Automatización en Microsoft Sentinel: orquestación, automatización y respuesta de seguridad (SOAR)

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Los equipos de administración de eventos e información de seguridad (SIEM) y del Centro de operaciones de seguridad (SOC) suelen estar inundados de alertas e incidentes de seguridad de forma periódica, en volúmenes tan grandes que el personal disponible se satura. Esto da como resultado con demasiada frecuencia en situaciones en las que se omiten muchas alertas y muchos incidentes no se investigan, lo que deja a la organización vulnerable a ataques que pasan desapercibidos.

Microsoft Sentinel, además de ser un sistema SIEM, también es una plataforma para la orquestación, automatización y respuesta de seguridad (SOAR). Uno de sus principales propósitos es automatizar las tareas periódicas y predecibles de enriquecimiento, respuesta y corrección que son responsabilidad del personal y el centro de operaciones de seguridad (SOC/SecOps), lo que libera tiempo y recursos para una investigación más detallada de las amenazas avanzadas y su búsqueda.

En este artículo se describen las funcionalidades soar de Microsoft Sentinel y se muestra cómo el uso de reglas de automatización y cuadernos de estrategias en respuesta a amenazas de seguridad aumenta la eficacia del SOC y le ahorra tiempo y recursos.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Reglas de automatización

Microsoft Sentinel usa reglas de automatización para permitir a los usuarios administrar la automatización del control de incidentes desde una ubicación central. Use reglas de automatización para:

  • Asignación de automatización más avanzada a incidentes y alertas mediante cuadernos de estrategias
  • Etiquetar, asignar o cerrar incidentes automáticamente sin un cuaderno de estrategias
  • Automatización de respuestas para varias reglas de análisis a la vez
  • Cree listas de tareas que los analistas deben realizar al evaluar, investigar y corregir incidentes.
  • Controlar el orden de las acciones que se ejecutan

Se recomienda aplicar reglas de automatización cuando se crean o actualizan incidentes para simplificar aún más la automatización y simplificar los flujos de trabajo complejos para los procesos de orquestación de incidentes.

Para obtener más información, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.

Cuadernos de estrategias

Un cuaderno de estrategias es una colección de acciones de respuesta y corrección y lógica que se puede ejecutar desde Microsoft Sentinel como rutina. Un cuaderno de estrategias puede:

  • Ayudar a automatizar y orquestar la respuesta a amenazas
  • Integración con otros sistemas, tanto internos como externos
  • Esté configurado para que se ejecute automáticamente en respuesta a alertas o incidentes específicos, o ejecute manualmente a petición, como en respuesta a nuevas alertas.

En Microsoft Sentinel, los cuadernos de estrategias se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa. Esto significa que los cuadernos de estrategias pueden aprovechar toda la potencia y la personalización de las funcionalidades de integración y orquestación de Logic Apps y las herramientas de diseño fáciles de usar, así como la escalabilidad, confiabilidad y nivel de servicio de un servicio de nivel 1 Azure.

Para obtener más información, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Automatización en el portal de Microsoft Defender

Tenga en cuenta los detalles siguientes sobre cómo funciona la automatización para Microsoft Sentinel en el portal de Defender. Si es un cliente existente que está realizando la transición de la Azure Portal al portal de Defender, puede observar diferencias en la forma en que funciona la automatización en el área de trabajo después de incorporarse al portal de Defender.

Funcionalidad Description
Reglas de automatización con desencadenadores de alerta En el portal de Defender, las reglas de automatización con desencadenadores de alerta solo actúan en Microsoft Sentinel alertas.

Para obtener más información, consulte Desencadenador de creación de alertas.
Reglas de automatización con desencadenadores de incidentes Tanto en la Azure Portal como en el portal de Defender, se quita la propiedad de condición del proveedor de incidentes, ya que todos los incidentes tienen Microsoft XDR como proveedor de incidentes (el valor del campo ProviderName).

En ese momento, las reglas de automatización existentes se ejecutan en incidentes de Microsoft Sentinel y Microsoft Defender XDR, incluidos aquellos en los que la condición del proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender.

Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutan en incidentes que contienen alertas creadas por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición de nombre de regla analítica en una regla de análisis que exista solo en Microsoft Sentinel para limitar la ejecución de la regla en incidentes solo en Microsoft Sentinel.

Además, después de incorporarse al portal de Defender, la tabla SecurityIncident ya no incluye un campo Descripción . Por lo tanto:

- Si usa este campo Descripción como condición para una regla de automatización con un desencadenador de creación de incidentes, esa regla de automatización no funcionará después de incorporarla al portal de Defender. En tales casos, asegúrese de actualizar la configuración correctamente. Para obtener más información, consulte Condiciones del desencadenador de incidentes.
- Si tiene una integración configurada con un sistema de vales externo, como ServiceNow, faltará la descripción del incidente.
Latencia en los desencadenadores del cuaderno de estrategias Los incidentes de Microsoft Defender pueden tardar hasta 5 minutos en aparecer en Microsoft Sentinel. Si este retraso está presente, el desencadenador del cuaderno de estrategias también se retrasa.
Cambios en los nombres de incidentes existentes El portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo al portal de Defender, es posible que se cambien los nombres de incidentes existentes si se aplica la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar el uso de títulos de incidentes como criterios de condición en las reglas de automatización y, en su lugar, sugerir que use el nombre de cualquier regla de análisis que haya creado alertas incluidas en el incidente y etiquetas si se requiere más especificidad.
Actualizado por campo
  • Después de incorporar el área de trabajo, el campo Actualizado por tiene un nuevo conjunto de valores admitidos, que ya no incluyen Microsoft 365 Defender. En las reglas de automatización existentes, Microsoft 365 Defender se reemplaza por un valor de Other después de incorporar el área de trabajo.

  • Si se realizan varios cambios en el mismo incidente en un período de 5 a 10 minutos, se envía una sola actualización a Microsoft Sentinel, con solo el cambio más reciente.

    Para obtener más información, consulte Desencadenador de actualización de incidentes.
    		•
    Creación de reglas de automatización directamente desde un incidente La creación de reglas de automatización directamente desde un incidente solo se admite en el Azure Portal. Si trabaja en el portal de Defender, cree las reglas de automatización desde cero desde la página Automatización .
    Reglas de creación de incidentes de Microsoft Las reglas de creación de incidentes de Microsoft no se admiten en el portal de Defender.

    Para obtener más información, consulte Microsoft Defender XDR incidentes y reglas de creación de incidentes de Microsoft.
    Ejecución de reglas de automatización desde el portal de Defender Puede tardar hasta 10 minutos desde el momento en que se desencadena una alerta y se crea o actualiza un incidente en el portal de Defender hasta que se ejecuta una regla de automatización. Este retraso se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización.
    Pestaña Cuadernos de estrategias activos Después de la incorporación al portal de Defender, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En el Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción.

    Para obtener más información, vea Crear y personalizar Microsoft Sentinel cuadernos de estrategias a partir de plantillas.
    Ejecución manual de cuadernos de estrategias a petición Los procedimientos siguientes no se admiten actualmente en el portal de Defender:
  • Ejecución manual de un cuaderno de estrategias en una alerta
  • Ejecución manual de un cuaderno de estrategias en una entidad
    		•
    La ejecución de cuadernos de estrategias en incidentes requiere Microsoft Sentinel sincronización Si intenta ejecutar un cuaderno de estrategias en un incidente desde el portal de Defender y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos", esto significa que el incidente aún no está sincronizado con Microsoft Sentinel.

    Actualice la página del incidente después de sincronizar el incidente para ejecutar el cuaderno de estrategias correctamente.
    Incidentes: adición de alertas a incidentes /
    Eliminación de alertas de incidentes    		 Dado que no se admite la adición de alertas a ni la eliminación de alertas de incidentes después de incorporar el área de trabajo al portal de Defender, estas acciones tampoco se admiten desde los cuadernos de estrategias. Para obtener más información, consulte Descripción de cómo se correlacionan las alertas y los incidentes se combinan en el portal de Defender.
    integración Microsoft Defender XDR en varias áreas de trabajo Si ha integrado datos XDR con más de un área de trabajo en un único inquilino, los datos ahora solo se ingieren en el área de trabajo principal en el portal de Defender. Transfiera las reglas de automatización al área de trabajo pertinente para mantenerlas en ejecución.
    Automatización y el motor de correlación El motor de correlación puede combinar alertas de varias señales en un único incidente, lo que podría dar lugar a la automatización de la recepción de datos que no anticipó. Se recomienda revisar las reglas de automatización para asegurarse de que ve los resultados esperados.

    Contenido relacionado

    • Last updated on