Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel

En este documento se explican los tipos de desencadenadores y acciones del conector de Microsoft Sentinel de Logic Apps, que los cuadernos de estrategias pueden usar para interactuar con Microsoft Sentinel y la información en las tablas del área de trabajo. Además, se muestra cómo obtener tipos específicos de información de Microsoft Sentinel que es probable que necesite.

Este documento, junto con nuestra guía para la Autenticación de cuadernos de estrategias en Microsoft Sentinel, es un complemento de nuestra otra documentación del cuaderno de estrategias: Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel. Estos tres documentos se referirán entre sí de un lado a otro.

Para ver una presentación de los cuadernos de estrategias, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Para la especificación completa del conector de Microsoft Sentinel, consulte la documentación del conector de Logic Apps.

Permisos necesarios

Componentes del conector o roles Desencadenadores Acciones "Get" Actualizar incidente,
agregar un comentario
Lector de Microsoft Sentinel
Microsoft Sentinel Respondedor/Colaborador

Más información sobre permisos en Microsoft Sentinel.

Resumen de desencadenadores de Microsoft Sentinel

Aunque el conector de Microsoft Sentinel se puede usar de varias maneras, los componentes del conector se pueden dividir en tres flujos, cada uno desencadenado por una aparición diferente de Microsoft Sentinel:

Desencadenador (nombre completo en el Diseñador de Logic Apps) Cuándo se debe usar Limitaciones conocidas
Incidente de Microsoft Sentinel (versión preliminar) Se recomienda para la mayoría de los escenarios de automatización de incidentes.

El cuaderno de estrategias recibe objetos de incidentes, incluidas las entidades y las alertas. El uso de este desencadenador permite adjuntar el cuaderno de estrategias a una regla de automatización, por lo que se puede desencadenar al crear un incidente (y ahora, también al actualizarlo) en Microsoft Sentinel y se pueden aplicar todas las ventajas de las reglas de automatización al incidente.
Los cuadernos de estrategias con este desencadenador no admiten la agrupación de alertas, lo que significa que solo recibirán la primera alerta enviada con cada incidente.

ACTUALIZACIÓN: a partir de febrero de 2023, se admite la agrupación de alertas para este desencadenador.
Alerta de Microsoft Sentinel (versión preliminar) Aconsejable para los cuadernos de estrategias que deben ejecutarse en alertas manualmente desde el portal de Microsoft Sentinel o para las reglas de análisis programadas que no generan incidentes para sus alertas. Este desencadenador no se puede usar para automatizar las respuestas de las alertas generadas por las reglas de análisis de seguridad de Microsoft.

Las reglas de automatización no pueden llamar a los cuadernos de estrategias que usan este desencadenador.
Entidad de Microsoft Sentinel (versión preliminar) Para su uso en cuadernos de estrategias que deben ejecutarse manualmente en entidades específicas desde un contexto de investigación o de búsqueda de amenazas. Las reglas de automatización no pueden llamar a los cuadernos de estrategias que usan este desencadenador.

Los esquemas usados por estos flujos no son idénticos. El procedimiento recomendado es usar el flujo del desencadenador de incidentes de Microsoft Sentinel, que es aplicable a la mayoría de los escenarios.

Campos dinámicos de incidentes

El objeto Incident recibido del incidente de Microsoft Sentinel incluye los siguientes campos dinámicos:

  • Propiedades del incidente (se muestra como "Incidente: nombre de campo")

  • Alertas (matriz)

    • Propiedades de alerta (se muestra como "Alerta: nombre de campo")

      Al seleccionar una propiedad de alerta como Alerta: <nombre de propiedad>, se genera automáticamente para cada bucle ya que un incidente puede incluir varias alertas.

