Procedimientos recomendados de Microsoft Sentinel
Se proporcionan instrucciones de procedimientos recomendados en toda la documentación técnica de Microsoft Sentinel. En este artículo se resaltan algunas instrucciones clave que se deben usar al implementar, administrar y usar Microsoft Sentinel.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Microsoft Sentinel en el portal de Defender ahora se admite para su uso en producción. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Configuración de Microsoft Sentinel
Comience con la guía de implementación de Microsoft Sentinel. En la guía de implementación se describen los pasos generales para planear, implementar y ajustar la implementación de Microsoft Sentinel. En esa guía, seleccione los vínculos proporcionados para encontrar instrucciones detalladas para cada fase de la implementación.
Integraciones de servicios de seguridad de Microsoft
Microsoft Sentinel está potenciado por los componentes que envían datos al área de trabajo y se fortalece mediante integraciones con otras servicios Microsoft. Los registros ingeridos en productos, como Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión y Microsoft Defender for Identity, permiten que estos servicios creen detecciones y, a su vez, proporcionen esas detecciones a Microsoft Sentinel. Los registros también se pueden ingerir directamente en Microsoft Sentinel para proporcionar una imagen más completa de eventos e incidentes.
Por ejemplo, en la imagen siguiente se muestra cómo Microsoft Sentinel ingiere datos de otros servicios de Microsoft y plataformas multinube y asociados para proporcionar cobertura para su entorno:
Además de ingerir alertas y registros de otros orígenes, Microsoft Sentinel también:
- Usa la información que ingiere con aprendizaje automático que permite una mejor correlación de eventos, agregación de alertas, detección de anomalías, etc.
- Compila y presenta objetos visuales interactivos a través de libros que muestran tendencias, información relacionada y datos clave usados para tareas de administración e investigaciones.
- Ejecuta cuadernos de estrategias para actuar sobre las alertas recopilando información, realizando acciones sobre los elementos y enviando notificaciones a distintas plataformas.
- Se integra con plataformas de asociados, como ServiceNow y Jira, para proporcionar servicios esenciales a los equipos de SOC.
- Ingiere y recupera datos de fuentes de enriquecimiento de las plataformas de inteligencia sobre amenazas para aportar datos valiosos de investigación.
Para obtener más información sobre la integración de datos de otros servicios o proveedores, consulte conectores de datos de Microsoft Sentinel.
Considere la posibilidad de incorporar Microsoft Sentinel al portal de Microsoft Defender para unificar funcionalidades con XDR de Microsoft Defender, como la administración de incidentes y la búsqueda avanzada. Vea los siguientes artículos para más información:
- Conexión de Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Sentinel en el portal de Microsoft Defender
Administración y respuesta de incidentes
En la imagen siguiente se muestran los pasos recomendados en un proceso de administración de incidentes y respuesta a los mismos.
En la tabla siguiente se proporcionan descripciones de alto nivel sobre cómo usar las características de Microsoft Sentinel para la administración y respuesta de incidentes. Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel.
| Funcionalidad | Procedimiento recomendado |
|---|---|
| Incidentes | Los incidentes generados se muestran en la página Incidentes, que actúa como ubicación central para la evaluación de prioridades e investigación temprana. En la página Incidentes se enumera el título, la gravedad y las alertas relacionadas, los registros y cualquier entidad de interés. Los incidentes también proporcionan un salto rápido a los registros recopilados y a cualquier herramienta relacionada con el incidente. |
| Grafo de investigación | La página Incidentes funciona junto con el Gráfico de investigación, una herramienta interactiva que permite a los usuarios explorar y profundizar en una alerta para mostrar el alcance completo de un ataque. A continuación, los usuarios pueden construir una escala de tiempo de eventos y detectar la extensión de una cadena de amenazas. Detecte entidades clave, como cuentas, direcciones URL, direcciones IP, nombres de host, actividades, escala de tiempo, etc. Use estos datos para saber si hay un falso positivo, en cuyo caso puede cerrar el incidente directamente. Si descubre que el incidente es un verdadero positivo, actúe directamente desde la página Incidentes para investigar los registros y las entidades y explorar la cadena de amenazas. Después de identificar la amenaza y crear un plan de acción, use otras herramientas de Microsoft Sentinel y otros servicios de seguridad de Microsoft para continuar investigando. |
| Visualización de información | Para visualizar y obtener análisis de lo que sucede en su entorno, en primer lugar, eche un vistazo al panel de información general de Microsoft Sentinel para obtener una idea de la posición de seguridad de su organización. Para obtener más información, consulte Visualización de datos recopilados. Además de información y tendencias en la página de información general de Microsoft Sentinel, los libros son herramientas de investigación valiosas. Por ejemplo, use el libro Investigation Insights (Ideas de investigación) para investigar incidentes específicos junto con las entidades y alertas asociadas. Este libro le permite profundizar más en las entidades mediante la presentación de registros, acciones y alertas relacionados. |
| Búsqueda de amenazas | Al investigar y buscar las causas principales, ejecute consultas de búsqueda de amenazas integradas y compruebe los resultados de los indicadores de riesgo. Para obtener más información, consulte Búsqueda de amenazas en Microsoft Sentinel. Durante una investigación, o después de haber tomado medidas para corregir y erradicar la amenaza, use Livestream. Livestream le permite supervisar, en tiempo real, si hay algún evento malintencionado persistente o si los eventos malintencionados siguen continuando. |
| Comportamiento de la entidad | El comportamiento de las entidades en Microsoft Sentinel permite a los usuarios revisar e investigar acciones y alertas para entidades específicas, como investigar cuentas y nombres de host. Para más información, vea: - Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel - Investigación de incidentes con datos de UEBA - Referencia de enriquecimientos de UEBA de Microsoft Sentinel |
| Listas de seguimiento | Use una lista de reproducción que combine datos de los datos ingeridos y los orígenes externos, por ejemplo, datos de enriquecimiento. Por ejemplo, cree listas de intervalos de direcciones IP usados por su organización o de empleados despedidos recientemente. Use listas de reproducción con cuadernos de estrategias para recopilar datos de enriquecimiento, como agregar direcciones IP malintencionadas a listas de reproducción para usarlas durante la detección, la búsqueda de amenazas y las investigaciones. Durante un incidente, use listas de reproducción para contener datos de investigación y, a continuación, elimínelas cuando se realice la investigación para asegurarse de que los datos confidenciales no permanecen en la vista. Para obtener más información, consulte Listas de reproducción en Microsoft Sentinel. |
Actividades normales de SOC
Programe con regularidad las siguientes actividades de Microsoft Sentinel para garantizar los procedimientos recomendados de seguridad continuos:
Tareas diarias
Evaluar errores y buscar incidentes. Revise la página Incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas analíticas configuradas actualmente y empezar a buscar incidentes nuevos. Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel.
Explorar las consultas de búsqueda y los marcadores. Explore los resultados de todas las consultas integradas y actualice los marcadores y las consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para más información, consulte:
Reglas analíticas. Revise y habilite las nuevas reglas analíticas según corresponda, incluidas las reglas recién publicadas o recientemente disponibles de los conectores de datos conectados recientemente.
Conectores de datos. Revise el estado, la fecha y la hora del último registro recibido de cada conector de datos para asegurarse de que los datos fluyen. Compruebe si hay nuevos conectores y revise la ingesta para asegurarse de que no se superan los límites establecidos. Para obtener más información, consulte Procedimientos recomendados para la recopilación de datos y Conexión con orígenes de datos.
Agente de Log Analytics. Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y corrija las conexiones fallidas. Para obtener más información, vea Introducción al agente de Log Analytics.
Errores del cuaderno de estrategias. Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, consulte Tutorial: Respuesta a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel.
Tareas semanales
Revisión de contenido de soluciones o contenido independiente. Obtenga las actualizaciones de contenido de las soluciones instaladas o contenido independiente del Centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias.
Auditoría de Microsoft Sentinel. Revise la actividad de Microsoft Sentinel para ver quién actualizó o eliminó los recursos, como reglas de análisis, marcadores, etc. Para más información, consulte Auditoría de consultas y actividades de Microsoft Sentinel.
Tareas mensuales
Revisar el acceso de usuario. Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para más información, consulte Permisos de Microsoft Sentinel.
Revisar el área de trabajo de Log Analytics. Revise que la directiva de retención de datos del área de trabajo de Log Analytics se sigue ajustando a la directiva de su organización. Para obtener más información, vea la Directiva de retención de datos y la sección Integración con Azure Data Explorer para conservar registros a largo plazo.