Automatización de flujos de trabajo (versión preliminar)Workflow automation (Preview)

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes.Every security program includes multiple workflows for incident response. Estos procesos pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos.These processes might include notifying relevant stakeholders, launching a change management process, and applying specific remediation steps. Los expertos en seguridad recomiendan automatizar tantos pasos de esos procedimientos como sea posible.Security experts recommend that you automate as many steps of those procedures as you can. Recuerde que la automatización reduce la sobrecarga.Automation reduces overhead. También puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus requisitos predefinidos.It can also improve your security by ensuring the process steps are done quickly, consistently, and according to your predefined requirements.

En este artículo se describe la característica de automatización de flujos de trabajo (versión preliminar) de Azure Security Center.This article describes the Workflow automation feature (preview) of Azure Security Center. Esta característica de vista previa puede desencadenar una instancia de Logic Apps sobre alertas y recomendaciones de seguridad.This preview feature can trigger Logic Apps on security alerts and recommendations. Por ejemplo, si quiere que Security Center envíe un correo electrónico a un usuario específico cuando se produce una alerta.For example, you might want Security Center to email a specific user when an alert occurs. También aprenderá a crear instancias de Logic Apps con Azure Logic Apps.You'll also learn how to create Logic Apps using Azure Logic Apps.

Nota

Si ya usó la vista de los cuadernos de estrategias (versión preliminar) de la barra lateral, encontrará las mismas características junto con la funcionalidad expandida en la página nueva de automatización del flujo de trabajo (versión preliminar).If you previously used the Playbooks (Preview) view on the sidebar, you'll find the same features together with the expanded functionality in the new Workflow automation (Preview) page.

RequisitosRequirements

  • Para trabajar con flujos de trabajo de Azure Logic Apps, debe tener los siguientes roles y permisos de Logic Apps:To work with Azure Logic Apps workflows, you must have the following Logic Apps roles/permissions:

    • Son necesarios los permisos del Operador de aplicaciones lógicas o el acceso de lectura o desencadenamiento de la aplicación lógica (este rol no puede crear ni editar aplicaciones lógicas, solo puede ejecutar las existentes).Logic App Operator permissions are required or Logic App read/trigger access (this role can't create or edit logic apps; only run existing ones)

    • Los permisos del Colaborador de la aplicación lógica son necesarios para la creación y modificación de aplicaciones lógicas.Logic App Contributor permissions are required for Logic App creation and modification

  • Si quiere usar conectores de aplicaciones lógicas, es posible que necesite credenciales adicionales para iniciar sesión en sus servicios respectivos (por ejemplo, en las instancias de Outlook, Teams o Slack).If you want to use Logic App connectors, you may need additional credentials to sign in to their respective services (for example, your Outlook/Teams/Slack instances)

Crear una aplicación lógica y definir cuándo debe ejecutarse automáticamenteCreate a Logic App and define when it should automatically run

  1. En la barra lateral de Security Center, seleccione Automatización de flujos de trabajo (versión preliminar) .From Security Center's sidebar, select Workflow automation (Preview).

    Lista de automatizaciones de flujos de trabajoList of workflow automations

    Desde esta página puede crear nuevas reglas de automatización, así como habilitar, deshabilitar o eliminar las existentes.From this page you can create new automation rules, as well as enable, disable, or delete existing ones.

  2. Para definir un nuevo flujo de trabajo, haga clic en Add workflow automation (Agregar automatización de flujos de trabajo).To define a new workflow, click Add workflow automation.

    Aparecerá un panel con las opciones de la nueva automatización.A pane appears with the options for your new automation. Aquí puede escribir lo siguiente:Here you can enter:

    1. Un nombre y descripción para la automatización.A name and description for the automation.

    2. Los desencadenadores que iniciarán este flujo de trabajo automático.The triggers that will initiate this automatic workflow. Por ejemplo, cuando quiera que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".For example, you might want your Logic App to run when a security alert that contains "SQL" is generated.

    3. La aplicación lógica que se ejecutará cuando se cumplan las condiciones del desencadenador.The Logic App that will run when your trigger conditions are met.

