Supervisión del estado de las reglas de automatización y los cuadernos de estrategias
Para garantizar el correcto funcionamiento y el rendimiento de la orquestación de seguridad, la automatización y las operaciones respuesta en el servicio Microsoft Sentinel, realice un seguimiento del estado de las reglas de automatización y los cuadernos de estrategias mediante la supervisión de sus registros de ejecución.
Configure notificaciones de eventos de estado para las partes interesadas competentes, que luego pueden tomar medidas. Por ejemplo, defina y envíe mensajes de correo electrónico o de Microsoft Teams, cree nuevos vales en el sistema de vales, etc.
En este artículo se describe cómo se usan las características de seguimiento de estado de Microsoft Sentinel para realizar un seguimiento del estado de las reglas de automatización y los cuadernos de estrategias desde Microsoft Sentinel. Para obtener más información, consulte auditoría y supervisión de estado de Microsoft Sentinel.
Para obtener datos del estado de automatización de la tabla de datos SentinelHealth, debe activar primero la característica de estado de Microsoft Sentinel para el área de trabajo. Para obtener más información, consulte Activar la supervisión de estado para Microsoft Sentinel.
Una vez que active la característica de estado, la tabla de datos SentinelHealth se crea en el primer evento de éxito o error generado para las reglas de automatización y los cuadernos de estrategias.
Los siguientes tipos de eventos del estado de automatización se registran en la tabla SentinelHealth:
Automation rule run (Ejecución de regla de automatización). Se registra cada vez que se cumplen las condiciones de una regla de automatización, lo que hace que se ejecute. Además de los campos de la tabla básica SentinelHealth, estos eventos incluirán propiedades extendidas exclusivas de la ejecución de reglas de automatización, incluida una lista de los cuadernos de estrategias a los que llama la regla. La consulta de ejemplo siguiente mostrará estos eventos:
SentinelHealth | where OperationName == "Automation rule run"
Playbook was triggered (Se ha desencadenado el cuaderno de estrategias). Se registra cada vez que se desencadena un cuaderno de estrategias tras un incidente de forma manual desde el portal o a través de la API. Además de los campos de la tabla básica SentinelHealth, estos eventos incluirán propiedades extendidas exclusivas del desencadenamiento manual de los cuadernos de estrategias. La consulta de ejemplo siguiente mostrará estos eventos:
SentinelHealth | where OperationName == "Playbook was triggered"
Para más información, vea Esquema de columnas de la tabla SentinelHealth.
Para el estado de ejecución de la regla de Automation, puede ver los siguientes estados:
Correcto: la regla se ha ejecutado correctamente y ha desencadenado todas las acciones.
Éxito parcial: la regla se ha ejecutado y ha desencadenado al menos una acción, pero se han producido errores en algunas acciones.
Error: la regla de automatización no ha ejecutado ninguna acción debido a uno de los motivos siguientes:
- Se ha producido un error en la evaluación de las condiciones.
- Se han cumplido las condiciones, pero se ha producido un error en la primera acción.
En el estado Playbook was triggered (Se ha desencadenado el cuaderno de estrategias), es posible que vea los estados siguientes:
Correcto: el cuaderno de estrategias se ha desencadenado correctamente.
Error: no se ha podido desencadenar el cuaderno de estrategias.
Nota
Correcto significa únicamente que la regla de automatización ha desencadenado correctamente un cuaderno de estrategias. No indica cuándo se inició o se finalizó el cuaderno de estrategias, los resultados de las acciones del cuaderno o el resultado final del cuaderno.
Para buscar esta información, consulte los registros de diagnóstico de Logic Apps. Para obtener más información, consulte Obtención de la imagen de automatización completa.
Descripción del error | Acciones sugeridas |
---|---|
Could not add task (No se pudo agregar la tarea): <nombreDeTarea>. No se han encontrado el incidente o la alerta. |
Asegúrese de que el incidente o la alerta existen e inténtelo de nuevo. |
Could not add task (No se pudo agregar la tarea): <nombreDeTarea>. El incidente ya contiene el número máximo permitido de tareas. |
Si esta tarea es necesaria, vea si hay alguna tarea que se pueda quitar o consolidar e inténtelo de nuevo. |
Could not modify property (No se pudo modificar la propiedad): <nombreDePropiedad>. No se han encontrado el incidente o la alerta. |
Asegúrese de que el incidente o la alerta existen e inténtelo de nuevo. |
Could not modify property (No se pudo modificar la propiedad): <nombreDePropiedad>. Demasiadas solicitudes, superando los límites de limitación. |
|
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. No se han encontrado el incidente o la alerta. |
Si el error se produjo al intentar desencadenar un cuaderno de estrategias a petición, asegúrese de que el incidente o la alerta existen e inténtelo de nuevo. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. No se encontró el cuaderno de estrategias o Microsoft Sentinel no tenía permisos en él. |
Edite la regla de automatización, busque el cuaderno de estrategias, selecciónelo en su nueva ubicación y guárdelo. Asegúrese de que Microsoft Sentinel tiene permiso para ejecutar este cuaderno de estrategias. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Contiene un tipo de desencadenador no admitido. |
Asegúrese de que el cuaderno de estrategias comienza con el desencadenador correcto de Logic Apps: incidente de Microsoft Sentinel o alerta de Microsoft Sentinel. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. La suscripción está deshabilitada y marcada como de solo lectura. Los cuadernos de estrategias de esta suscripción no se pueden ejecutar hasta que se vuelva a habilitar la suscripción. |
Vuelva a habilitar la suscripción de Azure en la que se encuentra el cuaderno de estrategias. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. El cuaderno de estrategias estaba deshabilitado. |
