desencadena.

El conector de Microsoft Sentinel admite los siguientes tipos de desencadenadores:

- desencadenador de alertas: el cuaderno de estrategias recibe una alerta como entrada.
- Desencadenador de entidad: el cuaderno de estrategias recibe una entidad como entrada.
- Desencadenador de incidentes: el cuaderno de estrategias recibe un incidente como entrada, junto con todas las alertas y entidades incluidas.
Acciones Las acciones son todos los pasos que se producen después del desencadenador. Las acciones se pueden organizar secuencialmente, en paralelo o en una matriz de condiciones complejas.
Campos dinámicos Los campos dinámicos son campos temporales que se pueden usar en las acciones que siguen al desencadenador. Los campos dinámicos se determinan mediante el esquema de salida de desencadenadores y acciones, y se rellenan mediante su salida real.

Azure Logic Apps también admite otros tipos de conectores, como conectores administrados, que se ajustan en torno a llamadas API o conectores personalizados. Para más información, consulte Conectores de Azure Logic Apps y su documentación y Creación de sus propios conectores personalizados de Azure Logic Apps.

Tipos de aplicación lógica admitidos

Microsoft Sentinel admite aplicaciones lógicas estándar y de consumo:

  • Consumo: se ejecuta en Azure Logic Apps multiinquilino y usa el motor clásico y original de Azure Logic Apps.

  • Estándar: se ejecuta en Azure Logic Apps de un solo inquilino y usa un motor Azure Logic Apps de diseño más reciente.

    Los recursos Estándar ofrecen un mayor rendimiento, precios fijos, funcionalidad de varios flujos de trabajo, administración de conexiones de API más sencillas, funcionalidades de red integradas y características de CI/CD, etc. Sin embargo, la siguiente funcionalidad del cuaderno de estrategias difiere para las aplicaciones lógicas estándar de Microsoft Sentinel:

    Característica Descripción
    Creación de cuadernos de estrategias Las plantillas de cuaderno de estrategias no se admiten actualmente para flujos de trabajo Estándar, lo que significa que no se puede usar una plantilla para crear el cuaderno de estrategias directamente en Microsoft Sentinel.

    En su lugar, cree el flujo de trabajo manualmente en Azure Logic Apps para usarlo como cuaderno de estrategias en Microsoft Sentinel.
    Puntos de conexión privados Si usa flujos de trabajo Estándar con puntos de conexión privados, Microsoft Sentinel requiere que defina una directiva de restricción de acceso en las aplicaciones Logic para admitir esos puntos de conexión privados en cualquier cuaderno de tareas basado en flujos de trabajo Estándar.

    Sin una directiva de restricción de acceso, es posible que los flujos de trabajo con puntos de conexión privados sigan siendo visibles y seleccionables en Microsoft Sentinel, pero se producirá un error al ejecutarlos.
    Flujo de trabajo sin estado Mientras que los flujos de trabajo Estándar admiten tanto flujos con estado como sin estado en Azure Logic Apps, Microsoft Sentinel no admite flujos de trabajo sin estado.

    Para obtener más información, consulte Flujos de trabajo con estado y sin estado.

Autenticaciones de cuadernos de estrategias en Microsoft Sentinel

Azure Logic Apps debe conectarse por separado y autenticarse de forma independiente en cada recurso, de cada tipo, con el que interactúa, incluido el propio Microsoft Sentinel. Azure Logic Apps usa conectores especializados con este fin, teniendo cada tipo de recurso su propio conector.

Para obtener más información, consulte Autenticación de cuadernos de estrategias en Microsoft Sentinel.