Información general del ejercicio

Eres un arquitecto de operaciones de seguridad que trabaja en una empresa que implementa Microsoft Sentinel. Debes aprender a detectar y mitigar amenazas mediante Microsoft Sentinel. Ahora, quieres responder y corregir acciones que se pueden ejecutar desde Microsoft Sentinel como rutina.

Un cuaderno de estrategias puede ayudarte a automatizar y organizar la respuesta a las amenazas, se puede integrar con otros sistemas de manera interna y externa, y se puede configurar para ejecutarse automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de análisis o una regla de automatización, respectivamente. Con las reglas de automatización, puedes aplicar la automatización para tareas mínimas y grandes en uno o varios incidentes o alertas para responder de forma eficaz y óptima a las amenazas y tareas.

Instrucciones del ejercicio

Tarea 1: Crear un cuaderno de estrategias de Microsoft Sentinel

En esta tarea, crearás una aplicación lógica que se usa como cuaderno de estrategias en Microsoft Sentinel.

  1. En Microsoft Sentinel, navega hasta Centro de contenido.

  2. En la barra de búsqueda, busca Sentinel SOAR Essentials.

  3. Selecciona la solución que aparece en los resultados.

  4. En los detalles de la solución, selecciona Instalar.

  5. Una vez instalado, selecciona Administrar.

  6. Busca el cuaderno de estrategias Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks y selecciónalo.

  7. Selecciona la plantilla Tareas de incidentes: cuaderno de estrategias de ransomware de Microsoft Defender XDR para SecOps.

  8. En el panel de detalles, selecciona Crear cuaderno de estrategias.

  9. En Grupo de recursos, selecciona Crear nuevo, escribe RG- Playbooks y selecciona Aceptar.

  10. Quita para del nombre (se ha superado el límite de 64).

  11. Seleccione Conexiones.

  12. Seleccione Siguiente: Revisar y crear.

  13. Ahora selecciona Crear cuaderno de estrategias.

    Nota: espera a que la implementación se complete antes de continuar con la tarea siguiente.

Tarea 2: Actualizar un cuaderno de estrategias en Microsoft Sentinel

En esta tarea, actualizarás el nuevo cuaderno de estrategias que has creado con la información de conexión adecuada.

  1. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  2. Selecciona el área de trabajo de Microsoft Sentinel.

  3. Selecciona Automatización en el área Configuración y luego selecciona la pestaña Cuadernos de estrategias activos.

  4. Selecciona Actualizar en la barra de comandos en caso de que no veas ningún cuaderno de estrategias. Debería ver el cuaderno de estrategias creado a partir del paso anterior.

  5. Selecciona el nombre del cuaderno de estrategias Defender_XDR_Ransomware_Playbook_SecOps_Tasks.

  6. En la página Aplicación lógica de Defender_XDR_Ransomware_Playbook_SecOps_Tasks, en el menú de comandos, selecciona Editar.

    Nota:: es posible que tengas que actualizar la página.

  7. Seleccione el primer bloque, incidente de Microsoft Sentinel.

  8. Selecciona el vínculo Cambiar conexión.

  9. Selecciona Agregar nuevo y selecciona Iniciar sesión. En la nueva ventana, selecciona las credenciales de administrador de la suscripción de Azure cuando se te solicite. La última línea del bloque ahora debería decir “Conectado a nombre-usuario-admin”.

  10. A continuación, en la división lógica, selecciona Agregar tarea al incidente.

  11. Seleccione Guardar en la barra de comandos. La aplicación lógica se usará en un laboratorio futuro.

Tarea 3: Crear una regla de automatización

  1. En Microsoft Sentinel, ve a Automatización en Configuración.

  2. Selecciona Crear y elige Regla de automatización.

  3. Asigna un nombre a la regla

  4. Deja el proveedor de incidentes como Todo.

  5. Deja el nombre de la regla analítica como Todo.

  6. Haz clic en Agregar y elige Y.

  7. En el menú desplegable, selecciona Tácticas.

  8. Seleccione lo siguiente:
    • Reconocimiento
    • Ejecución
    • Persistencia
    • Comando y control
    • Exfiltración
    • PreAttack

  9. En Acciones, selecciona Ejecutar cuaderno de estrategias.

  10. Selecciona Administrar permisos del cuaderno de estrategias.

  11. Busque el grupo de recursos, selecciónalo y selecciona aplicar.

  12. En la lista desplegable, selecciona el cuaderno de estrategias Defender_XDR_Ransomware_Playbook_SecOps_Tasks.

  13. Seleccione Aplicar en la parte inferior. A partir de aquí, dependiendo de tu rol, seguirás haciendo más ejercicios de arquitecto o pasarás a los ejercicios de analista.

Has completado el laboratorio