      Lista de automatizaciones de flujos de trabajoList of workflow automations

  3. En la sección Acciones, haga clic en Crear una nueva para comenzar el proceso de creación de la aplicación lógica.From the Actions section, click Create a new one to begin the Logic App creation process.

    Se le dirigirá a Azure Logic Apps.You'll be taken to Azure Logic Apps.

    Creación de una aplicación lógica nuevaCreating a new Logic App

  4. Escriba un nombre, un grupo de recursos y una ubicación, y haga clic en Crear.Enter a name, resource group, and location, and click Create.

  5. En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la categoría de seguridad.In your new Logic App, you can choose from built-in, predefined templates from the security category. También puede definir un flujo de eventos personalizado para que se active cuando se desencadene este proceso.Or you can define a custom flow of events to occur when this process is triggered.

    En el diseñador de la aplicación lógica se admiten los siguientes desencadenadores de los conectores de Security Center:In the Logic App designer the following triggers from the Security Center connectors are supported:

    • Cuando se crea o se desencadena una recomendación de Azure Security Center (versión preliminar)When an Azure Security Center Recommendation is created or triggered (Preview)
    • Cuando se crea o se desencadena una alerta de Azure Security Center (versión preliminar)When an Azure Security Center Alert is created or triggered (Preview)

    Nota

    Si utiliza el desencadenador heredado "Cuando se desencadena una respuesta a una alerta de Azure Security Center", la característica de automatización de flujos de trabajo no iniciará la instancia de Logic Apps.If you are using the legacy trigger "When a response to an Azure Security Center alert is triggered", your Logic Apps will not be launched by the Workflow Automation feature. En su lugar, use cualquiera de los desencadenadores mencionados anteriormente.Instead, use either of the triggers mentioned above.

    Aplicación lógica de ejemploSample Logic App

  6. Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo de trabajo ("Agregar automatización de flujos de trabajo").After you've defined your Logic App, return to the workflow automation definition pane ("Add workflow automation"). Haga clic en Actualizar para asegurarse de que la nueva aplicación lógica está disponible en la selección.Click Refresh to ensure your new Logic App is available for selection.

    Actualizar

  7. Seleccione la aplicación lógica y guarde la automatización.Select your Logic App and save the automation. Tenga en cuenta que la lista desplegable de aplicaciones lógicas solo muestra las aplicaciones lógicas con los conectores de Security Center complementarios mencionados anteriormente.Note that the Logic App dropdown only shows Logic Apps with supporting Security Center connectors mentioned above.

Desencadenar manualmente una aplicación lógicaManually trigger a Logic App

También puede ejecutar Logic Apps manualmente al ver una recomendación de seguridad.You can also run Logic Apps manually when viewing a security recommendation.

Para ejecutar manualmente una aplicación lógica, abra una recomendación y haga clic en Desencadenar aplicación lógica (versión preliminar):To manually run a Logic App, open a recommendation and click Trigger Logic App (Preview):

Desencadenar manualmente una aplicación lógicaManually trigger a Logic App

Esquemas de tipos de datosData types schemas

Para ver los esquemas de eventos sin procesar de las alertas de seguridad o los eventos de recomendaciones que se pasan a la instancia de aplicación lógica, consulte los Esquemas de tipos de datos de automatización de flujo de trabajo.To view the raw event schemas of the security alerts or recommendations events passed to the Logic App instance, visit the Workflow automation data types schemas. Puede resultar útil en los casos en que no se usan los conectores de aplicación lógica integrados de Security Center mencionados anteriormente, sino que alternativamente se usa el conector HTTP genérico de la aplicación lógica; puede usar el esquema JSON del evento para analizarlo manualmente como considere oportuno.This can be useful in cases where you are not using Security Center's built-in Logic App connectors mentioned above, but instead are using Logic App's generic HTTP connector - you could use the event JSON schema to manually parse it as you see fit.

Pasos siguientesNext steps

En este artículo, ha aprendido a crear aplicaciones lógicas, a ejecutarlas manualmente en Security Center y a automatizar su ejecución.In this article, you learned about creating Logic Apps, running them manually in Security Center, and automating their execution.

Para obtener material relacionado, consulte los siguientes artículos:For other related material, see the following articles: