Recopila registros de Microsoft Sentinel

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo configurar Microsoft Sentinel para enviar incidentes y alertas a Google Security Operations con Logic Apps y webhooks.

Microsoft Sentinel es una solución nativa de la nube de administración de información y eventos de seguridad (SIEM) y de organización, automatización y respuesta de seguridad (SOAR). Proporciona estadísticas de seguridad inteligentes e inteligencia sobre amenazas en toda la empresa.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso con privilegios al portal de Microsoft Azure con permisos para realizar las siguientes acciones:
- Crear Logic Apps
- Configura reglas de automatización de Microsoft Sentinel
- Administra los permisos del grupo de recursos
- Crea y administra entidades de servicio
Acceso a la consola de Google Cloud (para la creación de claves de API)

Crea un feed de webhook en Google SecOps

Crea el feed

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Microsoft Sentinel Incidents).
Selecciona Webhook como el Tipo de origen.
Selecciona Microsoft Sentinel como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Delimitador de división (opcional): Déjalo vacío (cada incidente o alerta es un solo evento).
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Genera y guarda la clave secreta

Después de crear el feed, debes generar una clave secreta para la autenticación:

En la página de detalles del feed, haz clic en Generar clave secreta.
Un diálogo muestra la clave secreta.
Copia y guarda la clave secreta de forma segura.

Nota: La clave secreta se muestra solo una vez y no se puede recuperar más adelante. Si la pierdes, tendrás que generar una nueva.

Obtén la URL del extremo del feed

Ve a la pestaña Detalles del feed.
En la sección Endpoint Information, copia la URL del extremo del feed.

El formato de la URL es el siguiente:

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Guarda esta URL para los próximos pasos.
Haz clic en Listo.

Crear Google Cloud clave de API

Google SecOps requiere una clave de API para la autenticación. Crea una clave de API restringida en la consola de Google Cloud .

Crea la clave de API

Ve a la página Credenciales de la consola.Google Cloud
Selecciona tu proyecto (el proyecto asociado con tu instancia de Google SecOps).
Haz clic en Crear credenciales > Clave de API.
Se creará una clave de API y se mostrará en un diálogo.
Haz clic en Editar clave de API para restringir la clave.

Restringe la clave de API

En la página de configuración de clave de API, haz lo siguiente:
- Nombre: Ingresa un nombre descriptivo (por ejemplo, Google SecOps Webhook API Key).
En Restricciones de API, haz lo siguiente:
- Selecciona Restringir clave.
- En la lista Select APIs, busca y selecciona Google SecOps API (o Chronicle API).
Haz clic en Guardar.
Copia el valor de la clave de API del campo Clave de API en la parte superior de la página.
Guarda la clave de API de forma segura.

Nota: Restringir la clave de API garantiza que solo se pueda usar con la API de Google SecOps, lo que reduce el riesgo de seguridad si se vulnera la clave.

Configura la aplicación lógica para los incidentes de Microsoft Sentinel

En esta sección, se configura una aplicación lógica para enviar incidentes de Microsoft Sentinel a Google SecOps.

Crea una aplicación lógica

Accede al portal de Azure.
Haz clic en Crear un recurso.
Busca Logic App.
Haz clic en Crear para iniciar el proceso de creación.
Especifica valores para los siguientes parámetros de entrada:
- Suscripción: Selecciona la suscripción.
- Grupo de recursos: Selecciona el grupo de recursos.
- Name: Ingresa un nombre para la app lógica (por ejemplo, Sentinel-Incidents-to-SecOps).
- Región: Selecciona la región.
- Lugar de trabajo de Log Analytics: Selecciona el lugar de trabajo de Log Analytics.
Haz clic en Revisar + crear.
Haz clic en Crear.
Después de crear la aplicación lógica, haz clic en Ir al recurso.

