Generación de cuadernos de estrategias mediante IA en Microsoft Sentinel (versión preliminar)

El generador de cuadernos de estrategias SOAR crea flujos de trabajo de automatización basados en Python coautorados a través de una experiencia conversacional con Cline, un agente de codificación de inteligencia artificial. Se describe la lógica de automatización en lenguaje natural y el sistema genera cuadernos de estrategias validados basados en código con documentación completa y diagramas de flujo visual. Esta experiencia se basa en un entorno de VS Code insertado en el portal de Defender, por lo que puede crear y refinar cuadernos de estrategias sin salir del portal. Los cuadernos de estrategias generados usan datos de alerta como entrada y generan dinámicamente las llamadas API necesarias, siempre y cuando configure la integración para el proveedor de destino.

En este artículo se describe cómo generar cuadernos de estrategias mediante la inteligencia artificial, configurar las integraciones necesarias e implementar los flujos de trabajo de automatización.

La generación de cuadernos de estrategias proporciona las siguientes funcionalidades:

• Coautor con IA: cree cuadernos de estrategias a través de conversaciones en lenguaje natural con Cline, un agente de codificación de inteligencia artificial hospedado en un entorno de VS Code insertado en el portal de Defender.
• Pruebas: una vez generado el cuaderno de estrategias, puede probarlo proporcionando una alerta real como entrada.
• Documentación automática: generar documentación completa del cuaderno de estrategias y diagramas de flujo visual automáticamente
• Integraciones de terceros: conexión de herramientas externas y API sin problemas a través de perfiles de integración
• Amplia cobertura de alertas: aplique la automatización a las alertas de las plataformas Microsoft Sentinel, Microsoft Defender y XDR.

Un entorno de VS Code insertado en el portal de Microsoft Defender impulsa la experiencia. Puede crear y refinar cuadernos de estrategias sin salir del portal.

Requisitos previos

No necesita experiencia de codificación previa para generar un cuaderno de estrategias, pero ayuda a familiarizarse con herramientas como VS Code y Entra registro de la aplicación de identificador.

También debe cumplir los siguientes requisitos:

Requisitos del entorno

• Security Copilot: el inquilino debe estar Security Copilot habilitado con las SCU disponibles. No se le facturan las SCU, pero su disponibilidad es un requisito técnico.

• Microsoft Sentinel área de trabajo: el inquilino debe tener un área de trabajo de Microsoft Sentinel incorporada a Microsoft Defender. Para crear un área de trabajo, consulte Creación de un área de trabajo.

• Preferencias de uso compartido de datos recomendadas: en Security Copilot, habilite el primer control deslizante, Permitir a Microsoft capturar datos de Security Copilot para validar el rendimiento del producto mediante la revisión humana, en Preferencias de uso compartido de datos del cliente. Para obtener más información, consulte Privacidad y seguridad de datos en Microsoft Security Copilot.

Permisos y roles necesarios

Para usar el generador de cuadernos de estrategias, necesita los permisos siguientes:

• Para crear reglas de automatización: necesita el rol colaborador de Microsoft Sentinel en las áreas de trabajo o grupos de recursos pertinentes que las contengan en Azure. Consulte Microsoft Entra roles integrados

• Para usar el generador de cuadernos de estrategias: necesita el rol Detección de optimización en Microsoft Entra en Azure. Consulte Microsoft Entra roles integrados

Recomendado: Configuración de un área de trabajo de Security Copilot dedicada

Si aún no tiene un área de trabajo de Security Copilot dedicada para los cuadernos de estrategias generados por IA que se establecen en la región geográfica ee. UU. o Europa, o si permite la evaluación entre regiones, se recomienda crear uno.

1. En el cuadro de diálogo Crear un área de trabajo:

   1. Habilite las siguientes marcas de privacidad:

      • Permitir que Microsoft capture datos para validar el rendimiento del producto
      • Permitir que Microsoft capture y revise datos para compilar y validar el modelo de inteligencia artificial de seguridad de Microsoft

   2. Acepte los Términos y condiciones.

   3. En Capacidad, seleccione Crear una nueva capacidad.

      

2. Configure la nueva capacidad:

   En el cuadro de diálogo Crear una capacidad de seguridad :

   1. Elija la suscripción Azure, el grupo de recursos y el nombre de la capacidad.

   2. Establezca Ubicación de evaluación de mensajes en Estados Unidos o Europa. Si selecciona una ubicación diferente, active la casilla: si esta ubicación tiene demasiado tráfico, permita que Copilot evalúe los mensajes en cualquier parte del mundo.

