Los equipos de seguridad de hoy operan bajo una presión constante. Se espera que respondan más rápido, automaticen más y lo hagan sin sacrificar precisión. Los enfoques tradicionales de SOAR (Orquestación, Automatización y Respuesta de Seguridad) han ayudado, pero siguen dependiendo en gran medida de plantillas rígidas, bibliotecas de acciones limitadas y flujos de trabajo distribuidos en múltiples portales. Construir y mantener automatizaciones suele ser lento y restrictivo, precisamente cuando las organizaciones necesitan más flexibilidad. Algo tiene que cambiar, y con la introducción de la IA y los modelos de codificación, el futuro de la automatización tendrá un aspecto muy diferente al de hoy.
Microsoft presenta el generador de playbooks de Microsoft Sentinel, una nueva forma de diseñar playbooks basados en código utilizando lenguaje natural. Con la llegada de la IA generativa y los modelos de codificación, programar se está democratizando, y estamos entusiasmados de incorporar estas nuevas capacidades a nuestra experiencia. Este lanzamiento representa el primer hito en nuestro viaje de automatización de seguridad de próxima generación.
El generador de playbooks permite a los usuarios diseñar y generar playbooks completamente funcionales simplemente describiendo lo que necesitan. La herramienta genera un playbook en Python con documentación completa y un diagrama de flujo visual, agilizando los flujos de trabajo desde la creación hasta la ejecución para una mayor eficiencia.
Este enfoque es altamente flexible y permite automatizar tareas como notificaciones al equipo, actualizaciones de tickets, enriquecimiento de datos o respuesta a incidentes, tanto con herramientas de Microsoft como de terceros. Definiendo un Perfil de Integración (URL base, autenticación y credenciales), el generador de playbooks puede crear llamadas a la API de forma dinámica sin necesidad de conectores predefinidos. El sistema también detecta las integraciones que faltan y guía al usuario para añadirlas desde la pestaña de Automatización o dentro de la página de creación.
La creación de un playbook comienza describiendo el flujo de trabajo. El generador hace preguntas, propone un plan y, una vez aprobado, genera el código y la documentación. Los usuarios pueden validar los playbooks con alertas reales y refinar el código en cualquier momento mediante instrucciones en el chat o ediciones manuales. Este enfoque combina la velocidad del lenguaje natural con un código transparente, lo que permite a los ingenieros automatizar de forma eficiente sin sacrificar el control ni la flexibilidad.
Los clientes en preview reportan que el generador de playbooks acelera el desarrollo de automatizaciones, simplifica los flujos de trabajo para los equipos y permite una personalización flexible sin depender de plantillas.
El generador de playbooks se centra en una creación de automatizaciones rápida, intuitiva y guiada por lenguaje natural, respaldada por una potente base de código. Se alinea con la forma en que los equipos de seguridad quieren trabajar: flexible, integrado y profundamente personalizable.
Estamos entusiasmados por ver cómo los clientes utilizarán esta capacidad para simplificar operaciones, eliminar tareas repetitivas y automatizar procesos que antes requerían un gran esfuerzo de ingeniería. Esto marca el inicio de un nuevo capítulo, en el que la IA sigue evolucionando y redefiniendo lo que es posible en la automatización de seguridad.
Cómo empezar
Con unos pocos requisitos previos, puedes comenzar a crear automatizaciones basadas en código mediante conversaciones en lenguaje natural, directamente dentro del portal de Microsoft Defender.
Aquí tienes una guía rápida para pasar de los primeros pasos a tu primer playbook generado:
1. Asegúrate de que los prerrequisitos están en orden
Antes de abrir tu primer chat en el generador de playbooks, confirma que tu entorno está listo:
- Security Copilot habilitado: Tu tenant debe tener un workspace de Security Copilot configurado con capacidad en Europa o Estados Unidos. Los SCUs no se facturan durante el periodo de preview, pero su disponibilidad es un requisito técnico.
- Workspace de Microsoft Sentinel en el portal de Defender: Asegúrate de que tu workspace de Microsoft Sentinel está incorporado al portal de Microsoft Defender.
2. Verifica que tienes los permisos adecuados
Para crear y desplegar playbooks generados, asegúrate de tener los mismos permisos necesarios para crear Reglas de Automatización: el rol Microsoft Sentinel Contributor en los workspaces o grupos de recursos relevantes, y el rol Detection tuning en Microsoft Entra para usar el generador.
⚠️ Los permisos pueden tardar hasta dos horas en aplicarse tras su asignación.
3. Configura tus perfiles de integración
Los perfiles de integración permiten al generador de playbooks crear y ejecutar llamadas a la API de forma dinámica, una de las capacidades más potentes de este nuevo sistema.
Antes de crear tu primer playbook:
- Ve a Automatización → Perfiles de Integración en el portal de Defender.
- Crea una integración con la API de Graph, siguiendo estos pasos:
- En el portal de Azure, ve a Microsoft Entra ID → Administrar → Registros de aplicaciones.
- Selecciona Nuevo registro.
- Copia el Application (client) ID y el Directory (tenant) ID.
- Ve a Administrar → Certificados y secretos → Secretos de cliente y crea un nuevo secreto. Copia inmediatamente el valor: no podrás recuperarlo después.
- En el portal de Microsoft Defender, ve a Microsoft Sentinel → Configuración → Automatización → Perfiles de Integración.
- Selecciona Crear y rellena los campos: nombre, URL base (
https://graph.microsoft.com), método OAuth2, Client ID, Client Secret y Token Endpoint.
- Crea integraciones con los demás servicios que quieras usar en el playbook (herramientas de ticketing, comunicación, proveedores de terceros, etc.).
- Proporciona la URL base, el método de autenticación y las credenciales requeridas.
4. Crea tu primer playbook generado
Desde la pestaña de Automatización:
- Selecciona Crear → Playbook Generator.
- Asigna un nombre a tu playbook y selecciona Continuar.
- Se abre la ventana de Visual Studio Code embebido con Cline, el agente de codificación IA.
Comienza en modo Plan describiendo simplemente lo que quieres que haga tu automatización. Sé explícito sobre:
- Qué datos extraer
- Qué acciones realizar
- Las condiciones o ramificaciones necesarias
Ejemplo de prompt que puedes usar:
«Basándome en la alerta, extrae el nombre principal de usuario, comprueba si la cuenta existe en Entra ID y, si es así, deshabilita la cuenta, crea un ticket en ServiceNow y publica un mensaje en el canal del equipo de seguridad.»
El generador de playbooks guiará el proceso: hará preguntas de aclaración, propondrá un plan y, una vez aprobado, cambiará al modo Act para generar el playbook completo en Python, la documentación con un diagrama de flujo visual y las pruebas.
Completar tu primer playbook marca el inicio de una experiencia de automatización más intuitiva, ágil e inteligente, donde tu experiencia y la IA trabajan juntas para transformar cómo opera tu SOC. Esto es más que una nueva herramienta: es una base que continuará evolucionando y adaptándose, a medida que la automatización de seguridad entra en su próxima era.
