Bloqueo automático IOCs con Power Automate

Normalmente los equipos de ciberseguridad de las empresas reciben diferentes alertas como IOCs en los correos corporativos. Estos suelen estar basados, por ejemplo, en IPs o dominio que deben ser bloqueados en los diferentes sistemas de seguridad, como los firewalls.

El problema de este procedimiento es el tiempo de ejecución de esta tarea, desde que se comunica el IOC hasta su bloqueo. Por ello, en esta entrada se mostrará como automatizarlo mediante la herramienta Power Automate de Microsoft.

Power Automate de Microsoft es una herramienta de automatización relativamente reciente que tiene como objetivo realizar automatizaciones mediante flujos de control y ejecución de fácil configuración. Es decir, no es necesario tocar nada de código, simplemente seleccionando unos sencillos pasos es posible crear complejos sistemas de automatización.

Se podría decir que Power Automate tiene dos variantes, aquella enfocada a la nube y una opción de escritorio. En esta entrada nos centraremos en la solución Cloud por cubrir las necesidades.

Cabe decir que el potencial de Power Automate es impresionante. En las últimas actualizaciones se han agregado funciones de OpenAI para la inclusión de IA que lo hace todo muuucho mas sencillo. Ademas, es posible integrar numerosos soluciones fácilmente.

El concepto desarrollado para poder bloquear diferentes IOCs (en este caso IPs), será la de crear una lista dinámica (EDL) donde ir registrando las direcciones a bloquear. Esto no es mas que un archivo de texto ubicado en OneDrive y compartido.

Son muchos los sistemas de seguridad que admiten este tipo de EDL y bloquean directamente el contenido. En este caso pondremos de ejemplo un firewall de red, concretamente un sistema de Fortinet.

La finalidad de la EDL es que se vaya alimentando con nuevas amenazas, aquí es donde entra Power Automate. Se crea un nuevo flujo de automatización que leerá los correos electrónicos entrantes, extraiga la IP a bloquear y actualizará el archivos de texto:

En primer lugar, establecemos que los correos electrónicos que lleguen a la bandeja de entrada con el subject “Block” serán procesados por este filtro.

Una vez ha sido seleccionado el correo, convertimos el “Body” en texto para que pueda ser procesado.

Una vez que tenemos el texto, se busca la palabra “Block”. Eso será usado como limitador para seleccionar la dirección que le sigue.

Esta palabra puede cambiar según como este construido el mensaje, esto solo es un ejemplo, pero es importante seleccionar la palabra correcta que precede a la dirección a bloquear.

Como decíamos, el delimitador separa el texto que necesitamos seleccionar. Ahora queda, escoger aquella parte deseada, la dirección IP. Esto lo haremos mediante la función “split” y el siguiente comando:

Lo siguiente es “limpiar” cualquier texto que preceda a la IP que se quiere bloquear. Esto es un paso opcional si se trata de un correo personalizado para este fin, pero necesario en aquellos correos mas generalistas.

Se selecciona la dirección IP para terminar de limpiarla mediante,

Los últimos pasos son, actualizar el archivo de texto con la IP a bloquear. Por ello, obtenemos el contenido del archivo en primer lugar, y actualizamos con la dirección que se quiere bloquear:

Si todo el flujo de trabajo funciona correctamente se habrá conseguido ahorrar tiempo y mejorar los tiempos de respuesta. Cuando llegue una alerta por email para el bloqueo de una IP, Power Automate leerá el mensaje y actualizará la EDL. Seguidamente, los sistemas que tengan esta lista configurada bloquearán la dirección IP. Todo ello, en cuestión de segundos y sin intervención humana.

Ahora os dejo a vosotros seguir experimentando con esta fabulosa herramienta. No olvidéis poned en los comentarios si os ha gustado 😉