   3. Ajuste las unidades de proceso y permita la configuración de uso excesivo. El generador de cuadernos de estrategias no consume unidades de proceso de seguridad (SCU), pero debe configurar la capacidad para cumplir estos requisitos técnicos para la generación del cuaderno de estrategias.

   4. Seleccione Crear.

Los cuadernos de estrategias generados usan automáticamente este área de trabajo.

Conceptos básicos

Perfiles de integración

Los perfiles de integración son configuraciones seguras que permiten a los cuadernos de estrategias generados interactuar con api externas. Cada integración incluye:

• Dirección URL base
• Método de autenticación
• Credenciales necesarias

El generador del cuaderno de estrategias usa la integración para ejecutar llamadas API. Si falta la integración, se le pedirá que cree una antes de continuar con la generación del cuaderno de estrategias. Administre los perfiles de integración de forma centralizada en el portal de Defender en la pestaña Automatización . Antes de crear un cuaderno de estrategias, asegúrese de configurar todas las integraciones necesarias.

Para agregar integración, seleccione Integración en la pestaña Automatización o use el vínculo Agregar integración en la parte superior de la página VS Code. No se puede editar la dirección URL de los vínculos de integración existentes. Cree un nuevo vínculo de integración si es necesario y elimine el anterior.

Desencadenador de alerta mejorado

El desencadenador de alertas mejorado amplía las funcionalidades de automatización más allá del desencadenador de alertas estándar proporcionando lo siguiente:

• Cobertura más amplia: alertas de destino en plataformas Microsoft Sentinel, Microsoft Defender y XDR
• Aplicación de nivel de inquilino: garantizar la coherencia entre varias áreas de trabajo
• Condiciones avanzadas: definir criterios granulares para desencadenar la automatización

Este mecanismo de desencadenador permite la ejecución automática de cuadernos de estrategias generados en todo el ecosistema de seguridad.

Generación de un nuevo cuaderno de estrategias

Paso 1. Cree un perfil de integración de Graph API y agregue cualquier otra integración necesaria que quiera usar.

1. En el Azure Portal, vaya a Microsoft Entra ID>Manage>Registros de aplicaciones.

2. Seleccione Nuevo registro.

   

3. Una vez finalizado el registro, seleccione el registro de la aplicación y vaya a Información general.

4. Copie el identificador de aplicación (cliente) y el identificador de directorio (inquilino). Guarde estos valores para su uso posterior.

5. Vaya a Administrar>certificados & secretos Secretos>de cliente.

6. Seleccione Nuevo secreto de cliente, proporcione un nombre y una fecha de expiración y, a continuación, seleccione Agregar.

   

7. Copie inmediatamente el valor del secreto de cliente y almacénelo de forma segura. No se puede recuperar este valor de nuevo.

Creación del perfil de integración

1. En el portal de Microsoft Defender, vaya a Microsoft Sentinel>Configuración de configuración>.

2. Seleccione la pestaña Perfiles de integración .

3. Seleccione Crear y proporcione la siguiente información:

   Campo	Valor
   Nombre de integración	Cualquier nombre descriptivo, por ejemplo, "Graph Integration"
   Descripción	Descripción breve, por ejemplo, "Integración con las API de Microsoft Graph"
   Base API URL	https://graph.microsoft.com
   Método de autenticación	OAuth2
   Id. de cliente	Pegue el identificador de aplicación (cliente) que copió anteriormente.
   Secreto de cliente	Pegue el valor del secreto de cliente que copió anteriormente.
   Punto de conexión de token	https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token (Reemplace {TENANT_ID} por el identificador de directorio (inquilino)
   Scopes	https://graph.microsoft.com/.default

   

4. Compruebe en Microsoft Graph/Application que SecurityAlert.Read.All aparece en la lista y que el estado se concede para <el inquilino>.

Creación de perfiles de integración adicionales

Configure perfiles de integración para cualquier otro servicio de terceros que usen los cuadernos de estrategias. Cada integración requiere:

• Un nombre y una descripción únicos
• Dirección URL de la API base del servicio
• Un método de autenticación (credenciales de cliente de OAuth2, clave de API, autenticación de AWS, usuario y contraseña, portador/JWT o Hawk)
• Credenciales adecuadas para el método de autenticación seleccionado

Paso 2. Creación de un cuaderno de estrategias generado

1. Seleccione la pestaña Cuadernos de estrategias .

2. Seleccione Crear>generador de cuadernos de estrategias.

3. Escriba un nombre para el cuaderno de estrategias y seleccione Continuar.

   Se abre un entorno de Visual Studio Code incrustado con Cline.

