Tutorial: Comprobar y registrar automáticamente la información de reputación de direcciones IP en incidentes

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Una manera rápida y sencilla de evaluar la gravedad de un incidente es ver si se sabe que las direcciones IP de él son orígenes de actividad malintencionada. Tener una manera de hacerlo automáticamente puede ahorrarle mucho tiempo y esfuerzo.

En este tutorial, aprenderá a usar Microsoft Sentinel reglas de automatización y cuadernos de estrategias para comprobar automáticamente las direcciones IP de los incidentes en un origen de inteligencia sobre amenazas y registrar cada resultado en su incidente pertinente.

Cuando complete este tutorial, podrá:

  • Creación de un cuaderno de estrategias a partir de una plantilla
  • Configuración y autorización de las conexiones del cuaderno de estrategias a otros recursos
  • Creación de una regla de automatización para invocar el cuaderno de estrategias
  • Ver los resultados del proceso automatizado

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Para completar este tutorial, asegúrese de que tiene:

  • Una suscripción de Azure. Cree una cuenta gratuita si aún no tiene una.

  • Un área de trabajo de Log Analytics con la solución Microsoft Sentinel implementada en ella y los datos que se ingieren en ella.

  • Un usuario Azure con los siguientes roles asignados en los siguientes recursos:

  • Solución VirusTotal instalada desde el Centro de contenido

  • Una cuenta de VirusTotal (gratuita) será suficiente para este tutorial. Una implementación de producción requiere una cuenta de VirusTotal Premium.

  • Un agente de Azure Monitor instalado en al menos una máquina del entorno para que los incidentes se generen y envíen a Microsoft Sentinel.

Creación de un cuaderno de estrategias a partir de una plantilla

Microsoft Sentinel incluye plantillas de cuaderno de estrategias listas para usar que puede personalizar y usar para automatizar un gran número de objetivos y escenarios básicos de SecOps. Busquemos uno para enriquecer la información de la dirección IP en nuestros incidentes.

  1. En Microsoft Sentinel, seleccione Automatización de configuración>.

  2. En la página Automatización, seleccione la pestaña Plantillas de cuaderno de estrategias (versión preliminar).

  3. Busque y seleccione una de las plantillas de informe Enriquecimiento ip - Total de virus para los desencadenadores de entidad, incidente o alerta. Si es necesario, filtre la lista por la etiqueta Enriquecimiento para buscar las plantillas.

  4. Seleccione Crear cuaderno de estrategias en el panel de detalles. Por ejemplo:

    Captura de pantalla de la plantilla Enriquecimiento ip - Informe total de virus- Desencadenador de entidad seleccionada.

  5. Se abrirá el Asistente para crear cuaderno de estrategias . En la pestaña Aspectos básicos :

    1. Seleccione la suscripción, el grupo de recursos y la región en sus respectivas listas desplegables.

    2. Edite el nombre del cuaderno de estrategias agregando al final del nombre sugerido "Get-VirusTotalIPReport". De este modo, podrás saber de qué plantilla original procede este cuaderno de estrategias, a la vez que te aseguras de que tiene un nombre único en caso de que quieras crear otro cuaderno de estrategias a partir de esta misma plantilla. Vamos a llamarlo "Get-VirusTotalIPReport-Tutorial-1".

    3. Deje desactivada la opción Habilitar registros de diagnóstico en Log Analytics .

    4. Seleccione Siguiente: Conexiones >.

  6. En la pestaña Conexiones , verá todas las conexiones que este cuaderno de estrategias debe realizar a otros servicios y el método de autenticación que se usará si la conexión ya se ha realizado en un flujo de trabajo existente de Logic App en el mismo grupo de recursos.

    1. Deje la conexión Microsoft Sentinel tal y como está (debe decir "Conectar con identidad administrada").

    2. Si alguna conexión dice "Se configurará nueva conexión", se le pedirá que lo haga en la siguiente fase del tutorial. O bien, si ya tiene conexiones a estos recursos, seleccione la flecha del expansador situada a la izquierda de la conexión y elija una conexión existente en la lista expandida. Para este ejercicio, lo dejaremos tal como está.

      Captura de pantalla de la pestaña Conexiones del Asistente para la creación del cuaderno de estrategias.

    3. Seleccione Siguiente: Revisar y crear >.

  7. En la pestaña Revisar y crear , revise toda la información que ha escrito tal y como se muestra aquí y seleccione Crear cuaderno de estrategias.

    Captura de pantalla de la pestaña Revisar y crear del Asistente para la creación del cuaderno de estrategias.

    A medida que se implementa el cuaderno de estrategias, verá una serie rápida de notificaciones de su progreso. A continuación, se abrirá el diseñador de aplicaciones lógicas con el cuaderno de estrategias mostrado. Todavía tenemos que autorizar las conexiones de la aplicación lógica a los recursos con los que interactúa para que se pueda ejecutar el cuaderno de estrategias. A continuación, revisaremos cada una de las acciones del cuaderno de estrategias para asegurarse de que son adecuadas para nuestro entorno, realizando cambios si es necesario.