Configura el diseñador de Logic Apps

Haz clic en Herramientas de desarrollo > Diseñador de Logic App.
Haz clic en Agregar un activador.
Busca Microsoft Sentinel.
Selecciona Incidente de Microsoft Sentinel como el activador.
Si aún no creaste una conexión a Microsoft Sentinel, deberás hacerlo ahora.
Haz clic en Crear nuevo y sigue las indicaciones para autenticarte:
- Selecciona Acceder con identidad administrada (recomendado) o Acceder para usar tus credenciales.
Haz clic en Insertar un paso nuevo.
Haz clic en Agregar una acción.
Busca y selecciona HTTP como la acción.
Especifica valores para los siguientes parámetros de entrada:
- URI: Pega la URL del extremo del feed del feed de Google SecOps.
- Método: Selecciona POST.
- Encabezados: Agrega los siguientes encabezados:
  - Nombre del encabezado: X-goog-api-key
  - Value: Pega la clave de API que creaste anteriormente.
  - Nombre del encabezado: X-Webhook-Access-Key
  - Valor: Pega la clave secreta de la creación del feed.
Haz clic en el campo Cuerpo.
Haz clic en la pestaña Expresión en el panel de contenido dinámico.
Ingresa @{triggerBody()} en el campo de expresión y haz clic en Aceptar.

Nota: La expresión @{triggerBody()} envía el JSON completo del incidente a Google SecOps. Este parámetro es obligatorio. Sin él, el webhook recibe solicitudes vacías y no se transfieren datos.
Haz clic en Guardar para guardar la aplicación lógica.

Otorga permisos de Microsoft Sentinel para ejecutar la aplicación lógica

Se requieren dos asignaciones de permisos independientes para que las reglas de automatización activen correctamente la aplicación lógica.

Permiso 1: Otorgar acceso de identidad administrada de la aplicación lógica al espacio de trabajo de Sentinel

La identidad administrada de la aplicación lógica necesita permiso para leer incidentes del espacio de trabajo de Microsoft Sentinel.

Habilita la identidad administrada para la aplicación lógica

En el portal de Azure, ve al recurso de la aplicación lógica (Sentinel-Incidents-to-SecOps).
En la navegación de la izquierda, selecciona Identidad en Configuración.
En la pestaña Asignado por el sistema, configura Estado como Activado.
Haz clic en Guardar.
Haz clic en Sí para confirmar la decisión.
Después de habilitarla, toma nota del ID de objeto (principal) que se muestra.

Otorga el rol de Microsoft Sentinel Responder a la aplicación lógica

En el portal de Azure, navega a tu espacio de trabajo de Microsoft Sentinel.
En el panel de navegación de la izquierda, selecciona Control de acceso (IAM) en Configuración.
Haz clic en + Agregar > Agregar asignación de rol.
En la pestaña Rol, busca y selecciona Microsoft Sentinel Responder:
- Alternativa: Si el playbook solo lee incidentes, usa el rol Lector de Microsoft Sentinel.
Haz clic en Siguiente.
En la pestaña Miembros, configura lo siguiente:
1. Asignar acceso a: Selecciona Identidad administrada.
2. Haz clic en + Seleccionar miembros.
3. En la lista Identidad administrada, selecciona Logic App.
4. Selecciona tu aplicación lógica (Sentinel-Incidents-to-SecOps) en la lista.
Haz clic en Seleccionar.
Haz clic en Revisar y asignar.
Vuelve a hacer clic en Revisar y asignar para confirmar.

Permiso 2: Otorga permisos de automatización de Microsoft Sentinel en el grupo de recursos

Microsoft Sentinel requiere el rol de Colaborador de automatización de Microsoft Sentinel en el grupo de recursos que contiene la aplicación lógica. Sin este permiso, las reglas de automatización no pueden desencadenar cuadernos de estrategias.

Otorga permisos de automatización a través de la IU de Sentinel

En el portal de Azure, navega a tu espacio de trabajo de Microsoft Sentinel.
Ve a Configuración > Automatización.
Haz clic en Administrar permisos del playbook en la parte superior de la página.
En el panel Administrar permisos, configura lo siguiente:
1. Selecciona el grupo de recursos que contiene tu aplicación lógica (Sentinel-Incidents-to-SecOps).
Haz clic en Aplicar.

Nota: Esto otorga a la entidad de servicio de Microsoft Sentinel (Azure Security Insights) el rol de Colaborador de automatización de Microsoft Sentinel en el grupo de recursos seleccionado.

Verifica los permisos de automatización (opcional)

En el portal de Azure, navega al grupo de recursos que contiene tu aplicación lógica.
En el panel de navegación de la izquierda, selecciona Control de acceso (IAM).
Haz clic en Role assignments.
Busca Azure Security Insights.
Verifica que Azure Security Insights tenga el rol de Colaborador de automatización de Microsoft Sentinel.

