Tutorial: Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel (versión preliminar)Tutorial: Set up automated threat responses in Azure Sentinel Preview

Importante

Azure Sentinel se encuentra actualmente en versión preliminar pública.Azure Sentinel is currently in public preview. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Este tutorial le ayuda a usar cuadernos de estrategias de seguridad en Azure Sentinel para establecer respuestas automatizadas frente a amenazas en problemas relacionados con la seguridad detectados por Azure Sentinel.This tutorial helps you to use security playbooks in Azure Sentinel to set automated threat responses to security-related issues detected by Azure Sentinel.

  • Comprender los cuadernos de estrategiasUnderstand playbooks
  • Crear un cuaderno de estrategiasCreate a playbook
  • Ejecutar un cuaderno de estrategiasRun a playbook
  • Automatizar las respuestas frente a amenazasAutomate threat responses

¿Qué es un cuaderno de estrategias de seguridad en Azure Sentinel?What is a security playbook in Azure Sentinel?

Un cuaderno de estrategias de seguridad es una colección de procedimientos que se pueden ejecutar desde Azure Sentinel en respuesta a una alerta.A security playbook is a collection of procedures that can be run from Azure Sentinel in response to an alert. Un cuaderno de estrategias de seguridad puede ayudar a automatizar y orquestar la respuesta y se puede ejecutar manualmente o establecerse para que se ejecute automáticamente cuando se desencadenan alertas específicas.A security playbook can help automate and orchestrate your response, and can be run manually or set to run automatically when specific alerts are triggered. Los cuadernos de estrategias de seguridad de Azure Sentinel se basan en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps.Security playbooks in Azure Sentinel are based on Azure Logic Apps, which means that you get all the power, customizability, and built-in templates of Logic Apps. Cada cuaderno de estrategias se crea para la suscripción específica que elija, pero cuando observe la página Cuadernos de estrategias, verá todos los cuadernos de estrategias en las suscripciones seleccionadas.Each playbook is created for the specific subscription you choose, but when you look at the Playbooks page, you will see all the playbooks across any selected subscriptions.

Nota

Los cuadernos de estrategias aprovechan Azure Logic Apps, por lo que se aplican cargos.Playbooks leverage Azure Logic Apps, therefore charges apply. Visite la página de precios de Azure Logic Apps para más información.Visit Azure Logic Apps pricing page for more details.

Por ejemplo, si le preocupa que los atacantes malintencionados accedan a los recursos de red, puede establecer una alerta que busque direcciones IP malintencionadas que accedan a la red.For example, if you're worried about malicious attackers accessing your network resources, you can set an alert that looks for malicious IP addresses accessing your network. A continuación, puede crear un cuaderno de estrategias que haga lo siguiente:Then, you can create a playbook that does the following:

  1. Cuando se desencadene la alerta, abra un vale en ServiceNow o en cualquier otro sistema de vales de TI.When the alert is triggered, open a ticket in ServiceNow or any other IT ticketing system.
  2. Envíe un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad son conscientes del incidente.Send a message to your security operations channel in Microsoft Teams or Slack to make sure your security analysts are aware of the incident.
  3. Envíe toda la información de la alerta al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico también incluye dos botones de opción usuario: Bloquear u Omitir.Send all the information in the alert to your senior network admin and security admin. The email message also includes two user option buttons Block or Ignore.
  4. El cuaderno de estrategias continúa ejecutándose después de que se recibe una respuesta de los administradores.The playbook continues to run after a response is received from the admins.
  5. Si los administradores eligen Bloquear, la dirección IP se bloquea en el firewall y el usuario se deshabilita en Azure AD.If the admins choose Block, the IP address is blocked in the firewall and the user is disabled in Azure AD.
  6. Si elige los administradores omitir, se cierra la alerta en Azure Sentinel y se cierra el incidente de ServiceNow.If the admins choose Ignore, the alert is closed in Azure Sentinel and the incident is closed in ServiceNow.

Los cuadernos de estrategias de seguridad se pueden ejecutar de forma manual o automática.Security playbooks can be run either manually or automatically. La ejecución manual de los mismos significa que cuando obtiene una alerta, puede optar por ejecutar un cuaderno de estrategias a petición como respuesta a la alerta seleccionada.Running them manually means that when you get an alert, you can choose to run a playbook on-demand as a response to the selected alert. Si se ejecutan automáticamente, al crear la regla de correlación, se establece para que ejecute uno o más cuadernos de estrategias automáticamente cuando la alerta se desencadena.Running them automatically means that while authoring the correlation rule, you set it to automatically run one or more playbooks when the alert is triggered.

Creación de un cuaderno de estrategias de seguridadCreate a security playbook

Para crear un nuevo cuaderno de estrategias de seguridad en Azure Sentinel, siga estos pasos:Follow these steps to create a new security playbook in Azure Sentinel:

  1. Abra el panel de Azure Sentinel.Open the Azure Sentinel dashboard.

  2. En Administración, seleccione Cuaderno de estrategias.Under Management, select Playbooks.

    Aplicación lógica

  3. En la página Azure Sentinel - Cuadernos de estrategias (versión preliminar) , haga clic en el botón Agregar.In the Azure Sentinel - Playbooks (Preview) page, click Add button.

    Creación de la aplicación lógica

  4. En la página Crear aplicación lógica, escriba la información solicitada para crear la nueva aplicación lógica y haga clic en el Crear.In the Create Logic app page, type the requested information to create your new logic app, and click Create.