Habilite el cuaderno de estrategias, ya sea en Microsoft Sentinel en la pestaña de cuadernos de estrategias activos en Automatización, o bien en la página de recursos de Logic Apps. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Definición de plantilla no válida. |
Hay un error en la definición del cuaderno de estrategias. Vaya al diseñador de Logic Apps para corregir los problemas y guarde el cuaderno de estrategias. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. La configuración del control de acceso restringe Microsoft Sentinel. |
Las configuraciones de Logic Apps permiten restringir el acceso para desencadenar el cuaderno de estrategias. Esta restricción está en vigor para este cuaderno de estrategias. Quite esta restricción para que Microsoft Sentinel no esté bloqueado. Más información |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Microsoft Sentinel no tiene permisos para ejecutarlo. |
Microsoft Sentinel requiere permisos para ejecutar cuadernos de estrategias. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. El cuaderno de estrategias no se migró al nuevo modelo de permisos. Conceda a Microsoft Sentinel permisos para ejecutar este cuaderno de estrategias y vuelva a guardar la regla. |
Conceda a Microsoft Sentinel permisos para ejecutar este cuaderno de estrategias y vuelva a guardar la regla. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Demasiadas solicitudes, superando los límites de límite de flujo de trabajo. |
El número de ejecuciones de flujos de trabajo en espera ha superado el límite máximo permitido. Pruebe a aumentar el valor de 'maximumWaitingRuns' en la configuración de simultaneidad del desencadenador. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Demasiadas solicitudes, superando los límites de limitación. |
Obtenga más información sobre los límites de la suscripción y el inquilino. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Se prohibió el acceso. Faltan valores de configuración de la identidad administrada o se ha establecido una restricción de red de Logic Apps. |
Si el cuaderno de estrategias usa una identidad administrada, asegúrese de que la identidad administrada se asignó con permisos. El cuaderno de estrategias puede tener reglas de restricción de red que le impidan desencadenarse cuando bloquean el servicio Microsoft Sentinel. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Se bloqueó la suscripción o el grupo de recursos. |
Quite el bloqueo para permitir que Microsoft Sentinel desencadene cuadernos de estrategias en el ámbito bloqueado. Obtenga más información sobre los recursos bloqueados. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. El autor de la llamada no tiene los permisos de desencadenamiento de cuadernos de estrategias necesarios en el cuaderno de estrategias o porque Microsoft Sentinel no tiene permisos en él. |
El usuario que intenta desencadenar el cuaderno de estrategias a petición no tiene el rol de Colaborador de Logic Apps en el cuaderno de estrategias o para desencadenar el cuaderno de estrategias. Más información |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. Credenciales no válidas en la conexión. |
Compruebe las credenciales que usa la conexión en el servicio de conexiones de API de Azure Portal. |
Could not trigger playbook (No se pudo desencadenar el cuaderno de estrategias): <nombreDeCuadernoDeEstrategias>. El id. de ARM del cuaderno de estrategias no es válido. |
La tabla de seguimiento de estado de Microsoft Sentinel le permite realizar el seguimiento del desencadenamiento de cuadernos de estrategias, pero para supervisar lo que sucede en los cuadernos de estrategias y sus resultados cuando se ejecutan, también debe activar los diagnósticos de Azure Logic Apps para introducir los siguientes eventos en la tabla AzureDiagnostics:
- {Nombre de la acción} iniciado
- {Nombre de la acción} finalizado
- Flujo de trabajo (cuaderno de estrategias) iniciado
- Flujo de trabajo (cuaderno de estrategias) finalizado
Estos eventos agregados le proporcionarán información adicional sobre las acciones que se realizan en los cuadernos de estrategias.
Para cada cuaderno de estrategias que le interese supervisar, habilite Log Analytics para la aplicación lógica. Asegúrese de seleccionar Send to Log Analytics workspace (Enviar al área de trabajo de Log Analytics) como destino de registro y elija el área de trabajo de Microsoft Sentinel.
Ahora que tiene registros para las reglas de automatización y los cuadernos de estrategias y registros de los flujos de trabajo individuales de Logic Apps en el área de trabajo, puede correlacionarlos para obtener una visión global. Observe el ejemplo de consulta siguiente:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
El libro Automation health (Estado de automatización) le ayuda a visualizar los datos de estado, así como la correlación entre los dos tipos de registros que acabamos de mencionar. El libro incluye lo siguiente:
- Estado y detalles de la regla de automatización
- Estado y detalles del desencadenador del cuaderno de estrategias
- Estado y detalles de las ejecuciones del cuaderno de estrategias (requiere que Azure Diagnostic esté habilitado en el nivel de cuaderno de estrategias)
- Detalles de automatización por incidente
Por ejemplo:
Seleccione la pestaña Playbooks run by Automation Rules (Cuadernos de estrategias ejecutados por reglas de automatización) para ver la actividad del cuaderno de estrategias.
Seleccione un cuaderno de estrategias para ver la lista de sus ejecuciones en el gráfico de exploración en profundidad de más abajo.
Seleccione una ejecución determinada para ver los resultados de las acciones del cuaderno de estrategias.
- Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
- Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
- Supervisión del estado de los conectores de datos.
- Supervisión del estado y la integridad de las reglas de análisis.
- Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.