Nota: Si no ves la opción Administrar permisos del cuaderno de estrategias en la IU de Sentinel, puedes otorgar permisos de forma manual:
Ve al grupo de recursos que contiene tu aplicación lógica.
Selecciona Control de acceso (IAM) > Agregar asignación de rol.
Selecciona el rol Colaborador de automatización de Microsoft Sentinel.
En Miembros, selecciona Usuario, grupo o principal de servicio.
Haz clic en + Seleccionar miembros y busca Azure Security Insights.
Selecciona Azure Security Insights y haz clic en Seleccionar.
Haz clic en Revisar y asignar dos veces para confirmar.

Configura la aplicación lógica para las alertas de Microsoft Sentinel

En esta sección, se configura una aplicación lógica independiente para enviar alertas de Microsoft Sentinel a Google SecOps.

Crea una app lógica para las alertas

Ve a la página principal del portal de Azure.
Haz clic en Crear un recurso.
Busca Logic App.
Haz clic en Crear para iniciar el proceso de creación.
Especifica valores para los siguientes parámetros de entrada:
- Suscripción: Selecciona la suscripción.
- Grupo de recursos: Selecciona el grupo de recursos.
- Name: Ingresa un nombre para la app lógica (por ejemplo, Sentinel-Alerts-to-SecOps).
- Región: Selecciona la región.
- Lugar de trabajo de Log Analytics: Selecciona el lugar de trabajo de Log Analytics.
Haz clic en Revisar + crear.
Haz clic en Crear.
Después de crear la aplicación lógica, haz clic en Ir al recurso.

Configura el diseñador de Logic App para las alertas

Haz clic en Herramientas de desarrollo > Diseñador de Logic App.
Haz clic en Agregar un activador.
Busca Microsoft Sentinel.
Selecciona Alerta de Microsoft Sentinel como el activador.
Si aún no creaste una conexión a Microsoft Sentinel, deberás hacerlo ahora.
Haz clic en Crear nuevo y sigue las indicaciones para autenticarte:
- Selecciona Acceder con identidad administrada (recomendado) o Acceder para usar tus credenciales.
Haz clic en Insertar un paso nuevo.
Haz clic en Agregar una acción.
Busca y selecciona HTTP como la acción.
Especifica valores para los siguientes parámetros de entrada:
- URI: Pega la URL del extremo del feed del feed de Google SecOps.
- Método: Selecciona POST.
- Encabezados: Agrega los siguientes encabezados:
  - Nombre del encabezado: X-goog-api-key
  - Value: Pega la clave de API que creaste anteriormente.
  - Nombre del encabezado: X-Webhook-Access-Key
  - Valor: Pega la clave secreta de la creación del feed.
Haz clic en el campo Cuerpo.
Haz clic en la pestaña Expresión en el panel de contenido dinámico.
Ingresa @{triggerBody()} en el campo de expresión y haz clic en Aceptar.

Nota: La expresión @{triggerBody()} envía el JSON completo de la alerta a Google SecOps. Este parámetro es obligatorio. Sin él, el webhook recibe solicitudes vacías y no se transfieren datos.
Haz clic en Guardar para guardar la aplicación lógica.

Otorga permisos de Microsoft Sentinel para ejecutar la app lógica de alertas

Se requieren dos asignaciones de permisos independientes para la app lógica de alertas, idénticas a la configuración de la app lógica de incidentes.

Permiso 1: Otorgar acceso de identidad administrada de la aplicación lógica de alertas al espacio de trabajo de Sentinel

La identidad administrada de la aplicación lógica de alertas necesita permiso para leer las alertas del espacio de trabajo de Microsoft Sentinel.

Habilita la identidad administrada para la aplicación lógica de alertas

En Azure Portal, ve al recurso de la aplicación lógica de alertas (Sentinel-Alerts-to-SecOps).
En la navegación de la izquierda, selecciona Identidad en Configuración.
En la pestaña Asignado por el sistema, configura Estado como Activado.
Haz clic en Guardar.
Haz clic en Sí para confirmar la decisión.
Después de habilitarla, toma nota del ID de objeto (principal) que se muestra.