    Captura de pantalla del cuaderno de estrategias abierta en la ventana del diseñador de aplicaciones lógicas.

Autorización de conexiones de aplicación lógica

Recuerde que cuando creamos el cuaderno de estrategias a partir de la plantilla, se nos dijo que las conexiones Azure Recopilador de datos de Log Analytics y Total de virus se configurarían más adelante.

Captura de pantalla de la información de revisión del asistente para la creación del cuaderno de estrategias.

Aquí es donde hacemos eso.

Autorización de la conexión de Virus Total

  1. Seleccione la acción Para cada acción para expandirla y revisar su contenido, que incluye las acciones que se realizarán para cada dirección IP. Por ejemplo:

    Captura de pantalla de la acción de instrucción de bucle for-each en el diseñador de aplicaciones lógicas.

  2. El primer elemento de acción que ve está etiquetado como Conexiones y tiene un triángulo de advertencia naranja.

    Si en su lugar, esa primera acción está etiquetada como Obtener un informe ip (versión preliminar), significa que ya tiene una conexión existente a Virus Total y puede ir al paso siguiente.

    1. Seleccione la acción Conexiones para abrirla.

    2. Seleccione el icono de la columna No válido para la conexión mostrada.

      Captura de pantalla de la configuración de conexión total de virus no válida.

      Se le pedirá información de conexión.

      Captura de pantalla que muestra cómo escribir la clave de API y otros detalles de conexión para Virus Total.

    3. Escriba "Virus Total" como nombre de conexión.

    4. Para x-api_key, copie y pegue la clave de API de la cuenta de Virus Total.

    5. Seleccione Actualizar.

    6. Ahora verá la acción Obtener un informe ip (versión preliminar) correctamente. (Si ya tenía una cuenta de Virus Total, ya estará en esta fase).

      Captura de pantalla que muestra la acción de enviar una dirección IP a Virus Total para recibir un informe al respecto.

Autorización de la conexión de Log Analytics

La siguiente acción es una condición que determina el resto de las acciones del bucle for-each en función del resultado del informe de direcciones IP. Analiza la puntuación de reputación dada a la dirección IP del informe. Una puntuación superior a 0 indica que la dirección es inofensiva; una puntuación inferior a 0 indica que es malintencionada.

Captura de pantalla de la acción de condición en el diseñador de aplicaciones lógicas.

Independientemente de si la condición es verdadera o falsa, queremos enviar los datos del informe a una tabla de Log Analytics para que se puedan consultar y analizar, y agregar un comentario al incidente.

Pero como verá, tenemos más conexiones no válidas que debemos autorizar.

Captura de pantalla que muestra escenarios verdaderos y falsos para la condición definida.

  1. Seleccione la acción Conexiones en el marco True .

  2. Seleccione el icono de la columna No válido para la conexión mostrada.

    Captura de pantalla de la configuración de conexión de Log Analytics no válida.

    Se le pedirá información de conexión.

    Captura de pantalla que muestra cómo escribir el identificador y la clave del área de trabajo y otros detalles de conexión para Log Analytics.

  3. Escriba "Log Analytics" como nombre de conexión.

  4. En Id. de área de trabajo, copie y pegue el identificador de la página Información general de la configuración del área de trabajo de Log Analytics.

  5. Seleccione Actualizar.

  6. Ahora verá la acción Enviar datos correctamente. (Si ya tenía una conexión de Log Analytics desde Logic Apps, ya estará en esta fase).

    Captura de pantalla que muestra la acción para enviar un registro de informe De virus total a una tabla de Log Analytics.

  7. Ahora, seleccione la acción Conexiones en el marco Falso . Esta acción usa la misma conexión que la del marco True.

  8. Compruebe que la conexión denominada Log Analytics esté marcada y seleccione Cancelar. Esto garantiza que la acción ahora se mostrará correctamente en el cuaderno de estrategias.

    Captura de pantalla de la segunda configuración de conexión de Log Analytics no válida.

    Ahora verá todo el cuaderno de estrategias, configurado correctamente.

  9. ¡Muy importante! No olvide seleccionar Guardar en la parte superior de la ventana Diseñador de aplicaciones lógicas . Después de ver los mensajes de notificación de que el cuaderno de estrategias se guardó correctamente, verá el cuaderno de estrategias en la pestaña Cuadernos de estrategias activos* de la página Automatización .

Creación de una regla de automatización

Ahora, para ejecutar realmente este cuaderno de estrategias, deberá crear una regla de automatización que se ejecutará cuando se creen incidentes e invoquen el cuaderno de estrategias.

  1. En la página Automatización , seleccione + Crear en el banner superior. En el menú desplegable, seleccione Regla de automatización.