  • Entidades (matriz de todas las entidades de una alerta)

  • Campos de información del área de trabajo (se aplica al área de trabajo de Sentinel donde se creó el incidente)

    • Id. de suscripción
    • Nombre del área de trabajo
    • Id. del área de trabajo
    • Definición de un nombre de grupo de recursos

Resumen de acciones de Microsoft Sentinel

Componente Cuándo se debe usar
Alert - Get Incident (Alerta: obtener incidente) En cuadernos de estrategias que comienzan con el desencadenador de alertas. Resulta útil para obtener las propiedades del incidente o recuperar el valor de Incident ARM ID (Id. de ARM del incidente) que se usará con las acciones Actualizar incidente o Add comment to incident (Agregar comentario a incidente).
Obtener incidente Al desencadenar un cuaderno de estrategias desde un origen externo o con un desencadenador que no es de Sentinel. Identifique con un Incident ARM ID (Id. de ARM del incidente). Recupera las propiedades y los comentarios del incidente.
Actualizar incidente Para cambiar el Estado de un incidente (por ejemplo, al cerrar el incidente), asigne un Propietario, agregue o quite una etiqueta o cambie su Gravedad, Título o Descripción.
Add comment to incident (Agregar comentario a incidente) Para enriquecer el incidente con información recopilada de orígenes externos; para auditar las acciones realizadas por el cuaderno de estrategias en las entidades; para proporcionar información adicional valiosa para la investigación de incidentes.
Entidades: Obtener <tipo de entidad> En los cuadernos de estrategias que funcionan en un tipo de entidad específico (IP, Cuenta, Host, Dirección URL o FileHash) que se conoce en el momento de la creación del cuaderno de estrategias, debe poder analizarlo y trabajar en sus campos únicos.

Trabajar con incidentes: ejemplos de uso

Sugerencia

Las acciones Actualizar incidente y Add comment to incident (Agregar comentario a incidente) requieren el valor de Incident ARM ID (Id. de ARM del incidente).

Use la acción Alert - Get Incident (Alerta: obtener incidente) de antemano para obtener el valor de Incident ARM ID (Id. de ARM del incidente).

Actualización de un incidente

  • El cuaderno de estrategias se desencadena por un incidente de Microsoft Sentinel.

    Ejemplo sencillo de flujo de actualización de desencadenador de incidentes

  • El cuaderno de estrategias se desencadena por una alerta de Microsoft Sentinel.

    Ejemplo sencillo de flujo de actualización de incidente de desencadenador de alertas

Uso de la información de incidente.

Cuaderno de estrategias básico para enviar detalles de incidentes por correo:

  • El cuaderno de estrategias se desencadena por un incidente de Microsoft Sentinel.

    Ejemplo sencillo de flujo de obtención de desencadenador de incidentes

  • El cuaderno de estrategias se desencadena por una alerta de Microsoft Sentinel.

    Ejemplo sencillo de flujo de obtención de incidente de desencadenador de alertas

Adición de un comentario al incidente

  • El cuaderno de estrategias se desencadena por un incidente de Microsoft Sentinel.

    Ejemplo sencillo de adición de comentario del desencadenador de incidentes

  • El cuaderno de estrategias se desencadena por una alerta de Microsoft Sentinel.

Deshabilitar un usuario

  • El cuaderno de estrategias lo desencadena una entidad de Microsoft Sentinel

    Captura de pantalla que muestra las acciones que se van a realizar en un cuaderno de estrategias con un desencadenador de entidades para deshabilitar un usuario.

Cuadernos de estrategias de entidad sin identificador de incidente

Los cuadernos de estrategias creados con el desencadenador de entidades suelen usar el campo Id. de ARM de incidente (por ejemplo, para actualizar un incidente después de realizar acciones en la entidad).

Si este cuaderno de estrategias se desencadena en un contexto no conectado a un incidente (por ejemplo, cuando se buscan amenazas), entonces no hay ningún incidente cuyo identificador pueda rellenar este campo. En este caso, el campo se rellenará con un valor null.

Como resultado, puede que el cuaderno de estrategias no se ejecute hasta completarse. Para evitar este error, se recomienda crear una condición que compruebe si hay un valor en el campo de identificador de incidente antes de realizar cualquier acción en este e imponer un conjunto distinto de acciones si el campo tiene un valor null, es decir, si el cuaderno de estrategias no se está ejecutando a partir de un incidente.

  1. Antes de la primera acción que hace referencia al campo Id. de ARM de incidente, agregue un paso de tipo Condición.

  2. Seleccione el campo Elegir un valor y acceda al cuadro de diálogo Agregar contenido dinámico.

  3. Seleccione la pestaña Expresión y la función length(collection).

  4. Seleccione la pestaña Contenido dinámico y el campo Id. de ARM de incidente.

  5. Compruebe que la expresión resultante es length(triggerBody()?['IncidentArmID']) y seleccione Aceptar.

    Captura de pantalla del cuadro de diálogo de contenido dinámico para seleccionar campos para una condición de cuaderno de estrategias.

