Creación de tareas de incidentes en Microsoft Sentinel mediante reglas de automatización

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se explica cómo usar reglas de automatización para crear listas de tareas de incidentes, con el fin de estandarizar los procesos de flujo de trabajo de analistas en Microsoft Sentinel.

Las tareas de incidentes se pueden crear automáticamente no solo mediante reglas de automatización, sino también mediante cuadernos de estrategias y también manualmente, ad hoc, desde dentro de un incidente.

Casos de uso para diferentes roles

En este artículo se abordan los siguientes escenarios que se aplican a los administradores de SOC, analistas sénior e ingenieros de automatización:

Otro escenario de este tipo se aborda en el siguiente artículo complementario:

En otro artículo, en los vínculos siguientes, se abordan los escenarios que se aplican más a los analistas de SOC:

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

El rol respondedor de Microsoft Sentinel es necesario para crear reglas de automatización y para ver y editar incidentes, que son necesarios para agregar, ver y editar tareas.

Visualización de reglas de automatización con acciones de tarea de incidentes

En la página Automatización , puede filtrar la vista de las reglas de automatización para ver solo las que tienen definidas las acciones Agregar tarea .

Captura de pantalla que muestra cómo filtrar la cuadrícula de reglas de automatización.

  1. Seleccione el filtro Acciones .

  2. Desmarca la casilla Seleccionar todo .

  3. Desplácese hacia abajo y marque la casilla Agregar tarea .

  4. Seleccione Aceptar y vea los resultados.

    Captura de pantalla que muestra los resultados del filtro en la cuadrícula de reglas de automatización.

    Estas son las reglas de automatización que agregan tareas a incidentes. La columna Nombres de regla de Analytics indica a qué reglas de análisis están condicionadas estas reglas de automatización, por lo que tendrá una idea general de qué incidentes se ven afectados.

    Nota:

    Para tener un conocimiento exacto de si una regla de automatización se aplicará a un incidente determinado, debe abrir la regla para ver si se definen condiciones adicionales, además de la condición de regla de análisis. Si se definen otras condiciones, el ámbito de los incidentes afectados se restringirá en consecuencia.

Adición de tareas a incidentes con reglas de automatización

  1. En la página Automatización , seleccione + Crear y seleccione Regla de automatización.

  2. El panel Crear nueva regla de automatización se abrirá en el lado derecho.
    Asigne a la regla de automatización un nombre que describa lo que hace.

  3. Seleccione Cuando se crea el incidente como desencadenador (también puede usar Cuando se actualiza el incidente).

  4. Agregue condiciones para determinar a qué incidentes se agregarán nuevas tareas.

    Por ejemplo, filtre por nombre de regla de Analytics:

    • Es posible que quiera agregar tareas a incidentes en función de los tipos de amenazas detectadas por una regla de análisis o un grupo de reglas de análisis que deben controlarse según un flujo de trabajo determinado. Busque y seleccione las reglas de análisis pertinentes en la lista desplegable.

    • O bien, es posible que desee agregar tareas que sean pertinentes para incidentes en todos los tipos de amenazas (en este caso, deje la selección predeterminada de Todo tal como está).

    En cualquier caso, puede agregar más condiciones para restringir el ámbito de los incidentes a los que se aplicará la regla de automatización. Obtenga más información sobre cómo agregar condiciones avanzadas a las reglas de automatización.

    Una cosa que debe tener en cuenta es que el orden en el que aparecen las tareas en el incidente viene determinado por el tiempo de creación de las tareas. Puede establecer el orden de las reglas de automatización para que las reglas que agregan las tareas necesarias para todos los incidentes se ejecuten primero y solo después las reglas que agreguen las tareas necesarias para los incidentes generados por reglas de análisis específicas.

    Captura de pantalla de la primera parte del Asistente para reglas de automatización.

  5. En Acciones, seleccione Agregar tarea.

    Captura de pantalla de la elección de la acción Agregar tarea en una regla de automatización.

  6. Para cada tarea, escriba un título en el campo Título de la tarea y, a continuación, (opcionalmente) seleccione + Agregar descripción para abrir un campo de descripción.
    Solo los títulos de tareas aparecen de forma predeterminada en el panel de lista de tareas del incidente. La descripción de una tarea aparece solo cuando se expande el elemento de tarea.

    Captura de pantalla que muestra cómo agregar un título y una descripción a una tarea.

  7. En el campo de descripción puede agregar una descripción de forma libre para la tarea, incluidas imágenes, vínculos y formato de texto enriquecido (consulte los hipervínculos, listas numeradas y texto con formato de bloque de código en los ejemplos siguientes).

    Captura de pantalla que muestra cómo agregar una descripción a una tarea.

  8. Agregue más tareas al mismo grupo de incidentes; para ello, seleccione + Agregar acción y repita los tres últimos pasos.

    Las tareas se crearán y agregarán al incidente según el orden de las acciones Agregar tarea en la regla de automatización.

    Captura de pantalla que muestra cómo agregar más tareas a una regla de automatización.

  9. Para finalizar la creación de la regla de automatización, complete los pasos restantes, Expiración de la regla y Pedido y seleccione Aplicar al final. Consulte Creación y uso de reglas de automatización de Microsoft Sentinel para administrar la respuesta para obtener detalles completos.

    Con respecto a la configuración de pedido : el orden en el que aparecen las tareas en los incidentes depende de dos cosas:

    1. El orden de ejecución de las reglas de automatización, según lo determinado por el número de la configuración Order y...
    2. El orden de las acciones agregar tareas definidas dentro de cada regla de automatización.

Pasos siguientes

  • Last updated on