Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel proporciona funcionalidades de orquestación, automatización y respuesta de seguridad (SOAR) con reglas de automatización y cuadernos de estrategias. Las reglas de automatización facilitan el control y la respuesta a incidentes sencillos, mientras que los cuadernos de estrategias ejecutan secuencias más complejas de acciones para responder y corregir amenazas. En este artículo se describe cómo identificar casos de uso de SOAR y cómo migrar la automatización de SOAR de Splunk a Microsoft Sentinel reglas de automatización y cuadernos de estrategias.
Para obtener más información sobre las diferencias entre las reglas de automatización y los cuadernos de estrategias, consulte los artículos siguientes:
- Automatización de la respuesta a amenazas con reglas de automatización
- Automatización de la respuesta a amenazas con cuadernos de estrategias
Identificación de casos de uso de SOAR
Esto es lo que debe pensar al migrar casos de uso de SOAR desde Splunk.
- Calidad del caso de uso. Elija casos de uso de automatización basados en procedimientos claramente definidos, con una variación mínima y una tasa baja de falsos positivos.
- Intervención manual. Las respuestas automatizadas pueden tener efectos muy amplios. Las automatizaciones de alto impacto deben tener una entrada humana para confirmar las acciones de alto impacto antes de que se realicen.
- Criterios binarios. Para aumentar el éxito de la respuesta, los puntos de decisión dentro de un flujo de trabajo automatizado deben ser lo más limitados posible, con criterios binarios. Cuando solo hay dos variables en la toma de decisiones automatizada, se reduce la necesidad de intervención humana y se mejora la previsibilidad de los resultados.
- Alertas o datos precisos. Las acciones de respuesta dependen de la precisión de las señales, como las alertas. Las alertas y los orígenes de enriquecimiento deben ser confiables. Microsoft Sentinel recursos como listas de reproducción e inteligencia sobre amenazas con clasificaciones de alta confianza mejoran la confiabilidad.
- Rol de analista. Aunque la automatización es excelente, reserve las tareas más complejas para los analistas. Proporcionarles la oportunidad de introducirlos en flujos de trabajo que requieren validación. En resumen, la automatización de respuestas debe aumentar y ampliar las capacidades de los analistas.
Migración del flujo de trabajo de SOAR
En esta sección se muestra cómo se traducen los conceptos clave de Splunk SOAR a Microsoft Sentinel componentes y se proporcionan instrucciones generales sobre cómo migrar cada paso o componente del flujo de trabajo de SOAR.
| Paso (en el diagrama) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos en el índice principal. | Ingiera eventos en el área de trabajo de Log Analytics. |
| 2 | Crear contenedores. | Etiquetar incidentes mediante la característica de detalles personalizados. |
| 3 | Crear casos. | Microsoft Sentinel puede agrupar automáticamente incidentes según los criterios definidos por el usuario, como las entidades compartidas o la gravedad. A continuación, estas alertas generan incidentes. |
| 4 | Crear cuadernos de estrategias. | Azure Logic Apps usa varios conectores para organizar actividades en entornos Microsoft Sentinel, Azure, de terceros e híbridos en la nube. |
| 4 | Crear libros. | Microsoft Sentinel ejecuta cuadernos de estrategias de forma aislada o como parte de una regla de automatización ordenada. También puede ejecutar cuadernos de estrategias manualmente contra alertas o incidentes, según un procedimiento predefinido de Security Operations Center (SOC). |
Asignación de componentes SOAR
Revise qué características Microsoft Sentinel o Azure Logic Apps se asignan a los componentes principales de Splunk SOAR.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Editor del cuaderno de estrategias | Diseñador de aplicaciones lógicas |
| Trigger | Trigger |
| • Conectores • Aplicación • Agente de automatización |
• Conector • Hybrid Runbook Worker |
| Bloques de acción | Action |
| Agente de conectividad | Hybrid Runbook Worker |
| Community | • Pestaña Plantillas de automatización > • Catálogo del centro de contenido • GitHub |
| Decision | Control condicional |
| Código | conector de función de Azure |
| Prompt | Enviar correo electrónico de aprobación |
| Formato | Operaciones de datos |
| Cuadernos de estrategias de entrada | Obtener entradas de variables de los resultados de pasos ejecutados anteriormente o variables declaradas explícitamente |
| Establecimiento de parámetros con utilidad de API de bloque de utilidad | Administración de incidentes con la API |
Operacionalización de cuadernos de estrategias y reglas de automatización en Microsoft Sentinel
La mayoría de los cuadernos de estrategias que se usan con Microsoft Sentinel están disponibles en la pestaña Plantillas de automatización>, el catálogo del centro de contenido o GitHub. En algunos casos, sin embargo, es posible que deba crear cuadernos de estrategias desde cero o a partir de plantillas existentes.
Normalmente, la aplicación lógica personalizada se compila mediante la característica de Designer Azure aplicación lógica. El código de las aplicaciones lógicas se basa en plantillas de Azure Resource Manager (ARM), que facilitan el desarrollo, la implementación y la portabilidad de Azure Logic Apps en varios entornos. Para convertir el cuaderno de estrategias personalizado en una plantilla de ARM portátil, puede usar el generador de plantillas de ARM.
Use estos recursos para los casos en los que necesite crear sus propios cuadernos de estrategias desde cero o desde plantillas existentes.
- Automatización del control de incidentes en Microsoft Sentinel
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
- Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel
- Uso de Microsoft Sentinel para la respuesta a incidentes, la orquestación y la automatización
- Tarjetas adaptables para mejorar la respuesta a incidentes en Microsoft Sentinel
Procedimientos recomendados de SOAR después de la migración
Estos son los procedimientos recomendados que debe tener en cuenta después de la migración de SOAR:
- Después de migrar los cuadernos de estrategias, pruebe los cuadernos de estrategias exhaustivamente para asegurarse de que las acciones migradas funcionan según lo esperado.
- Revise periódicamente las automatizaciones para explorar formas de simplificar o mejorar aún más el SOAR. Microsoft Sentinel agrega constantemente nuevos conectores y acciones que pueden ayudarle a simplificar o aumentar aún más la eficacia de las implementaciones de respuesta actuales.
- Supervise el rendimiento de los cuadernos de estrategias mediante el libro de supervisión de estado de los cuadernos de estrategias.
- Usar identidades administradas y entidades de servicio: autentíquese en varios servicios de Azure dentro de Logic Apps, almacene los secretos en Azure Key Vault y oculte la salida de ejecución del flujo. También se recomienda supervisar las actividades de estas entidades de servicio.
Pasos siguientes
En este artículo, ha aprendido a asignar la automatización soar de Splunk a Microsoft Sentinel.