Descripción general
La integración de Microsoft Sentinel (INT-009) ingiere los incidentes de Sentinel en CaseBender y puede devolver las disposiciones de los casos a Sentinel cuando se cierra un caso.Ingesta entrante
Los incidentes de Sentinel se ingieren — ya sea extraídos automáticamente
de forma programada (recomendado) o enviados por webhook / Logic App — y
luego se normalizan y se convierten en alertas.
Sincronización saliente
Cuando se cierra un caso vinculado en CaseBender, el estado y la clasificación
del incidente de Sentinel se actualizan con un comentario de auditoría.
Esta integración usa la API REST de Azure Security Insights y se autentica
con una aplicación de Azure AD (Entra ID) mediante el flujo de credenciales
de cliente (ámbito
management.azure.com).Capacidades
Requisitos previos
1
Registrar una aplicación de Azure AD
En el centro de administración de Microsoft Entra, registre
una aplicación y cree un client secret. Anote el Directory (tenant) ID, el
Application (client) ID y el valor del secret.
2
Asignar el rol del espacio de trabajo
Otorgue a la aplicación el rol Microsoft Sentinel Reader en el espacio de trabajo de Log
Analytics con Sentinel habilitado (para entrada). Para el cierre saliente, otorgue
Microsoft Sentinel Responder.
3
Recopilar las coordenadas del espacio de trabajo
Anote el Subscription ID, el Resource Group y el nombre del espacio de trabajo de
Log Analytics.
4
Salida de red
El sondeador de CaseBender debe alcanzar
login.microsoftonline.com y management.azure.com.Configurar la integración en CaseBender
1
Abrir el catálogo de integraciones
Vaya a Settings → Integrations → Create y elija Microsoft Sentinel en la categoría
SIEM.
2
Introducir las credenciales de Azure y el espacio de trabajo
3
Activar el sondeo automático (recomendado)
4
Configurar la creación automática de casos
Entrada (sondeo automático, recomendado)
1
Extracción programada
En cada intervalo, CaseBender enumera los incidentes del espacio de trabajo con
properties/lastModifiedTimeUtc mayor que el último cursor, en orden ascendente. En la
primera ejecución se importan los incidentes modificados dentro de
pollingInitialLookbackHours.2
Cursor + deduplicación
CaseBender avanza un cursor por integración hasta el
lastModifiedTimeUtc más reciente. Los
incidentes se deduplican por nombre de incidente, por lo que las ventanas superpuestas
nunca crean duplicados.3
Normalización
Cada incidente se normaliza como una alerta de CaseBender y se conserva el identificador del
incidente de Sentinel para que el cierre saliente pueda encontrarlo más adelante.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que
pueda alcanzar
login.microsoftonline.com y management.azure.com (directamente o a través de
su proxy).Salida: sincronización de disposiciones a Sentinel
Cuando se cierra un caso vinculado, CaseBender actualiza elstatus del incidente de Sentinel (a
Closed) y la classification, y añade un comentario de auditoría. La salida requiere el rol
Microsoft Sentinel Responder.
Consideraciones de seguridad
- Privilegio mínimo — otorgue Sentinel Reader solo para entrada; añada Sentinel Responder únicamente si activa el cierre saliente.
- Manejo de secretos — rote el client secret según la política de su organización.
- Red — restrinja la salida a
login.microsoftonline.comymanagement.azure.com.
Solución de problemas
La autenticación falla
La autenticación falla
Verifique los ID de tenant/cliente y el secret, y que la aplicación tiene el rol Sentinel
Reader en el espacio de trabajo. Confirme que el subscription ID, el resource group y el
nombre del espacio de trabajo son correctos.
El sondeo está activado pero no aparecen incidentes
El sondeo está activado pero no aparecen incidentes
Confirme que Enable automatic polling está activado y que las coordenadas del espacio de
trabajo son correctas. Verifique que el sondeador puede alcanzar
management.azure.com. En la
primera ejecución solo se importan incidentes dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker,
docker compose ps debe mostrar los servicios worker y misp-processor como Up.El cierre del caso no actualiza Sentinel
El cierre del caso no actualiza Sentinel
Asegúrese de que la aplicación tiene el rol Sentinel Responder y de que el caso está
vinculado a un incidente de Sentinel. Consulte la línea de tiempo del caso para ver el
resultado de la sincronización.