Respuesta a actores de amenazas al investigar o buscar amenazas en Microsoft Sentinel

  • Artículo

En este artículo se muestra cómo realizar acciones de respuesta contra actores de amenazas en el momento, durante el transcurso de una investigación de incidentes o una búsqueda de amenazas, sin dinamizar ni cambiar el contexto fuera de la investigación o la búsqueda. Para ello, use cuadernos de estrategias basados en el nuevo desencadenador de entidad.

El desencadenador de entidad admite actualmente los tipos de entidad siguientes:

Importante

El desencadenador de entidad se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Ejecución de cuadernos de estrategias con el desencadenador de entidad

Al investigar un incidente y determinar que una entidad concreta (una cuenta de usuario, un host, una dirección IP o un archivo, entre otros) representa una amenaza, puede emprender acciones de corrección inmediatas sobre esa amenaza mediante la ejecución de un cuaderno de estrategias a petición. Puede hacerlo igualmente si encuentra entidades sospechosas mientras busca amenazas de forma proactiva fuera del contexto de los incidentes.

  1. Seleccione la entidad en el contexto en el que la encuentre y elija los medios adecuados para ejecutar un cuaderno de estrategias, como se indica a continuación:

    • En el widget Entidades de la pestaña Información general de un incidente en la nueva página de detalles del incidente (ahora en versión preliminar), o en su pestaña Entidades, elija una entidad de la lista, seleccione los tres puntos junto a la entidad y seleccione Ejecutar cuaderno de estrategias (versión preliminar) en el menú emergente.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • En la pestaña Entidades de un incidente, elija una entidad de la lista y seleccione el vínculo Ejecutar cuaderno de estrategias (versión preliminar) al final de la línea en la que aparece en la lista.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • En Gráfico de investigación, seleccione una entidad y elija el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel lateral de la entidad.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Seleccione una entidad en la página Comportamiento de la entidad. En la página de la entidad resultante, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Todo esto abrirá el panel Ejecutar cuaderno de estrategias en <tipo de entidad>.

    Screenshot of Run playbook on entity panel.

    En cualquiera de estos paneles, verá dos pestañas: Cuadernos de estrategias y Ejecuciones.

  3. En la pestaña Cuadernos de estrategias, aparece una lista de todos los cuadernos de estrategias a los que tiene acceso y que usan el desencadenador Entidad de Microsoft Sentinel para ese tipo de entidad (en este caso, cuentas de usuario). Seleccione el botón Ejecutar para el cuaderno de estrategias que quiere ejecutar inmediatamente.

    Nota

    Si no ve el cuaderno de estrategias que quiere ejecutar en la lista, significa que Microsoft Sentinel no tiene permisos para ejecutar cuadernos de estrategias en ese grupo de recursos (más información). Para conceder esos permisos, seleccione Settings (Configuración) en el menú principal, elija la pestaña Settings (Configuración), expanda el expansor Playbook permissions (Permisos de cuaderno de estrategias) y seleccione Configure permissions (Configurar permisos). En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Apply (Aplicar).

  4. Puede auditar la actividad de los cuadernos de estrategias del desencadenador de entidades en la pestaña Ejecuciones. Verá una lista de todas las veces que se ha ejecutado cualquier cuaderno de estrategias en la entidad que ha seleccionado. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Azure Logic Apps.

Pasos siguientes

En este artículo, ha aprendido a ejecutar cuadernos de estrategias de forma manual para corregir amenazas de entidades durante la investigación de un incidente o la búsqueda de amenazas.