  6. Establezca el operador y el valor en la condición en "es mayor que" y "0".

    Captura de pantalla de la definición final de la condición descrita en la captura de pantalla anterior.

  7. En el marco True, agregue las acciones que se van a realizar si el cuaderno de estrategias se ejecuta desde un contexto de incidente.

    En el marco False, agregue las acciones que se van a realizar si el cuaderno de estrategias se ejecuta desde un contexto que no sea de incidente.

Utilización de tipos de entidad específicos

El campo dinámico Entidades es una matriz de objetos JSON, cada uno de los cuales representa una entidad. Cada tipo de entidad tiene su propio esquema, en función de sus propiedades únicas.

La acción "Entidades: Obtener <tipo de entidad>" permite hacer lo siguiente:

  • Filtrar la matriz de entidades por el tipo solicitado.
  • Analice los campos específicos de este tipo para que se puedan usar como campos dinámicos en otras acciones.

La entrada es el campo dinámico Entidades.

La respuesta es una matriz de entidades, donde se analizan las propiedades especiales y se pueden usar directamente en un bucle Para cada uno.

Los tipos de entidad admitidos actualmente son:

Para otros tipos de entidad, se puede lograr una funcionalidad similar mediante las acciones integradas de Logic Apps:

  • Filtrar la matriz de entidades por el tipo solicitado mediante Filtrar matriz.

  • Analizar los campos específicos de este tipo, para que se puedan usar como campos dinámicos en otras acciones mediante Análisis del archivo JSON.

Utilización de detalles personalizados

El campo dinámico Alert custom details (Detalles personalizados de alerta), disponible en el desencadenador de incidentes, es una matriz de objetos JSON, cada uno de los cuales representa un detalle personalizado de una alerta. Los detalles personalizados, que recuperará, son pares de clave-valor que le permiten obtener información de los eventos de la alerta para que se puedan representar, realizar un seguimiento y analizar como parte del incidente.

Puesto que este campo de la alerta es personalizable, su esquema depende del tipo de evento que se va a exponer. Tendrá que proporcionar datos de una instancia de este evento para generar el esquema que determinará cómo se analizará el campo de detalles personalizados.

Observe el ejemplo siguiente:

Detalles personalizados definidos en la regla de análisis.

En estos pares de clave-valor, la clave (la columna de la izquierda) representa los campos personalizados que se crean y el valor (la columna de la derecha) representa los campos de los datos de evento que rellenan los campos personalizados.

Puede proporcionar el siguiente código JSON para generar el esquema. En el código se muestran los nombres de clave como matrices y los valores (que se muestran como valores reales, no como la columna que contiene los valores) como elementos de las matrices.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
  1. Agregue un nuevo paso mediante la acción integrada Analizar JSON. Puede escribir "analizar json" en el campo Buscar para encontrarlo.

  2. Busque y seleccione Alert custom details (Detalles personalizados de alerta) en la lista Contenido dinámico, en el desencadenador de incidentes.

    Seleccione

    Esto creará un bucle Para cada uno, ya que un incidente contiene una matriz de alertas.

  3. Haga clic en el vínculo Usar una carga de ejemplo para generar el esquema.

    Seleccione el vínculo

  4. Proporcione una carga de ejemplo. Para encontrar una carga de ejemplo, busque en Log Analytics (hoja Registros) otra instancia de esta alerta y copie el objeto de detalles personalizado (en Propiedades extendidas). En la captura de pantalla siguiente, se usa el código JSON mostrado anteriormente.

    Escriba una carga JSON de ejemplo.

  5. Los campos personalizados están listos para usarse en campos dinámicos de tipo Matriz. Aquí puede ver la matriz y sus elementos, tanto en el esquema como en la lista que aparece en Contenido dinámico, que hemos descrito anteriormente.

    Campos del esquema listos para usarse.

Pasos siguientes

En este artículo, ha aprendido más sobre el uso de los desencadenadores y las acciones de los cuadernos de estrategias de Microsoft Sentinel para responder a las amenazas.