Compartir a través de

Tutorial: Extracción de entidades de incidentes con acciones no nativas

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La asignación de entidades enriquece las alertas y los incidentes con información esencial para los procesos de investigación y las acciones correctivas siguientes.

Los cuadernos de estrategias de Microsoft Sentinel incluyen estas acciones nativas para extraer información de entidad:

  • Cuentas
  • DNS (Sistema de Nombres de Dominio)
  • Hashes de archivo
  • Anfitriones
  • Direcciones IP
  • URLs

Además de estas acciones, la asignación de entidades de regla analítica contiene tipos de entidad que no son acciones nativas, como malware, proceso, clave del Registro, buzón, etc. En este tutorial, aprenderá a trabajar con acciones no nativas mediante diferentes acciones integradas para extraer los valores pertinentes.

En este tutorial, aprenderá a:

  • Cree un cuaderno de estrategias con un desencadenador de incidentes y ejecútelo manualmente en el incidente.
  • Inicialice una variable de matriz.
  • Filtre el tipo de entidad necesario de otros tipos de entidad.
  • Analice los resultados en un archivo JSON.
  • Cree los valores como contenido dinámico para su uso futuro.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Requisitos previos

Para completar este tutorial, asegúrese de disponer de los siguientes elementos:

  • Suscripción a Azure. Cree una cuenta gratuita si aún no tiene una.

  • Un usuario de Azure con los siguientes roles asignados en los siguientes recursos:

  • Una cuenta de VirusTotal (gratuita) será suficiente para este tutorial. Una implementación de producción requiere una cuenta Premium de VirusTotal.

Creación de un cuaderno de estrategias con un desencadenador de incidentes

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>Automatización. Para Microsoft Sentinel en Azure Portal, seleccione la páginaAutomatización de >.

  2. En la página Automatización , seleccione Crear>cuaderno de estrategias con desencadenador de incidentes.

  3. En el Asistente para crear cuadernos de estrategias, en Aspectos básicos, seleccione la suscripción y el grupo de recursos y asigne un nombre al cuaderno de estrategias.

  4. Seleccione Siguiente: Conexiones >.

    En Conexiones, la conexión de Microsoft Sentinel con identidad administrada debe estar visible. Por ejemplo:

    Captura de pantalla de la creación de un nuevo cuaderno de estrategias con un desencadenar de incidentes.

  5. Seleccione Siguiente: Revisar y crear >.

  6. En Revisar y crear, seleccione Crear y continúe con el diseñador.

    El diseñador de aplicaciones lógicas abre una aplicación lógica con el nombre del cuaderno de estrategias.

    Captura de pantalla de la vista del cuaderno de estrategias en el Diseñador de aplicaciones lógicas.

Inicialización de una variable de matriz

  1. En el diseñador de aplicaciones lógicas, en el paso en el que desea agregar una variable, seleccione Nuevo paso.

  2. En Elegir una operación, en el cuadro de búsqueda, escriba variables como filtro. En la lista de acciones, seleccione Inicializar variable.

  3. Proporcione esta información sobre la variable:

    1. Para el nombre de la variable, use Entities.

    2. Para el tipo, seleccione Matriz.

    3. Para el valor, mantenga el puntero sobre el campo Valor y seleccione fx en el grupo de iconos azul de la izquierda.

      Captura de pantalla de la inicialización de una variable en el diseñador de aplicaciones lógicas.

    4. En el cuadro de diálogo que se abre, seleccione la pestaña Contenido dinámico y, en el cuadro de búsqueda, escriba entidades.

    5. Seleccione Entidades en la lista y seleccione Agregar.

      Captura de pantalla de la selección del valor Entidades en el diseñador de aplicaciones lógicas.

Selección de un incidente existente

  1. En Microsoft Sentinel, vaya a Incidentes y seleccione un incidente en el que desea ejecutar el cuaderno de estrategias.

  2. En la página del incidente de la derecha, seleccione Acciones > Ejecutar cuaderno de estrategias (versión preliminar).

  3. En Playbooks, junto al playbook que creó, seleccione la opción Ejecutar.

    Cuando se ejecuta el manual, se muestra un mensaje de El manual se ha ejecutado correctamente en la parte superior derecha.

  4. Seleccione Ejecuciones y, junto al cuaderno de estrategias, seleccione Ver ejecución.

    La página de ejecución de la aplicación lógica está visible.

  5. En Inicializar variable, la carga de ejemplo está visible en Valor. Tenga en cuenta la carga de ejemplo para su uso posterior.

    Captura de pantalla de visualización de la carga de ejemplo en el campo Valor.

Filtrar el tipo de entidad necesario de otros tipos de entidad

  1. Vuelva a la página Automation y seleccione el cuaderno de estrategias.

  2. En el paso en el que desea agregar una variable, seleccione Nuevo paso.

  3. En Elegir una acción, en el cuadro de búsqueda, escriba la matriz de filtros como filtro. En la lista de acciones, seleccione Operaciones de datos.

    Captura de pantalla del filtrado de una matriz y selección de operaciones de datos.

  4. Proporcione esta información sobre la matriz de filtros:

    1. En De>Contenido dinámico, seleccione la variable Entidades que inicializó anteriormente.

    2. Seleccione el primer campo Elegir un valor (a la izquierda) y seleccione Expresión.

    3. Pegue el valor item()?['kind'], y seleccione Aceptar.

      Recorte de pantalla de relleno de la expresión de matriz de filtro.

    4. Deje el valor igual a es igual a (no lo modifique).

    5. En el segundo campo Elegir un valor (a la derecha), escriba Proceso. Debe ser una coincidencia exacta con el valor del sistema.

      Nota:

      Esta consulta distingue mayúsculas de minúsculas. Asegúrese de que el valor kind coincide con el valor de la carga de ejemplo. Vea la carga de ejemplo de cuando crea un cuaderno de estrategias.

      Captura de pantalla rellenando la información de la matriz de filtro.

Analice los resultados en un archivo JSON

  1. En la aplicación lógica, en el paso donde desea agregar una variable, seleccione Nuevo paso.

  2. Seleccione Operaciones> de datosAnalizar JSON.

    Captura de pantalla de la selección de la opción Analizar JSON en Operaciones de datos.

  3. Proporcione esta información sobre la operación:

    1. Seleccione Contenido y, enMatriz de filtros de > dinámico, seleccione Cuerpo.

      Captura de pantalla de la selección de Contenido dinámico en Contenido.

    2. En Esquema, pegue un esquema JSON para que pueda extraer valores de una matriz. Copie la carga de ejemplo que generó al crear el cuaderno de estrategias.

      Captura de pantalla de la copia de la carga de ejemplo.

    3. Vuelva al cuaderno de estrategias y seleccione Usar carga de ejemplo para generar el esquema.

      Captura de pantalla de la selección de Usar carga de ejemplo para generar el esquema.

    4. Pegue la carga útil. Agregue un corchete de apertura ([) al principio del esquema y ciérrelo al final del esquema ].

      Captura de pantalla de la acción de pegar la carga de ejemplo.

      Captura de pantalla de la segunda parte de la acción de pegar la carga de ejemplo.

    5. Seleccione Listo.

Usar los nuevos valores como contenido dinámico para su uso futuro

Ahora puede usar los valores que creó como contenido dinámico para realizar más acciones. Por ejemplo, si desea enviar un correo electrónico con datos de proceso, puede encontrar la acción Analizar JSON en Contenido dinámico, si no cambió el nombre de la acción.

Captura de pantalla del envío de un correo electrónico con datos de proceso.

Asegúrese de que el cuaderno de estrategias está guardado

Asegúrese de que el cuaderno de estrategias está guardado y podrá usar el cuaderno de estrategias para las operaciones SOC.

Pasos siguientes

Pase al siguiente artículo para aprender a crear y realizar tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias.

Creación y realización de tareas de incidentes en Microsoft Sentinel mediante cuadernos de estrategias

  • Last updated on