Inicio rápido: Incorporación de Azure Sentinel

En este tutorial de inicio rápido, aprenderá cómo incorporar Azure Sentinel. Para incorporarse a Azure Sentinel, primero debe habilitarlo y, después, conectar sus orígenes de datos.

Azure Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real, entre las que se incluyen las soluciones de Microsoft 365 Defender (anteriormente, Protección contra amenazas de Microsoft), orígenes de Microsoft 365 (como Office 365), Azure AD, Microsoft Defender for Identity (anteriormente, Azure ATP), Microsoft Cloud App Security, alertas de Azure Defender desde Azure Security Center y más. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft. También puede usar el formato de evento común (CEF), Syslog o la API de REST para conectar los orígenes de datos con Azure Sentinel.

Después de conectar los orígenes de datos, puede elegir de una galería de libros creados de forma experta que exponen información basada en los datos. Estos libros se pueden personalizar fácilmente en función de sus necesidades.

Importante

Para obtener información sobre los cargos en los que se incurre al usar Azure Sentinel, consulte los precios de Azure Sentinel y los costos y facturación de Azure Sentinel.

Requisitos previos globales

  • Suscripción activa de Azure. Si no tiene una, cree una cuenta gratuita antes de comenzar.

  • Área de trabajo de Log Analytics. Aprenda a crear un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.

  • Para habilitar Azure Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Azure Sentinel.

  • Para usar Azure Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.

  • Es posible que se necesiten permisos adicionales para conectarse a orígenes de datos específicos.

  • Azure Sentinel es un servicio de pago. Para más información, consulte Acerca de Azure Sentinel.

Para más información, consulte Actividades previas a la implementación y requisitos previos para implementar Azure Sentinel.

Disponibilidad geográfica y residencia de datos

  • Azure Sentinel se puede ejecutar en áreas de trabajo de las regiones con disponibilidad general de Log Analytics, excepto en China y Alemania (soberana). Las regiones nuevas de Log Analytics pueden tardar algún tiempo en incorporarse al servicio Azure Sentinel.

  • Los datos que genera Azure Sentinel, como incidentes, marcadores y reglas de análisis, pueden contener datos del cliente procedentes de las áreas de trabajo de Log Analytics del cliente. Estos datos generados por Azure Sentinel se guardan en la geografía que se muestra en la tabla siguiente, según la geografía en que se encuentra el área de trabajo:

    Geografía del área de trabajo Geografía de datos generados por Azure Sentinel
    Estados Unidos
    India
    Estados Unidos
    Europa
    Francia
    Europa
    Australia Australia
    Reino Unido Reino Unido
    Canadá Canadá
    Japón Japón
    Asia Pacífico Asia Pacífico*
    Brasil Brasil*
    Noruega Noruega
    África África
    Corea Corea
    Alemania Alemania
    Emiratos Árabes Unidos Emiratos Árabes Unidos
    Suiza Suiza

    *Actualmente, la residencia de datos en una sola región solo se proporciona en la región Sudeste Asiático (Singapur) del área geográfica de Asia Pacífico, y en la región Sur de Brasil (estado de Sao Paulo) del área geográfica de Brasil. Para todas las demás regiones, los datos de los clientes se pueden almacenar en cualquier lugar del área geográfica del área de trabajo donde se incorpore Sentinel.

    Importante

    • Al habilitar ciertas reglas que usan el motor de aprendizaje automático (ML), concede a Microsoft permiso para copiar los datos ingeridos pertinentes fuera de la geografía del área de trabajo de Azure Sentinel, según sea necesario para que el motor de aprendizaje automático procese estas reglas.

Habilitar Azure Sentinel

  1. Inicie sesión en Azure Portal. Asegúrese de que la suscripción en la que se crea Azure Sentinel está seleccionada.

  2. Busque y seleccione Azure Sentinel.

    Búsqueda de servicios

  3. Seleccione Agregar.

  4. Seleccione el área de trabajo que quiere usar o cree una nueva. Puede ejecutar Azure Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo.

    Elegir un área de trabajo

    Nota

    • Las áreas de trabajo predeterminadas creadas por Azure Security Center no aparecerán en la lista; no puede instalar Azure Sentinel en ellas.

    Importante

    • Una vez implementado en un área de trabajo, Azure Sentinel no admite actualmente el movimiento de esa área de trabajo a otros grupos de recursos o suscripciones.

      Si ya ha movido el área de trabajo, deshabilite todas las reglas activas en Análisis y vuelva a habilitarlas después de cinco minutos. Esto debe ser efectivo en la mayoría de los casos; sin embargo, cabe reiterar que no se admite y se realiza bajo su responsabilidad.

  5. Seleccione Agregar Azure Sentinel.

Conexión con orígenes de datos

Azure Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Azure Sentinel. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Azure Sentinel. En el caso de los firewalls y servidores proxy, Azure Sentinel instala el agente de Log Analytics en un servidor de Syslog de Linux, desde el que el agente recopila los archivos de registro y los reenvía a Azure Sentinel.

  1. En el menú principal, seleccione Data connectors (Conectores de datos). Se abre la galería de conectores de datos.

  2. La galería de es una lista de todos los orígenes de datos que se pueden conectar. Seleccione un origen de datos y, después, el botón Open connector page (Abrir página del conector).

  3. En la página del conector encontrará instrucciones para configurar el conector, así como otras instrucciones adicionales que pueda necesitar.
    Por ejemplo, si selecciona el origen de datos Azure Active Directory, que permite transmitir registros de Azure AD a Azure Sentinel, puede seleccionar el tipo de registros en los que desea obtener (registros de inicio de sesión o registros de auditoría).
    Siga las instrucciones de instalación o consulte la guía de conexión relevante para obtener más información. Para más información acerca de los conectores de datos, consulte Conectores de datos de Azure Sentinel.

  4. En la pestaña Pasos siguientes de la página del conector se muestran los libros integrados, las consultas de ejemplo y las plantillas de reglas de análisis pertinentes que acompañan al conector de datos. Puede usarlos tal cual o modificarlos (de cualquiera de las dos formas puede obtener información interesante en los datos).

Una vez conectados los orígenes de datos, los datos comienzan a transmitirse a Azure Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Para más información, consulte Procedimientos recomendados para recopilaciones de datos.

Pasos siguientes

Para más información, consulte: