Tutorial: Extracción de entidades de incidentes con acciones no nativas

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La asignación de entidades enriquece las alertas y los incidentes con información esencial para los procesos de investigación y las acciones correctivas siguientes.

Microsoft Sentinel cuadernos de estrategias incluyen estas acciones nativas para extraer información de entidad:

  • Cuentas
  • DNS
  • Hash de archivo
  • Hosts
  • Direcciones IP
  • Direcciones URL

Además de estas acciones, la asignación de entidades de regla analítica contiene tipos de entidad que no son acciones nativas, como malware, proceso, clave del Registro, buzón de correo, etc. En este tutorial, aprenderá a trabajar con acciones no nativas mediante diferentes acciones integradas para extraer los valores pertinentes.

En este tutorial, aprenderá a:

  • Cree un cuaderno de estrategias con un desencadenador de incidentes y ejecútelo manualmente en el incidente.
  • Inicialice una variable de matriz.
  • Filtre el tipo de entidad necesario de otros tipos de entidad.
  • Analice los resultados en un archivo JSON.
  • Cree los valores como contenido dinámico para su uso futuro.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Para completar este tutorial, asegúrese de que tiene:

  • Una suscripción de Azure. Cree una cuenta gratuita si aún no tiene una.

  • Un usuario Azure con los siguientes roles asignados en los siguientes recursos:

  • Una cuenta de VirusTotal (gratuita) será suficiente para este tutorial. Una implementación de producción requiere una cuenta de VirusTotal Premium.

Creación de un cuaderno de estrategias con un desencadenador de incidentes

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración de configuración>. Para Microsoft Sentinel en el Azure Portal, seleccione la página Automatización de configuración>.

  2. En la página Automatización , seleccione Crear>cuaderno de estrategias con desencadenador de incidentes.

  3. En el Asistente para crear cuadernode estrategias, en Aspectos básicos, seleccione la suscripción y el grupo de recursos y asigne un nombre al cuaderno de estrategias.

  4. Seleccione Siguiente: Conexiones >.

    En Conexiones, el Microsoft Sentinel - Conectar con la conexión de identidad administrada debe estar visible. Por ejemplo:

    Captura de pantalla de la creación de un cuaderno de estrategias con un desencadenador de incidentes.

  5. Seleccione Siguiente: Revisar y crear >.

  6. En Revisar y crear, seleccione Crear y continúe con el diseñador.

    El diseñador de aplicaciones lógicas abre una aplicación lógica con el nombre del cuaderno de estrategias.

    Captura de pantalla de la visualización del cuaderno de estrategias en el diseñador de aplicaciones lógicas.

Inicializar una variable de matriz

  1. En el diseñador de aplicaciones lógicas, en el paso donde desea agregar una variable, seleccione Nuevo paso.

  2. En Elegir una operación, en el cuadro de búsqueda, escriba variables como filtro. En la lista de acciones, seleccione Inicializar variable.

  3. Proporcione esta información sobre la variable:

    1. Para el nombre de la variable, use Entidades.

    2. Para el tipo, seleccione Matriz.

    3. Para el valor, mantenga el puntero sobre el campo Valor y seleccione fx en el grupo de iconos azules de la izquierda.

      Captura de pantalla de la inicialización de una variable en el diseñador de aplicaciones lógicas.

    4. En el cuadro de diálogo que se abre, seleccione la pestaña Contenido dinámico y, en el cuadro de búsqueda, escriba entidades.

    5. Seleccione Entidades en la lista y seleccione Agregar.

      Captura de pantalla de la selección del valor Entidades en el diseñador de aplicaciones lógicas.

Selección de un incidente existente

  1. En Microsoft Sentinel, vaya a Incidentes y seleccione un incidente en el que desea ejecutar el cuaderno de estrategias.

  2. En la página de incidentes de la derecha, seleccione Cuaderno de estrategias de ejecución de acciones > (versión preliminar).

