Compartir vía


Creación de tareas de incidentes en Microsoft Sentinel mediante reglas de automatización

En este artículo se explica cómo usar reglas de automatización para crear listas de tareas de incidentes, con el fin de estandarizar los procesos de flujo de trabajo de analistas en Microsoft Sentinel.

Las tareas de incidente se pueden crear automáticamente no solo mediante reglas de automatización, sino también mediante cuadernos de estrategias, y también manualmente, ad hoc, desde dentro de un incidente.

Casos de uso para distintos roles

En este artículo se tratan los siguientes escenarios que se aplican a los administradores de SOC, a los analistas sénior y a los ingenieros de automatización:

Otro escenario de este tipo se aborda en el siguiente artículo complementario:

Otro artículo, en los vínculos siguientes, aborda los escenarios que se aplican más a los analistas de SOC:

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

El rol de respondedor de Sentinel Microsoft es necesario para crear reglas de automatización y ver y editar incidentes, ambos necesarios para agregar, ver y editar tareas.

Visualización de reglas de automatización con acciones de tareas de incidentes

En la página Automatización puede filtrar la vista de reglas de automatización para ver solo las que tienen definidas las acciones Agregar tarea.

Captura de pantalla que muestra cómo filtrar la cuadrícula de reglas de automatización.

  1. Seleccione el filtro Acciones.

  2. Desactive la casilla Seleccionar todo.

  3. Desplácese hacia abajo y marque la casilla Agregar tarea.

  4. Seleccione Aceptar y vea los resultados.

    Captura de pantalla que muestra los resultados del filtro en la cuadrícula de reglas de automatización.

    Estas son las reglas de automatización que agregan tareas a incidentes. La columna Nombres de reglas de análisis indica en qué reglas de análisis estas reglas de automatización están condicionadas, por lo que tendrá una idea general de qué incidentes se ven afectados.

    Nota

    Para tener conocimiento exacto de si una regla de automatización se aplicará a un incidente determinado, debe abrir la regla para ver si se definen condiciones adicionales, además de la condición de regla de análisis. Si se definen otras condiciones, el ámbito de los incidentes afectados se restringirá en consecuencia.

Adición de tareas a incidentes con reglas de automatización

  1. En la página Automatización, seleccione + Crear y seleccione Regla de automatización.

  2. El panel Crear nueva regla de automatización se abrirá en el lado derecho.
    Asigne un nombre a la regla de automatización que describa lo que hace.

  3. Seleccione Cuando se cree un incidente como desencadenador (también puede usar Cuando se actualiza el incidente).

  4. Agregue condiciones para determinar qué incidentes se agregarán nuevas tareas.

    Por ejemplo, filtre por nombre de regla de Analytics:

    • Es posible que quiera agregar tareas a incidentes en función de los tipos de amenazas detectadas por una regla de análisis o un grupo de reglas de análisis que deben controlarse según un determinado flujo de trabajo. Busque y seleccione las reglas de análisis pertinentes en la lista desplegable.

    • O bien, es posible que quiera agregar tareas relevantes para incidentes en todos los tipos de amenazas (en este caso, deje la selección predeterminada de Todos tal como está).

    En cualquier caso, puede agregar más condiciones para restringir el ámbito de los incidentes a los que se aplicará la regla de automatización. Obtenga más información sobre cómo agregar condiciones avanzadas a las reglas de automatización.

    Algo que debe tener en cuenta es el orden en el que aparecen las tareas en el incidente viene determinado por la hora de creación de las tareas. Puede establecer el orden de las reglas de automatización para que las reglas que agreguen tareas necesarias para todos los incidentes se ejecutarán primero y solo después las reglas que agreguen tareas necesarias para incidentes generados por reglas de análisis específicas.

    Captura de pantalla de la primera parte del Asistente para reglas de automatización.

  5. En Acciones, seleccione Agregar tarea.

    Captura de pantalla de la elección de la acción Agregar tarea en una regla de automatización.

  6. Para cada tarea, escriba un título en el campo Título de tarea y, a continuación, seleccione (opcionalmente) + Agregar descripción para abrir un campo de descripción.
    Solo los títulos de tarea aparecen de forma predeterminada en el panel de lista de tareas del incidente. La descripción de una tarea solo aparece cuando se expande el elemento de tarea.

    Captura de pantalla que muestra cómo agregar un título y una descripción a una tarea.

  7. En el campo de descripción puede agregar una descripción de forma libre para la tarea, incluidas imágenes, vínculos y formato de texto enriquecido (vea los hipervínculos, las listas numeradas y el texto con formato de bloque de código en los ejemplos siguientes).

    Captura de pantalla que muestra cómo agregar una descripción a una tarea.

  8. Agregue más tareas al mismo grupo de incidentes seleccionando + Agregar acción y repitiendo los tres últimos pasos.

    Las tareas se crearán y agregarán al incidente según el orden de las acciones agregar tareas en la regla de automatización.

    Captura de pantalla que muestra cómo agregar más tareas a una regla de automatización.

  9. Termine de crear la regla de automatización completando los pasos restantes, Expiración de reglas y Orden y seleccionando Aplicar al final. Ver Creación y uso de reglas de automatización de Microsoft Sentinel para administrar respuestas para conocer los detalles completos.

    Con respecto a la configuración de pedido : el orden en el que aparecen las tareas en los incidentes depende de dos cosas:

    1. El orden de ejecución de las reglas de automatización, según lo determinado por el número en la configuración De pedido, y...
    2. El orden de las acciones agregar tareas definidas dentro de cada regla de automatización.

Pasos siguientes