Trabajar en modo plan

Cuando se abre el editor, la experiencia se inicia en el modo Plan. En este modo, describirá los requisitos de automatización y el generador de cuadernos de estrategias generará un plan de revisión.

1. En la interfaz de chat, describa los requisitos del cuaderno de estrategias con detalle. Sea explícito sobre:

   • Qué datos se van a procesar
   • Qué acciones realizar
   • Qué condiciones se van a evaluar
   • Resultados esperados

   Ejemplo: "Crear un cuaderno de estrategias que se desencadene en alertas de suplantación de identidad (phishing). Extraiga la dirección de correo electrónico del remitente. Compruebe si el usuario existe en nuestro directorio y, si es así, deshabilite temporalmente su cuenta y notifíquelo al equipo de seguridad". Para ver otros ejemplos de mensajes, consulte la sección Ejemplo de caso de uso .

2. Si el generador de cuadernos de estrategias solicita aprobación para capturar direcciones URL de documentación, apruebe la solicitud. Esta aprobación permite al generador de cuadernos de estrategias acceder a la documentación de API pertinente para generar código preciso.

1. El generador de cuadernos de estrategias analiza la solicitud y puede:

   • Formular preguntas aclarantes
   • Solicitar documentación de API si no se puede acceder a ella a través de la búsqueda web
   • Notificarle de la falta de perfiles de integración
   • Generación de un plan preliminar y un diagrama de flujo

2. Si el generador del cuaderno de estrategias identifica los perfiles de integración que faltan:

   1. Seleccione Guardar y salga del entorno de VS Code.

   2. Cree los perfiles de integración que faltan en la pestaña Perfiles de integración .

   3. Vuelva a editar el cuaderno de estrategias para continuar.

   

Revisión y aprobación del plan

1. Revise cuidadosamente el plan y el diagrama de flujo generados.

2. Si necesita cambios, describa las modificaciones en el chat. El generador del cuaderno de estrategias revisa el plan en consecuencia.

3. Cuando esté satisfecho con el plan, siga las instrucciones y cambie al modo de acción.

Generación del cuaderno de estrategias en modo Act

1. Después de cambiar al modo Act, el generador de cuadernos de estrategias ofrece:

   • El código completo del cuaderno de estrategias en Python
   • Validación de código
   • Documentación completa, incluido un diagrama de flujo visual y una descripción del cuaderno de estrategias en lenguaje natural

2. El generador del cuaderno de estrategias solicita al usuario un identificador de alerta para ejecutar una prueba del cuaderno de estrategias. Antes de ejecutar la prueba, el generador del cuaderno de estrategias describe los cambios que se aplicarán al entorno y solicita la aprobación del usuario para continuar.

3. La herramienta podría solicitar aprobación para la generación de código. Para habilitar la generación automática sin solicitudes de aprobación, active la casilla Editar en Aprobación automática.

Validar y guardar el cuaderno de estrategias

1. Para garantizar la corrección, revise manualmente el código y la documentación generados.

2. Para obtener una vista previa de la documentación en formato Markdown:

   • Windows/Linux: Presione Ctrl + Mayús V +
   • macOS: presione Cmd + Mayús + V

3. Seleccione Guardar en la parte inferior izquierda del editor.

   El cuaderno de estrategias se crea en un estado deshabilitado.

4. Cierre el editor cuando haya terminado.

Habilitación e implementación del cuaderno de estrategias

Después de la creación, el cuaderno de estrategias generado requiere activación y un desencadenador de alerta para empezar a automatizar las respuestas.

Habilitación del cuaderno de estrategias

1. En la página Automatización , seleccione la pestaña Cuadernos de estrategias activos .

2. Busque el cuaderno de estrategias recién creado.

3. Cambie el estado del cuaderno de estrategias a Activar.

Creación de un desencadenador de alerta mejorado

1. Vaya a la pestaña Reglas de automatización .

2. Seleccione Crear para definir una nueva regla con desencadenador mejorado.

3. Configure las condiciones del desencadenador:

   Configuración	Descripción
   Condiciones	Definir criterios como el título de alerta, la gravedad, el proveedor u otros atributos
   Áreas de trabajo	Seleccione una o varias áreas de trabajo en las que se aplica esta regla. Las áreas de trabajo que requieren permisos adicionales aparecen atenuadas
   Acciones	Seleccione Ejecutar cuaderno de estrategias y elija el cuaderno de estrategias habilitado.

