Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se explica cómo usar cuadernos de estrategias para crear y, opcionalmente, realizar tareas de incidentes para administrar procesos complejos de flujo de trabajo de analistas en Microsoft Sentinel.

Use la acción Agregar tarea en un cuaderno de estrategias, en el conector de Microsoft Sentinel, para agregar automáticamente una tarea al incidente que desencadenó el cuaderno de estrategias. Se admiten los flujos de trabajo de Standard y consumo.

Sugerencia

Las tareas de incidentes se pueden crear automáticamente no solo mediante cuadernos de estrategias, sino también mediante reglas de automatización y también manualmente, ad hoc, desde un incidente.

Para obtener más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel.

Requisitos previos

  • El rol respondedor de Microsoft Sentinel es necesario para ver y editar incidentes, lo que es necesario para agregar, ver y editar tareas.

  • El rol Colaborador de Logic Apps es necesario para crear y editar cuadernos de estrategias.

Para obtener más información, consulte Microsoft Sentinel requisitos previos del cuaderno de estrategias.

Uso de un cuaderno de estrategias para agregar una tarea y realizarla

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción del cuaderno de estrategias que haga lo siguiente:

  • Agrega una tarea al incidente y restablece la contraseña de un usuario en peligro.
  • Agrega otra acción del cuaderno de estrategias para enviar una señal a Microsoft Entra ID Protection (AADIP) para restablecer realmente la contraseña.
  • Agrega una acción final del cuaderno de estrategias para marcar la tarea en el incidente completado.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector Microsoft Sentinel, agregue la acción Agregar tarea a incidente y, a continuación, haga lo siguiente:

    1. Seleccione el elemento de contenido dinámico Id. de ARM de incidente para el campo Id. de ARM de incidente .

    2. Escriba Restablecer contraseña de usuario como título.

    3. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para restablecer la contraseña de un usuario.

  2. Agregue la acción Entidades - Obtener cuentas (versión preliminar). Agregue el elemento de contenido dinámico Entities (del esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades. Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para obtener las entidades de cuenta en el incidente.

  3. Agregue un bucle For each desde la biblioteca de acciones control . Agregue el elemento de contenido dinámico Cuentas de la salida Entidades - Obtener cuentas al campo Seleccionar una salida de los pasos anteriores . Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de bucle for-each a un cuaderno de estrategias para realizar una acción en cada cuenta detectada.

  4. En el bucle For each( For each ), seleccione Add an action (Agregar una acción). Luego:

    1. Busque y seleccione el conector de Microsoft Entra ID Protection.
    2. Seleccione la acción Confirmar un usuario de riesgo como en peligro (versión preliminar ).
    3. Agregue el elemento de contenido dinámico Accounts Microsoft Entra user ID al campo userIds Item - 1.

    Esta acción establece los procesos en movimiento dentro de Microsoft Entra ID Protection para restablecer la contraseña del usuario.

    Captura de pantalla que muestra el envío de entidades a AADIP para confirmar el peligro.

    Nota:

    El campo Accounts Microsoft Entra user ID (Cuentas Microsoft Entra id. de usuario) es una manera de identificar a un usuario en AADIP. Es posible que no sea necesariamente la mejor manera en todos los escenarios, pero se presenta aquí como un ejemplo.

    Para obtener ayuda, consulte otros cuadernos de estrategias que controlen usuarios en peligro o la documentación de Microsoft Entra ID Protection.

  5. Agregue la acción Marcar una tarea como completada desde el conector de Microsoft Sentinel y agregue el elemento de contenido dinámico Id. de tarea de incidente al campo Id. de ARM de tarea. Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de cuaderno de estrategias para marcar una tarea de incidente completada.

Uso de un cuaderno de estrategias para agregar una tarea condicionalmente

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción de cuaderno de estrategias que investiga una dirección IP que aparece en un incidente.

  • Si los resultados de esta investigación son que la dirección IP es malintencionada, el cuaderno de estrategias crea una tarea para que el analista deshabilite al usuario que usa esa dirección IP.
  • Si la dirección IP no es una dirección malintencionada conocida, el cuaderno de estrategias crea una tarea diferente para que el analista se ponga en contacto con el usuario para comprobar la actividad.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector de Microsoft Sentinel, agregue la acción Entidades - Obtener direcciones IP. Agregue el elemento de contenido dinámico Entities (del esquema de incidentes de Microsoft Sentinel) al campo de lista Entidades. Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para obtener las entidades de dirección IP del incidente.

  2. Agregue un bucle For each desde la biblioteca de acciones control . Agregue el elemento de contenido dinámico ips de la salida Entities - Get IPs (Entidades: obtener direcciones IP ) al campo Seleccionar una salida de los pasos anteriores . Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de bucle for-each a un cuaderno de estrategias para realizar una acción en cada dirección IP detectada.

  3. En el bucle For each( For each ), seleccione Add an action (Agregar una acción) y, a continuación, haga lo siguiente:

    1. Busque y seleccione el conector Virus Total .
    2. Seleccione la acción Obtener un informe ip (versión preliminar).
    3. Agregue el elemento de contenido dinámico Dirección IP desde la salida Entidades - Obtener direcciones IP al campo Dirección IP .

    Por ejemplo:

    Captura de pantalla que muestra el envío de una solicitud al informe de direcciones IP de Virus Total.

  4. En el bucle For each( For each ), seleccione Add an action (Agregar una acción) y, a continuación, haga lo siguiente:

    1. Agregue una condición desde la biblioteca Acciones de control .
    2. Agregue el elemento Last analysis statistics Malicious dynamic content (Contenido dinámico malintencionado de últimas estadísticas de análisis ) desde la salida del informe Obtener una dirección IP . Es posible que tenga que seleccionar Ver más para encontrarlo.
    3. Seleccione es mayor que el operador y escriba 0 como valor.

    Esta condición hace la pregunta "¿El informe de ip total de virus tiene algún resultado?" Por ejemplo:

    Captura de pantalla que muestra cómo establecer una condición verdaderamente falsa en un cuaderno de estrategias.

  5. Dentro de la opción True , seleccione Agregar una acción y, a continuación, haga lo siguiente:

    1. Seleccione la acción Agregar tarea a incidente en el conector de Microsoft Sentinel.
    2. Seleccione el elemento de contenido dinámico Id. de ARM de incidente para el campo Id. de ARM de incidente .
    3. Escriba Marcar usuario como en peligro como título.
    4. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para marcar a un usuario como en peligro.

  6. Dentro de la opción False , seleccione Agregar una acción y, a continuación, haga lo siguiente:

    1. Seleccione la acción Agregar tarea a incidente en el conector de Microsoft Sentinel.
    2. Seleccione el elemento de contenido dinámico Id. de ARM de incidente para el campo Id. de ARM de incidente .
    3. Escriba Ponerse en contacto con el usuario para confirmar la actividad como título.
    4. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para que el usuario confirme la actividad.

Contenido relacionado

Para más información, vea:

  • Last updated on