Compartir a través de

Crear y realizar tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se explica cómo usar cuadernos de estrategias para crear y, opcionalmente, realizar tareas de incidentes para administrar procesos complejos de flujo de trabajo de analistas en Microsoft Sentinel.

Use la acción Agregar tarea en un cuaderno de estrategias, en el conector de Microsoft Sentinel, para agregar automáticamente una tarea al incidente que desencadenó el cuaderno de estrategias. Se admiten tanto los flujos de trabajo estándar como los de consumo.

Sugerencia

Las tareas de incidente se pueden crear automáticamente no solo mediante cuadernos de estrategias, sino también mediante reglas de automatización y también manualmente, ad hoc, desde dentro de un incidente.

Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel.

Prerrequisitos

  • El rol de respondedor de Microsoft Sentinel es necesario para ver y editar incidentes, lo que es necesario para agregar, ver y editar tareas.

  • El rol Colaborador de Logic Apps es necesario para crear y editar cuadernos de estrategias.

Para obtener más información, consulte los Requisitos previos del cuaderno de estrategias de Microsoft Sentinel.

Usar un cuaderno de estrategias para agregar una tarea y realizarla

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción en la guía de estrategias que realice las siguientes acciones:

  • Agrega una tarea al incidente y restablece la contraseña de un usuario comprometido.
  • Agrega otra acción del libro de jugadas para mandar una señal a Microsoft Entra ID Protection (AADIP) para restablecer realmente la contraseña.
  • Agrega una acción final del cuaderno de estrategias para marcar la tarea en el incidente completado.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector de Microsoft Sentinel, agrega la acción Agregar tarea al incidente y luego haz lo siguiente:

    1. Seleccione el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.

    2. Escriba Restablecer contraseña de usuario como Título.

    3. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para restablecer la contraseña de un usuario.

  2. Agregue la acción Entidades- Obtener cuentas (versión preliminar). Agregue el elemento de contenido dinámico Entidades del esquema de incidentes de Microsoft Sentinel al campo lista de Entidades. Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para obtener las entidades de cuenta en el incidente.

  3. Agregue un bucle For each desde la biblioteca de acciones de control . Agregue el elemento de contenido dinámico Accounts de la salida Entities - Get Accounts (Entidades: obtener cuentas ) al campo Seleccionar una salida de los pasos anteriores. Por ejemplo:

    Captura de pantalla muestra cómo agregar una acción de bucle para cada uno a un libro de trabajo para realizar una acción en cada cuenta detectada.

  4. Dentro del bucle For each, seleccione Agregar una acción. A continuación:

    1. Busque y seleccione el conector microsoft Entra ID Protection
    2. Seleccione la acción Confirmar un usuario de riesgo como en peligro (versión preliminar).
    3. Agregue el elemento de contenido dinámico Accounts Microsoft Entra user ID al campo userIds Item - 1 .

    Esta acción pone en marcha los procesos dentro de Microsoft Entra ID Protection para restablecer la contraseña del usuario.

    Captura de pantalla muestra el envío de entidades a AADIP para confirmar el compromiso.

    Nota:

    El campo Accounts Microsoft Entra user ID (Id. de usuario de Microsoft Entra) es una manera de identificar a un usuario en AADIP. Es posible que no sea necesariamente la mejor manera en todos los escenarios, pero se trae aquí como ejemplo.

    Para obtener ayuda, consulte otros cuaderno de estrategias que manejen usuarios en peligro, o la documentación de Microsoft Entra ID Protection.

  5. Agregue la acción Marcar una tarea como completada desde el conector de Microsoft Sentinel y agregue el elemento de contenido dinámico Id. de tarea de incidente al campo Id. de tarea ARM. Por ejemplo:

    Captura de pantalla muestra cómo agregar una acción de cuaderno de estrategias para marcar una tarea de incidente como completada.

Usar un cuaderno de estrategias para agregar una tarea condicionalmente

En esta sección se proporciona un procedimiento de ejemplo para agregar una acción de libro de jugadas que investiga una dirección IP que aparece en un incidente.

  • Si los resultados de esta investigación son que la dirección IP es malintencionada, el cuaderno de estrategias crea una tarea para que el analista deshabilite al usuario mediante esa dirección IP.
  • Si la dirección IP no es una dirección malintencionada conocida, el cuaderno de estrategias crea una tarea diferente, para que el analista se comunique con el usuario para comprobar la actividad.

Para agregar y configurar estas acciones, siga estos pasos:

  1. En el conector de Microsoft Sentinel, agregue la acción Entidades - Obtener direcciones IP. Agregue el elemento de contenido dinámico Entidades del esquema de incidentes de Microsoft Sentinel al campo lista de Entidades. Por ejemplo:

    Captura de pantalla muestra las acciones del cuaderno de estrategias para obtener las entidades de la dirección IP en el incidente.

  2. Agregue un bucle For each desde la biblioteca de acciones de control . Agregue el elemento de contenido dinámico IPs de la salida Entities - Get IPs al campo Seleccionar una salida de los pasos anteriores. Por ejemplo:

    Captura de pantalla que muestra cómo agregar una acción de bucle for-each a un cuaderno de estrategias para realizar una acción en cada dirección IP detectada.

  3. Dentro del bucle For each, seleccione Agregar una acción, y, a continuación, haga lo siguiente:

    1. Busque y seleccione el conector Virus Total .
    2. Seleccione la acción Obtener un informe IP (versión preliminar).
    3. Agregue el elemento de contenido dinámico Dirección IP de la salida Entities - Get IPs (Entidades: obtener direcciones IP ) al campo Dirección IP.

    Por ejemplo:

    Captura de pantalla que muestra el envío de solicitudes a Virus Total para el informe de direcciones IP.

  4. Dentro del bucle For each, seleccione Agregar una acción, y, a continuación, haga lo siguiente:

    1. Agregue una condición desde la biblioteca de acciones de control .
    2. Agregue el elemento de contenido dinámico Últimas estadísticas de análisis malicioso desde la salida de Obtener un informe de IP. Es posible que tenga que seleccionar Ver más para encontrarlo.
    3. Seleccione el operador es mayor que y escriba 0 como valor.

    Esta condición formula la pregunta "¿El informe de IP de VirusTotal tiene algún resultado?" Por ejemplo:

    La captura de pantalla muestra cómo establecer una condición verdadero-falso en un manual de procedimientos.

  5. Dentro de la opción True , seleccione Agregar una acción y, a continuación, haga lo siguiente:

    1. Seleccione la acción Agregar tarea a incidente del conector Microsoft Sentinel.
    2. Seleccione el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
    3. Escriba Marcar usuario como en peligro como Título.
    4. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla muestra las acciones del cuaderno de estrategias para agregar una tarea para marcar a un usuario como en peligro.

  6. Dentro de la opción False , seleccione Agregar una acción y, a continuación, haga lo siguiente:

    1. Seleccione la acción Agregar tarea a incidente del conector Microsoft Sentinel.
    2. Seleccione el elemento de contenido dinámico Id. de ARM de incidentes para el campo Id. de ARM de incidentes.
    3. Escriba Ponerse en contacto con el usuario para confirmar la actividad como Título.
    4. Agregue una descripción opcional.

    Por ejemplo:

    Captura de pantalla que muestra las acciones del cuaderno de estrategias para agregar una tarea para que el usuario confirme la actividad.

Contenido relacionado

Para obtener más información, consulte:

  • Last updated on