4. Haga clic en Guardar.

El cuaderno de estrategias generado ahora se ejecuta automáticamente cuando se generan alertas que coinciden con las condiciones especificadas.

Supervisión de la ejecución del cuaderno de estrategias

Para ver los detalles de ejecución del cuaderno de estrategias generado:

1. Vaya a la página del incidente que contiene la alerta pertinente.

2. Seleccione la ficha Actividades.

3. Busque el cuaderno de estrategias de ejecución con etiqueta de fila para ver el estado de ejecución y los detalles.

Caso de uso de ejemplo

A continuación se muestran ejemplos de mensajes que puede usar para generar cuadernos de estrategias para escenarios comunes:

• Cree un cuaderno de estrategias que enriquezca las entidades de dirección URL de alerta con datos de VirusTotal y agregue los resultados como un comentario al incidente relacionado.
• Cree un cuaderno de estrategias que bloquee un usuario de AWS IAM, asigne la alerta a John y agregue un comentario de corrección cuando una alerta de gravedad alta incluya una entidad de usuario de IAM.

Limitaciones

Tenga en cuenta las siguientes limitaciones al trabajar con cuadernos de estrategias generados:

Limitaciones del cuaderno de estrategias

• Compatibilidad con lenguajes: solo se admite Python para la creación de cuadernos de estrategias
• Restricciones de entrada: los cuadernos de estrategias aceptan actualmente alertas como el único tipo de entrada
• Edición simultánea: un único usuario solo puede editar un cuaderno de estrategias a la vez. Sin embargo, varios usuarios pueden editar diferentes cuadernos de estrategias simultáneamente
• Compatibilidad con bibliotecas: actualmente no se admiten bibliotecas externas
• Validación de código: no se proporciona ninguna validación automática de código. Los usuarios deben comprobar manualmente la corrección
• Número de cuadernos de estrategias: puede crear hasta 100 cuadernos de estrategias por inquilino
• Tamaño del cuaderno de estrategias: cada cuaderno de estrategias puede tener hasta 5000 líneas
• Runtime: el tiempo de ejecución máximo por ejecución del cuaderno de estrategias es de 10 minutos.
• Integraciones: el número máximo de integraciones por inquilino es de 500.
• Interacciones de inteligencia artificial: máximo de 8 M de tokens por día por inquilino

Limitaciones de los perfiles de integración

• Limitaciones de integración: Las integraciones de Microsoft Graph y Azure Resource Manager no están habilitadas de forma predeterminada y se deben crear manualmente.
• Métodos de autenticación: los métodos disponibles incluyen credenciales de cliente de OAuth2, clave de API, autenticación de AWS, usuario y contraseña, autenticación de portador/JWT y Hawk
• Configuración de integración: la dirección URL de API y el método de autenticación no se pueden cambiar después de la creación

Limitaciones del desencadenador de alertas de la regla de automatización

• Limitaciones del desencadenador: las reglas de desencadenador de alertas mejoradas no admiten el orden de prioridad ni las fechas de expiración
• Acciones disponibles: actualmente, las únicas acciones disponibles desencadenan cuadernos de estrategias generados y actualizan alertas de acción.
• Permisos del área de trabajo: debe especificar explícitamente las áreas de trabajo donde tiene permisos; el desencadenador no se aplica a las áreas de trabajo a las que no se puede acceder.
• Tablas de reglas independientes: las reglas mejoradas del desencadenador de alertas se activan junto con Standard reglas de desencadenador de alertas en una tabla de reglas de Automatización independiente. Actualmente, no hay ninguna migración automática de Standard reglas de desencadenador de alertas.
• Visibilidad de resultados de ejecución: los resultados de la ejecución de la regla de automatización no se escriben en la tabla de estado de Sentinel. Sin embargo, puede ver las ejecuciones y sus resultados en la pestaña Actividad del incidente que contiene la alerta de destino.
• El número máximo de reglas de automatización activas que puede crear es de 500 por inquilino.
• Puede ejecutar una acción por regla.

Contenido relacionado

• Creación y administración de cuadernos de estrategias de Microsoft Sentinel
• Automatización y ejecución Microsoft Sentinel cuadernos de estrategias
• Autenticación de cuadernos de estrategias en Microsoft Sentinel
• Privacidad y seguridad de los datos en Seguridad de Microsoft Copilot