  3. En Cuadernos de estrategias, junto al cuaderno de estrategias que ha creado, seleccione Ejecutar.

    Cuando se desencadena el cuaderno de estrategias, un cuaderno de estrategias se desencadena correctamente . El mensaje está visible en la parte superior derecha.

  4. Seleccione Ejecuciones y, junto al cuaderno de estrategias, seleccione Ver ejecución.

    La página de ejecución de la aplicación lógica está visible.

  5. En Inicializar variable, la carga de ejemplo está visible en Valor. Tenga en cuenta la carga de ejemplo para su uso posterior.

    Captura de pantalla de la visualización de la carga de ejemplo en el campo Valor.

Filtrar el tipo de entidad requerido de otros tipos de entidad

  1. Vuelva a la página Automatización y seleccione el cuaderno de estrategias.

  2. En el paso donde desea agregar una variable, seleccione Nuevo paso.

  3. En Elegir una acción, en el cuadro de búsqueda, escriba la matriz de filtros como filtro. En la lista de acciones, seleccione Operaciones de datos.

    Captura de pantalla del filtrado de una matriz y la selección de operaciones de datos.

  4. Proporcione esta información sobre la matriz de filtros:

    1. En FromDynamic content (Desde> contenido dinámico), seleccione la variable Entities (Entidades) que inicializó anteriormente.

    2. Seleccione el primer campo Elegir un valor (a la izquierda) y seleccione Expresión.

    3. Pegue el valor item()?[' kind'], y seleccione Aceptar.

      Captura de pantalla del relleno de la expresión de matriz de filtros.

    4. Deje que sea igual al valor (no lo modifique).

    5. En el segundo campo Elegir un valor (a la derecha), escriba Proceso. Debe ser una coincidencia exacta con el valor del sistema.

      Nota:

      Esta consulta distingue mayúsculas de minúsculas. Asegúrese de que el kind valor coincide con el valor de la carga de ejemplo. Consulte la carga útil de ejemplo desde el momento en que se crea un cuaderno de estrategias.

      Captura de pantalla de cómo rellenar la información de la matriz de filtros.

Análisis de los resultados en un archivo JSON

  1. En la aplicación lógica, en el paso donde desea agregar una variable, seleccione Nuevo paso.

  2. Seleccione Operaciones de datos>Analizar JSON.

    Captura de pantalla de la selección de la opción Analizar JSON en Operaciones de datos.

  3. Proporcione esta información sobre la operación:

    1. Seleccione Contenido y, enMatriz de filtros de contenido> dinámico, seleccione Cuerpo.

      Captura de pantalla de la selección de Contenido dinámico en Contenido.

    2. En Esquema, pegue un esquema JSON para que pueda extraer valores de una matriz. Copie la carga útil de ejemplo que generó al crear el cuaderno de estrategias.

      Captura de pantalla de la copia de la carga de ejemplo.

    3. Vuelva al cuaderno de estrategias y seleccione Usar carga de ejemplo para generar el esquema.

      Captura de pantalla de la selección de Usar carga de ejemplo para generar el esquema.

    4. Pegue la carga. Agregue un corchete de apertura ([) al principio del esquema y ciérrelos al final del esquema ].

      Captura de pantalla de pegar la carga de ejemplo.

      Captura de pantalla de la segunda parte de la carga de ejemplo pegada.

    5. Seleccione Listo.

Uso de los nuevos valores como contenido dinámico para su uso futuro

Ahora puede usar los valores que creó como contenido dinámico para realizar más acciones. Por ejemplo, si desea enviar un correo electrónico con datos de proceso, puede encontrar la acción Analizar JSON en Contenido dinámico, si no cambió el nombre de la acción.

Captura de pantalla del envío de un correo electrónico con datos de proceso.

Asegúrese de que el cuaderno de estrategias está guardado

Asegúrese de que el cuaderno de estrategias está guardado y ahora puede usar el cuaderno de estrategias para las operaciones de SOC.

Pasos siguientes

Vaya al siguiente artículo para aprender a crear y realizar tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias.

Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

  • Last updated on