    Captura de pantalla de la creación de una regla de automatización desde la página Automatización.

  2. En el panel Crear nueva regla de automatización , asigne a la regla el nombre "Tutorial: Enriquecer la información de IP".

    Captura de pantalla de la creación de una regla de automatización, su nomenclatura y la adición de una condición.

  3. En Condiciones, seleccione + Agregar y Condición (And).

    Captura de pantalla de la adición de una condición a una regla de automatización.

  4. Seleccione Dirección IP en la lista desplegable de propiedades de la izquierda. Seleccione Contiene en la lista desplegable del operador y deje el campo de valor en blanco. Esto significa efectivamente que la regla se aplicará a los incidentes que tengan un campo de dirección IP que contenga cualquier cosa.

    No queremos impedir que esta automatización cubra ninguna regla de análisis, pero tampoco queremos que la automatización se desencadene innecesariamente, por lo que vamos a limitar la cobertura a incidentes que contengan entidades de direcciones IP.

    Captura de pantalla de la definición de una condición para agregarla a una regla de automatización.

  5. En Acciones, seleccione Ejecutar cuaderno de estrategias en la lista desplegable.

  6. Seleccione la nueva lista desplegable que aparece.

    Captura de pantalla que muestra cómo seleccionar el cuaderno de estrategias de la lista de cuadernos de estrategias: parte 1.

    Verá una lista de todos los cuadernos de estrategias de la suscripción. Las atenuadas son aquellas a las que no tiene acceso. En el cuadro de texto Buscar cuadernos de estrategias , empiece a escribir el nombre (o cualquier parte del nombre) del cuaderno de estrategias que hemos creado anteriormente. La lista de cuadernos de estrategias se filtrará dinámicamente con cada letra que escriba.

    Captura de pantalla que muestra cómo seleccionar el cuaderno de estrategias de la lista de cuadernos de estrategias: parte 2.

    Cuando vea el cuaderno de estrategias en la lista, selecciónelo.

    Captura de pantalla que muestra cómo seleccionar el cuaderno de estrategias de la lista de cuadernos de estrategias: parte 3.

    Si el cuaderno de estrategias está atenuado, seleccione el vínculo Administrar permisos del cuaderno de estrategias (en el siguiente párrafo de impresión, donde seleccionó un cuaderno de estrategias, vea la captura de pantalla anterior). En el panel que se abre, seleccione el grupo de recursos que contiene el cuaderno de estrategias de la lista de grupos de recursos disponibles y, a continuación, seleccione Aplicar.

  7. Seleccione + Agregar acción de nuevo. Ahora, en la lista desplegable nueva acción que aparece, seleccione Agregar etiquetas.

  8. Seleccione + Agregar etiqueta. Escriba "Direcciones IP enriquecidas con tutorial" como texto de etiqueta y seleccione Aceptar.

    Captura de pantalla que muestra cómo agregar una etiqueta a una regla de automatización.

  9. Deje la configuración restante tal y como están y seleccione Aplicar.

Comprobación de una automatización correcta

  1. En la página Incidentes, escriba el texto de etiqueta Direcciones IP enriquecidas con tutorial en la barra de búsqueda y presione la tecla Entrar para filtrar la lista de incidentes con esa etiqueta aplicada. Estos son los incidentes en los que se ejecutó la regla de automatización.

  2. Abra uno o varios de estos incidentes y vea si hay comentarios sobre las direcciones IP allí. La presencia de estos comentarios indica que el cuaderno de estrategias se ejecutó en el incidente.

Limpie los recursos

Si no va a seguir usando este escenario de automatización, elimine el cuaderno de estrategias y la regla de automatización que creó con los pasos siguientes:

  1. En la página Automatización , seleccione la pestaña Cuadernos de estrategias activos .

  2. Escriba el nombre (o parte del nombre) del cuaderno de estrategias que creó en la barra de búsqueda .
    (Si no aparece, asegúrese de que los filtros estén establecidos en Seleccionar todo).

  3. Marque la casilla situada junto al cuaderno de estrategias de la lista y seleccione Eliminar en el banner superior.
    (Si no desea eliminarlo, puede seleccionar Deshabilitar en su lugar).

  4. Seleccione la pestaña Reglas de Automatización .

  5. Escriba el nombre (o parte del nombre) de la regla de automatización que creó en la barra de búsqueda .
    (Si no aparece, asegúrese de que los filtros estén establecidos en Seleccionar todo).

  6. Marque la casilla situada junto a la regla de automatización en la lista y seleccione Eliminar en el banner superior.
    (Si no desea eliminarlo, puede seleccionar Deshabilitar en su lugar).

Contenido relacionado

Ahora que ha aprendido a automatizar un escenario básico de enriquecimiento de incidentes, obtenga más información sobre la automatización y otros escenarios en los que puede usarlo.

  • Last updated on