Otorga el rol de Microsoft Sentinel Responder a la app lógica de alertas

En el portal de Azure, navega a tu espacio de trabajo de Microsoft Sentinel.
En el panel de navegación de la izquierda, selecciona Control de acceso (IAM) en Configuración.
Haz clic en + Agregar > Agregar asignación de rol.
En la pestaña Rol, busca y selecciona Microsoft Sentinel Responder:
- Alternativa: Si el cuaderno de estrategias solo lee alertas, usa el rol de lector de Microsoft Sentinel.
Haz clic en Siguiente.
En la pestaña Miembros, configura lo siguiente:
1. Asignar acceso a: Selecciona Identidad administrada.
2. Haz clic en + Seleccionar miembros.
3. En la lista Identidad administrada, selecciona Logic App.
4. Selecciona tu aplicación lógica de alertas (Sentinel-Alerts-to-SecOps) en la lista.
Haz clic en Seleccionar.
Haz clic en Revisar y asignar.
Vuelve a hacer clic en Revisar y asignar para confirmar.

Permiso 2: Otorga permisos de automatización de Microsoft Sentinel en el grupo de recursos para las alertas

Microsoft Sentinel requiere el rol de Colaborador de automatización de Microsoft Sentinel en el grupo de recursos que contiene la aplicación lógica de alertas.

Otorga permisos de automatización a través de la IU de Sentinel

En el portal de Azure, navega a tu espacio de trabajo de Microsoft Sentinel.
Ve a Configuración > Automatización.
Haz clic en Administrar permisos del playbook en la parte superior de la página.
En el panel Administrar permisos, configura lo siguiente:
1. Selecciona el grupo de recursos que contiene tu aplicación lógica de alertas (Sentinel-Alerts-to-SecOps).
  - Si es el mismo grupo de recursos que la aplicación lógica de incidentes, es posible que ya esté seleccionado.
Haz clic en Aplicar.

Nota: Si el grupo de recursos ya se configuró para la app lógica de incidentes, este paso otorga los mismos permisos para la app lógica de alertas.

Verifica los permisos de automatización de la app lógica de alertas (opcional)

En Azure Portal, navega al grupo de recursos que contiene la aplicación lógica de alertas.
En el panel de navegación de la izquierda, selecciona Control de acceso (IAM).
Haz clic en Role assignments.
Busca Azure Security Insights.
Verifica que Azure Security Insights tenga el rol de Colaborador de automatización de Microsoft Sentinel.

Configura reglas de automatización para Microsoft Sentinel

Las reglas de automatización activan Logic Apps cuando se crean o actualizan incidentes en Microsoft Sentinel.

Crea una regla de automatización para la creación de incidentes

Ve a tu espacio de trabajo de Microsoft Sentinel.
Haz clic en Configuración > Automatización.
Haz clic en Crear.
Selecciona Regla de automatización.
Especifica valores para los siguientes parámetros de entrada:
- Nombre: Ingresa un nombre para la regla de automatización (por ejemplo, Send New Incidents to SecOps).
- Activador: Selecciona Cuando se crea un incidente.
- Acciones: Selecciona Ejecutar guía en la lista.
- Selecciona la app lógica creada para los incidentes (Sentinel-Incidents-to-SecOps).
Haz clic en Aplicar.

Crea una regla de automatización para las actualizaciones de incidentes

Ve a tu espacio de trabajo de Microsoft Sentinel.
Haz clic en Configuración > Automatización.
Haz clic en Crear.
Selecciona Regla de automatización.
Especifica valores para los siguientes parámetros de entrada:
- Nombre: Ingresa un nombre para la regla de automatización (por ejemplo, Send Updated Incidents to SecOps).
- Activador: Selecciona Cuando se actualiza el incidente.
- Condición: Haz clic en Agregar > Condición (Y) > Estado > Cambió.
En la sección Acciones, configura lo siguiente:
1. Selecciona Ejecutar guía en la lista.
2. Selecciona la app lógica creada para los incidentes (Sentinel-Incidents-to-SecOps).
Haz clic en Aplicar.

Crea una regla de automatización para las alertas

Ve a tu espacio de trabajo de Microsoft Sentinel.
Haz clic en Configuración > Automatización.
Haz clic en Crear.
Selecciona Regla de automatización.
Especifica valores para los siguientes parámetros de entrada:
- Nombre: Ingresa un nombre para la regla de automatización (por ejemplo, Send Alerts to SecOps).
- Activador: Selecciona Cuando se crea la alerta.
- Acciones: Selecciona Ejecutar guía en la lista.
- Selecciona la aplicación lógica creada para las alertas (Sentinel-Alerts-to-SecOps).
Haz clic en Aplicar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.