Saltar al contenido principal

Descripción general

La integración de Microsoft Sentinel (INT-009) ingiere los incidentes de Sentinel en CaseBender y puede devolver las disposiciones de los casos a Sentinel cuando se cierra un caso.

Ingesta entrante

Los incidentes de Sentinel se ingieren — ya sea extraídos automáticamente de forma programada (recomendado) o enviados por webhook / Logic App — y luego se normalizan y se convierten en alertas.

Sincronización saliente

Cuando se cierra un caso vinculado en CaseBender, el estado y la clasificación del incidente de Sentinel se actualizan con un comentario de auditoría.
Recomendado: active el sondeo automático. CaseBender puede extraer nuevos incidentes de forma programada directamente de su espacio de trabajo de Log Analytics — sin Logic App, conector de datos ni endpoint entrante. Véase Sondeo automático.
Esta integración usa la API REST de Azure Security Insights y se autentica con una aplicación de Azure AD (Entra ID) mediante el flujo de credenciales de cliente (ámbito management.azure.com).

Capacidades

Requisitos previos

1

Registrar una aplicación de Azure AD

En el centro de administración de Microsoft Entra, registre una aplicación y cree un client secret. Anote el Directory (tenant) ID, el Application (client) ID y el valor del secret.
2

Asignar el rol del espacio de trabajo

Otorgue a la aplicación el rol Microsoft Sentinel Reader en el espacio de trabajo de Log Analytics con Sentinel habilitado (para entrada). Para el cierre saliente, otorgue Microsoft Sentinel Responder.
3

Recopilar las coordenadas del espacio de trabajo

Anote el Subscription ID, el Resource Group y el nombre del espacio de trabajo de Log Analytics.
4

Salida de red

El sondeador de CaseBender debe alcanzar login.microsoftonline.com y management.azure.com.

Configurar la integración en CaseBender

1

Abrir el catálogo de integraciones

Vaya a Settings → Integrations → Create y elija Microsoft Sentinel en la categoría SIEM.
2

Introducir las credenciales de Azure y el espacio de trabajo

3

Activar el sondeo automático (recomendado)

4

Configurar la creación automática de casos

Entrada (sondeo automático, recomendado)

1

Extracción programada

En cada intervalo, CaseBender enumera los incidentes del espacio de trabajo con properties/lastModifiedTimeUtc mayor que el último cursor, en orden ascendente. En la primera ejecución se importan los incidentes modificados dentro de pollingInitialLookbackHours.
2

Cursor + deduplicación

CaseBender avanza un cursor por integración hasta el lastModifiedTimeUtc más reciente. Los incidentes se deduplican por nombre de incidente, por lo que las ventanas superpuestas nunca crean duplicados.
3

Normalización

Cada incidente se normaliza como una alerta de CaseBender y se conserva el identificador del incidente de Sentinel para que el cierre saliente pueda encontrarlo más adelante.
El sondeo se ejecuta en el servicio de sondeo en segundo plano de CaseBender. Asegúrese de que pueda alcanzar login.microsoftonline.com y management.azure.com (directamente o a través de su proxy).

Salida: sincronización de disposiciones a Sentinel

Cuando se cierra un caso vinculado, CaseBender actualiza el status del incidente de Sentinel (a Closed) y la classification, y añade un comentario de auditoría. La salida requiere el rol Microsoft Sentinel Responder.

Consideraciones de seguridad

  • Privilegio mínimo — otorgue Sentinel Reader solo para entrada; añada Sentinel Responder únicamente si activa el cierre saliente.
  • Manejo de secretos — rote el client secret según la política de su organización.
  • Red — restrinja la salida a login.microsoftonline.com y management.azure.com.

Solución de problemas

Verifique los ID de tenant/cliente y el secret, y que la aplicación tiene el rol Sentinel Reader en el espacio de trabajo. Confirme que el subscription ID, el resource group y el nombre del espacio de trabajo son correctos.
Confirme que Enable automatic polling está activado y que las coordenadas del espacio de trabajo son correctas. Verifique que el sondeador puede alcanzar management.azure.com. En la primera ejecución solo se importan incidentes dentro de pollingInitialLookbackHours.Asegúrese de que todos los servicios de CaseBender estén en ejecución — con Docker, docker compose ps debe mostrar los servicios worker y misp-processor como Up.
Asegúrese de que la aplicación tiene el rol Sentinel Responder y de que el caso está vinculado a un incidente de Sentinel. Consulte la línea de tiempo del caso para ver el resultado de la sincronización.

Documentación relacionada