  5. En Diseñador de aplicación lógica , seleccione la plantilla que desea usar.In the Logic App Designer, select the template you want to use. Si selecciona una plantilla que necesite credenciales, tendrá que proporcionarlas.If you select a template that necessitates credentials, you will have to provide them. Como alternativa, puede crear un nuevo cuaderno de estrategias en blanco desde cero.Alternatively, you can create a new blank playbook from scratch. Seleccione Aplicación lógica en blanco.Select Blank Logic App.

    Diseñador de aplicación lógica

  6. Se abrirá el Diseñador de aplicación lógica donde puede crear una plantilla nueva o editarla.You are taken to the Logic App Designer where you can either build new or edit the template. Más información sobre cómo crear un cuaderno de estrategias con Logic Apps.For more information on creating a playbook with Logic Apps.

  7. Si crea un cuaderno de estrategias en blanco, en el campo Buscar todos los conectores y desencadenadores , escriba Azure Sentinel y seleccione When a response to an Azure Sentinel alert is triggered (Cuando se desencadena una respuesta a una alerta de Azure Sentinel).If you are creating a blank playbook, in the Search all connectors and triggers field, type Azure Sentinel, and select When a response to an Azure Sentinel alert is triggered.
    Después de crearlo, el nuevo cuaderno de estrategias aparece en la lista Cuadernos de estrategias.After it is created, the new playbook appears in the Playbooks list. Si no aparece, haga clic en Actualizar.If it doesn’t appear, click Refresh.

  8. Ahora puede definir lo que ocurre cuando se desencadena el playbook.Now you can define what happens when you trigger the playbook. Puede agregar una acción, una condición lógica, condiciones de casos de conmutador o bucles.You can add an action, logical condition, switch case conditions, or loops.

    Diseñador de aplicación lógica

Ejecución de un cuaderno de estrategias de seguridadHow to run a security playbook

Puede ejecutar un cuaderno de estrategias a petición.You can run a playbook on demand.

Para ejecutar un cuaderno de estrategias a petición:To run a playbook on-demand:

  1. En la página incidents (incidentes), seleccione un incidente y haga clic en View full details (Ver detalles completos).In the incidents page, select an incident and click on View full details.

  2. En la pestaña Alertas, haga clic en la alerta que desee para ejecutar el cuaderno de estrategias, desplácese completamente a la derecha, haga clic en Ver cuadernos de estrategias y seleccione un cuaderno de estrategias para ejecutar en el lista de cuadernos de estrategias disponibles en la suscripción.In the Alerts tab, click on the alert you want to run the playbook on, and scroll all the way to the right and click View playbooks and select a playbook to run from the list of available playbooks on the subscription.

Automatizar las respuestas frente a amenazasAutomate threat responses

Los equipos de SIEM y SOC pueden verse inundados con alertas de seguridad periódicamente.SIEM/SOC teams can be inundated with security alerts on a regular basis. El volumen de las alertas generadas es tan grande que los administradores de seguridad disponibles están desbordados.The volume of alerts generated is so huge, that available security admins are overwhelmed. Esto genera, con demasiada frecuencia, situaciones en las que no se pueden investigar muchas alertas, lo que hace que la organización sea vulnerable a ataques que pasan desapercibidos.This results all too often in situations where many alerts can't be investigated, leaving the organization vulnerable to attacks that go unnoticed.

Muchas de estas alertas, si no la mayoría, se ajustan a los patrones recurrentes que se pueden resolver mediante acciones de corrección específicas y definidas.Many, if not most, of these alerts conform to recurring patterns that can be addressed by specific and defined remediation actions. Azure Sentinel ya le permite definir la corrección en los cuadernos de estrategias.Azure Sentinel already enables you to define your remediation in playbooks. También es posible establecer la automatización en tiempo real como parte de la definición del cuaderno de estrategias para que pueda automatizar completamente una respuesta definida ante alertas de seguridad determinadas.It is also possible to set real-time automation as part of your playbook definition to enable you to fully automate a defined response to particular security alerts. Con la automatización en tiempo real, los equipos de respuesta pueden reducir de forma significativa su carga de trabajo al automatizar completamente las respuestas rutinarias a tipos de alertas recurrentes, lo que le permite concentrarse más en las alertas singulares, en el analizar patrones, en la búsqueda de amenazas y mucho más.Using real-time automation, response teams can significantly reduce their workload by fully automating the routine responses to recurring types of alerts, allowing you to concentrate more on unique alerts, analyzing patterns, threat hunting, and more.

Para automatizar las respuestas:To automate responses:

  1. Seleccione la alerta para la que quiere automatizar la respuesta.Select the alert for which you want to automate the response.

  2. En la páginaEditar regla de alerta, en Real-time automation (Automatización en tiempo real), elija el Triggered playbook (Cuaderno de estrategias desencadenado) que quiera ejecutar cuando se cumpla esta regla de alerta.In the Edit alert rule page, under Real-time automation, choose the Triggered playbook you want to run when this alert rule is matched.

  3. Seleccione Guardar.Select Save.

    automatización en tiempo real

Pasos siguientesNext steps

En este tutorial, aprendió cómo ejecutar un cuaderno de estrategias en Azure Sentinel.In this tutorial, you learned how to run a playbook in Azure Sentinel. Continúe con la sección sobre cómo buscar proactivamente amenazas mediante Azure Sentinel.Continue to the how to proactively hunt for threats using Azure Sentinel.