Compartir vía

Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo usar cuadernos de estrategias para crear y, opcionalmente, realizar tareas de incidentes, con el fin de administrar procesos complejos de flujo de trabajo de analistas en Microsoft Sentinel.

Usa la acción Agregar tarea en un cuaderno de estrategias, en el conector Microsoft Sentinel, para agregar automáticamente una tarea al incidente que desencadenó el cuaderno de estrategias. Se admiten los flujos de trabajo Estándar y Consumo.

Sugerencia

Las tareas de incidente se pueden crear automáticamente no solo mediante cuadernos de estrategias, sino también mediante reglas de automatización, y también manualmente, ad hoc, desde dentro de un incidente.

Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel.

Requisitos previos

  • El rol de respondedor de Sentinel Microsoft es necesario para ver y editar incidentes, lo que es necesario para agregar, ver y editar tareas.

  • El rol Colaborador de Logic Apps es necesario para crear y editar cuadernos de estrategias.

Para obtener más información, consulta los Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

Usar un cuaderno de estrategias para agregar una tarea y realizarla

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción de cuaderno de estrategias que haga lo siguiente:

  • Agrega una tarea al incidente y restablece la contraseña de un usuario en peligro.
  • Agrega otra acción de cuaderno de estrategias para enviar una señal a Protección de Microsoft Entra ID (AADIP) a fin de restablecer realmente la contraseña.
  • Agrega una acción final del cuaderno de estrategias para marcar la tarea en el incidente completado.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector de Microsoft Sentinel, agrega la acción Agregar tarea al incidente y luego haz lo siguiente:

    1. Selecciona el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.

    2. Escriba Restablecer contraseña de usuario como Título.

    3. Agregue una Descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para restablecer la contraseña de un usuario.

  2. Agregue la acción Entidades- Obtener cuentas (versión preliminar). Agregue el elemento de contenido dinámico Entities (desde el esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades. Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para obtener las entidades de la cuenta en el incidente.

  3. Agregue un bucle For each desde la biblioteca de acciones de control. Agregue el elemento de contenido dinámico Accounts de la salida Entities - Get Accounts (Entidades: obtener cuentas ) al campo Seleccionar una salida de los pasos anteriores. Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de bucle for-each a un cuaderno de estrategias para realizar una acción en cada cuenta detectada.

  4. En el bucle Para cada uno, seleccione Agregar una acción. Después:

    1. Busca y selecciona el conector Protección de Microsoft Entra ID.
    2. Selecciona la acción Confirmar un usuario de riesgo como en peligro (versión preliminar).
    3. Agregue el elemento de contenido dinámico Identificador de usuario de Cuentas de Microsoft Entra al campo userIds Item - 1.

    Esta acción establece en los procesos de movimiento dentro de Protección de Microsoft Entra ID que restablece la contraseña del usuario.

    Captura de pantalla que muestra el envío de entidades a AADIP para confirmar el riesgo.

    Nota:

    El campo Id. de usuario de cuentas de Microsoft Entra es una manera de identificar a un usuario en AADIP. Es posible que no sea necesariamente la mejor manera en cada escenario, pero se trae aquí como ejemplo.

    Para obtener ayuda, consulte otros cuadernos de estrategias que controle usuarios en peligro o la documentación de Microsoft Entra ID Protection.

  5. Agrega la acción Marcar una tarea como completada desde el conector de Microsoft Sentinel y agrega el elemento de contenido dinámico Id. de tarea del incidente al campo Id. de ARM de la tarea. Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de cuaderno de estrategias para marcar una tarea de incidente completada.

Uso de un cuaderno de estrategias para agregar una tarea de forma condicional

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción de cuaderno de estrategias que investiga una dirección IP que aparece en un incidente.

  • Si los resultados de esta investigación son que la dirección IP es malintencionada, el cuaderno de estrategias creará una tarea para que el analista deshabilite el usuario con esa dirección IP.
  • Si la dirección IP no es una dirección malintencionada conocida, el cuaderno de estrategias creará una tarea diferente para que el analista se comunique con el usuario a fin de comprobar la actividad.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector de Microsoft Sentinel, agregue la acción Entities - Get IPs (Entidades: obtener direcciones IP). Agregue el elemento de contenido dinámico Entities (desde el esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades. Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para obtener las entidades de la dirección IP en el incidente.

  2. Agregue un bucle For each desde la biblioteca de acciones de control. Agregue el elemento de contenido dinámico IPs de la salida Entities - Get IPs (Entidades: obtener IP) al campo Seleccionar una salida de los pasos anteriores. Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de bucle for-each a un cuaderno de estrategias para realizar una acción en cada dirección IP detectada.

  3. En el bucle Para cada uno, selecciona Agregar una acción y luego haz lo siguiente:

    1. Busca y selecciona el conector Virus total.
    2. Selecciona la acción Obtener un informe de IP (versión preliminar).
    3. Agregue el elemento de contenido dinámico Dirección IP de la salida Entities - Get IPs (Entidades: obtener direcciones IP ) al campo Dirección IP.

    Por ejemplo:

    Captura de pantalla que muestra el envío de una solicitud a Virus Total para el informe de direcciones IP.

  4. En el bucle Para cada uno, selecciona Agregar una acción y luego haz lo siguiente:

    1. Agregue una condición desde la biblioteca de acciones de control.
    2. Agrega el elemento de contenido dinámico Estadísticas de último análisis malintencionado de la salida Obtener un informe de IP. Es posible que tengas que seleccionar Ver más para encontrarlo.
    3. Selecciona el operador es mayor que y escribe 0 como valor.

    Esta condición formula la pregunta "¿El informe de IP total de virus tiene algún resultado?" Por ejemplo:

    Captura de pantalla que muestra cómo establecer una condición true-false en un cuaderno de estrategias.

  5. Dentro de la opción True, selecciona Agregar una acción y luego haz lo siguiente:

    1. Seleccione del conector de Microsoft Sentinel la acción Agregar tarea al incidente.
    2. Selecciona el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
    3. Escriba Marcar usuario como en peligro como Título.
    4. Agregue una Descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para marcar a un usuario como en peligro.

  6. Dentro de la opción False, selecciona Agregar una acción y luego haz lo siguiente:

    1. Seleccione del conector de Microsoft Sentinel la acción Agregar tarea al incidente.
    2. Selecciona el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
    3. Escriba Ponerse en contacto con el usuario para confirmar la actividad como título.
    4. Agregue una Descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para que el usuario confirme la actividad.

Contenido relacionado

Para más información, vea: