Conexión de alertas de Microsoft Defender for Cloud a Microsoft Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Información previa

Nota

• Microsoft Defender for Cloud se denominaba anteriormente Azure Security Center.
• Las características de seguridad mejoradas de Defender for Cloud anteriormente se denominaban de forma conjunta Azure Defender.

Las protecciones de cargas de trabajo en la nube integradas de Microsoft Defender for Cloud permiten detectar las amenazas entre cargas de trabajo híbridas y de varias nubes, y responder rápidamente a ellas.

Este conector le permite transmitir las alertas de seguridad de Defender for Cloud a Microsoft Sentinel, para que pueda ver y analizar estas alertas, y responder a ellas, así como a los incidentes que generan, en un contexto de amenaza a la organización más amplio.

Como las características de seguridad mejorada de Microsoft Defender for Cloud están habilitadas por suscripción, este conector de datos también está habilitado o deshabilitado de forma independiente para cada suscripción.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Sincronización de alertas

• Al conectar Microsoft Defender for Cloud a Microsoft Sentinel, el estado de las alertas de seguridad que se ingieren en Microsoft Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, esa alerta también se mostrará como cerrada en Microsoft Sentinel.

• El cambio del estado de una alerta en Defender for Cloud no afectará al estado de los incidentes de Microsoft Sentinel que contienen la alerta de Microsoft Sentinel, sino solo al de la propia alerta.

Sincronización de alertas bidireccional

• Al habilitar la sincronización bidireccional, se sincronizará automáticamente el estado de las alertas de seguridad originales con el de los incidentes de Microsoft Sentinel que contienen esas alertas. Por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene una alerta de seguridad, la alerta original correspondiente se cerrará automáticamente en Microsoft Defender for Cloud.

Requisitos previos

• Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

• Debe tener el rol de Lector de seguridad en las suscripciones de los registros que transmita.

• Deberá habilitar al menos un plan en Microsoft Defender for Cloud para cada suscripción en la que quiera habilitar el conector. Para habilitar los planes de Microsoft Defender en una suscripción, debe tener el rol de Administrador de seguridad para esa suscripción.

• Para habilitar la sincronización bidireccional, debe tener el rol de Colaborador o Administrador de seguridad en la suscripción pertinente.

Conexión con Microsoft Defender for Cloud

1. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.

2. En la galería de conectores de datos, seleccione Microsoft Defender for Cloud y, a continuación, seleccione Abrir página del conector en el panel de detalles.

3. En Configuración, verá una lista de las suscripciones del inquilino y el estado de su conexión a Microsoft Defender for Cloud. Seleccione el botón de alternancia Estado situado junto a cada suscripción cuyas alertas quiera transmitir a Microsoft Sentinel. Para conectar varias suscripciones a la vez, marque las casillas situadas junto a las suscripciones pertinentes y, a continuación, seleccione el botón Conectar en la barra situada encima de la lista.

   Nota

   • Las casillas y los botones de alternancia Conectar solo estarán activos en las suscripciones para las que tenga los permisos necesarios.
   • El botón Conectar solo estará activo si se ha marcado al menos una casilla de suscripción.

4. Para habilitar la sincronización bidireccional en una suscripción, localice esa suscripción en la lista y elija Habilitado en la lista desplegable de la columna Sincronización bidireccional. Para habilitar la sincronización bidireccional en varias suscripciones a la vez, marque sus casillas y seleccione el botón Habilitar sincronización bidireccional en la barra situada encima de la lista.

   Nota

   • Las casillas y las listas desplegables solo estarán activas en las suscripciones para las que tenga los permisos necesarios.
   • El botón Habilitar sincronización bidireccional solo estará activo si se ha marcado al menos una casilla de suscripción.

5. En la columna Planes de Microsoft Defender de la lista, puede ver si los planes de Microsoft Defender están habilitados en la suscripción (un requisito previo para habilitar el conector). El valor de cada suscripción de esta columna estará en blanco (lo que significa que no hay ningún plan de Defender habilitado), "Todos habilitados" o "Algunos habilitados". Los que indiquen "Algunos habilitados" también tendrán un vínculo Habilitar todo que puede seleccionar, que le llevará al panel de configuración de Microsoft Defender for Cloud de esa suscripción, donde puede elegir los planes de Defender que quiera habilitar. El botón del vínculo Habilitar Microsoft Defender para todas las suscripciones de la barra encima de la lista le llevará a la página de introducción de Microsoft Defender for Cloud, donde puede elegir en qué suscripciones habilitar Microsoft Defender for Cloud por completo.

   

6. Puede seleccionar si quiere que las alertas de Microsoft Defender for Cloud generen incidentes automáticamente en Microsoft Sentinel. En Create incidents (Crear incidentes), seleccione Enabled (Habilitado) para activar la regla de análisis predeterminada que crea automáticamente incidentes a partir de alertas. Luego, puede editar esta regla en Análisis, en la pestaña Reglas activas.

   Sugerencia

   Cuando configure reglas de análisis personalizadas para las alertas de Microsoft Defender for Cloud, tenga en cuenta la gravedad de la alerta para evitar la apertura de incidentes para alertas informativas.

   Las alertas informativas de Microsoft Defender for Cloud no representan un riesgo de seguridad por sí mismas y solo son importantes en el contexto de un incidente abierto existente. Para más información, consulte Alertas e incidentes de seguridad en Microsoft Defender for Cloud.

Búsqueda y análisis de los datos

Nota

La sincronización de alertas en ambas direcciones puede tardar varios minutos. Es posible que los cambios en el estado de las alertas no aparezcan inmediatamente.

• Las alertas de seguridad se almacenan en la tabla SecurityAlert del área de trabajo de Log Analytics.

• Para consultar las alertas de seguridad en Log Analytics, copie lo siguiente en la ventana de consulta como punto de partida:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Consulte la pestaña Pasos siguientes en la página del conector para obtener consultas de ejemplo adicionales, plantillas de reglas de análisis y libros recomendados útiles.

Pasos siguientes

En este documento, ha aprendido a conectar Microsoft Defender for Cloud a Microsoft Sentinel y a sincronizar alertas entre ellas. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Escriba sus propias reglas para detectar amenazas.