Conexión de Microsoft Sentinel a servicios de Azure, Windows, Microsoft y Amazon

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Microsoft Sentinel usa la base de Azure para proporcionar compatibilidad integrada entre servicios para la ingesta de datos de muchos servicios de Azure y Microsoft 365, Amazon Web Services y varios servicios de Windows Server. Hay algunos métodos diferentes para realizar estas conexiones y en este artículo se describe cómo hacerlo.

En este artículo se describen los siguientes tipos de conectores:

  • Conexiones basadas en API
  • Conexiones de configuración de diagnóstico, algunas administradas mediante Azure Policy
  • Conexiones basadas en el agente de Log Analytics

En este artículo se presenta información común a los grupos de conectores. Vea la página adjunta de referencia de conectores de datos para obtener información exclusiva de cada conector, como los requisitos previos de licencia y las tablas de Log Analytics para el almacenamiento de datos.

Las integraciones siguientes son más únicas y populares, y se tratan de manera individual, con sus propios artículos:

Conexiones basadas en API

Requisitos previos

  • Debe tener permisos de lectura y escritura en el área de trabajo de Log Analytics.
  • Debe tener el rol Administrador global o Administrador de seguridad en el inquilino del área de trabajo de Microsoft Sentinel.

Instructions

  1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.

  2. Seleccione el servicio en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.

  3. Seleccione Conectar para iniciar el streaming de eventos o alertas desde el servicio a Microsoft Sentinel.

  4. Si en la página del conector hay una sección Create incidents - recommended! (Crear incidentes: recomendado), seleccione Enable (Habilitar) si quiere crear incidentes de forma automática a partir de las alertas.

Puede buscar y consultar los datos de cada servicio mediante los nombres de tabla que aparecen en la sección del conector del servicio en la página Referencia de conectores de datos.

Conexiones basadas en configuración de diagnóstico

La configuración de algunos conectores de este tipo se administra mediante Azure Policy. Seleccione la pestaña Azure Policy siguiente para obtener instrucciones. Para los demás conectores de este tipo, seleccione la pestaña Independiente.

Requisitos previos

Para ingerir datos en Microsoft Sentinel:

  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

Instructions

  1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.

  2. Seleccione el tipo de recurso en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.

  3. En la sección Configuration (Configuración) de la página del conector, seleccione el vínculo para abrir la página de configuración del recurso.

    Si aparece una lista de recursos del tipo deseado, seleccione el vínculo de un recurso cuyos registros quiera ingerir.

  4. Desde el menú de navegación del recurso, seleccione Configuración de diagnóstico.

  5. Seleccione + Agregar configuración de diagnóstico.

  6. En la pantalla Configuración de diagnóstico, escriba un nombre en el campo Nombre de la configuración de diagnóstico.

    Marque la casilla Enviar a Log Analytics. Se mostrarán dos nuevos campos debajo. Elija la suscripción y el área de trabajo de Log Analytics pertinentes (donde reside Microsoft Sentinel).

  7. Active las casillas de los tipos de registros y métricas que quiera recopilar. Vea las opciones recomendadas para cada tipo de recurso en la sección del conector del recurso en la página Referencia de conectores de datos.

  8. En la parte superior de la pantalla, seleccione Guardar.

Nota

Con este tipo de conector de datos, los indicadores de estado de conectividad (una franja de color en la galería de conectores de datos y los iconos de conexión situados junto a los nombres de tipo de datos) mostrarán el estado Conectado (verde) solo si los datos se han ingerido en algún momento en los últimos 14 días. Transcurridos catorce días sin ingesta de datos, el conector se mostrará como desconectado. En el momento en que circulen más datos, se devolverá el estado conectado.

Puede buscar y consultar los datos de cada tipo de recurso mediante el nombre de tabla que aparece en la sección del conector del recurso en la página Referencia de conectores de datos.

Conexiones basadas en agentes de Windows

Importante

  • Algunos conectores basados en el agente de Azure Monitor (AMA) se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

El agente de Azure Monitor usa reglas de recopilación de datos (DCR) para definir los datos que se recopilan de cada agente. Las reglas de recopilación de datos ofrecen dos ventajas distintas:

  • Permiten administrar la configuración de la recopilación a gran escala y, al mismo tiempo, habilitan configuraciones únicas con ámbito para subconjuntos de máquinas. Son independientes del área de trabajo e independientes de la máquina virtual, lo que significa que se pueden definir una vez y reutilizarlas en distintas máquinas y entornos. Consulte Configuración de la recopilación de datos para el agente de Azure Monitor.

  • Cree filtros personalizados para elegir los eventos exactos que quiere ingerir. El agente de Azure Monitor usa estas reglas para filtrar los datos en el origen e ingerir solo los eventos que quiera, a la vez que se olvida del resto. Esto puede ahorrar mucho dinero en costos de ingesta de datos.

Consulte a continuación cómo crear reglas de recopilación de datos.

Requisitos previos

  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

  • Para recopilar eventos de cualquier sistema que no sea una máquina virtual de Azure, el sistema debe tener Azure Arc instalado y habilitado antes de habilitar el conector basado en agente de Azure Monitor.

    Esto incluye:

    • Servidores Windows instalados en máquinas físicas
    • Servidores Windows instalados en máquinas virtuales locales
    • Servidores Windows instalados en máquinas virtuales en nubes que no son de Azure

Instrucciones

  1. En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos. Seleccione su conector de la lista y, a continuación, seleccione Abrir la página del conector en el panel de detalles. A continuación, siga las instrucciones en pantalla debajo de la pestaña Instrucciones, tal como se describe en el resto de esta sección.

  2. Compruebe que tiene los permisos adecuados, tal como se describe en la sección Requisitos previos de la página del conector.

  3. En Configuración, seleccione +Agregar regla de recopilación de datos. El Asistente para crear reglas de recopilación de datos se abrirá a la derecha.

  4. En Aspectos básicos, escriba una regla de nombre y especifique una suscripción y un grupo de recursos donde se creará la regla de recopilación de datos (DCR). No tiene que ser el mismo grupo de recursos o suscripción en el que se encuentran las máquinas supervisadas y sus asociaciones, siempre y cuando estén en el mismo inquilino.

  5. En la pestaña Recursos, seleccione +Agregar recursos para agregar máquinas a las que se aplicará la regla de recopilación de datos. Se abrirá el cuadro de diálogo Seleccionar un ámbito y verá una lista de suscripciones disponibles. Expanda una suscripción para ver sus grupos de recursos y expanda un grupo de recursos para ver las máquinas disponibles. Verá las máquinas virtuales de Azure y los servidores habilitados para Azure Arc en la lista. Puede marcar las casillas de suscripciones o grupos de recursos para seleccionar todas las máquinas que contienen, o puede seleccionar máquinas individuales. Seleccione Aplicar cuando haya elegido todas las máquinas. Al final de este proceso, el agente de Azure Monitor se instalará en las máquinas seleccionadas que aún no lo tengan instalado.

  6. En la pestaña Recopilar, elija los eventos que le gustaría recopilar: seleccione Todos los eventos o Personalizado para especificar otros registros o filtrar eventos usando las consultas de XPath (consulte la nota que tiene a continuación). Escriba expresiones en el cuadro que se evalúen como criterios XML específicos para los eventos que se recopilan y, a continuación, seleccione Agregar. Puede escribir hasta 20 expresiones en un solo cuadro y hasta 100 cuadros en una regla.

    Obtenga más información sobre las reglas de recopilación de datos en la documentación de Azure Monitor.

    Nota

  7. Cuando haya agregado todas las expresiones de filtro que quiera, seleccione Siguiente: Revisar y crear.

  8. Cuando vea el mensaje "Validación superada", seleccione Crear.

Verá todas las reglas de recopilación de datos (incluidas las creadas a través de la API) en Configuración en la página del conector. Desde allí, puede editar o eliminar las reglas existentes.

Sugerencia

Use el cmdlet de PowerShell Get-WinEvent con el parámetro -FilterXPath para probar la validez de una consulta XPath. En el script siguiente se muestra un ejemplo:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • Si se devuelven eventos, la consulta es válida.
  • Si recibe el mensaje “No se encontraron eventos que coincidan con los criterios de selección especificados”, la consulta puede ser válida, pero no hay eventos coincidentes en el equipo local.
  • Si recibe el mensaje “La consulta especificada no es válida”, la sintaxis de la consulta no es válida.

Creación de reglas de recopilación de datos mediante la API

También puede crear reglas de recopilación de datos mediante la API (consulte el esquema), lo que le puede facilitar la vida si va a crear muchas reglas (por ejemplo, si es un MSSP). A continuación, se muestra un ejemplo (para los eventos de seguridad de Windows a través del conector AMA) que puede usar como plantilla para crear una regla:

Encabezado y dirección URL de solicitud

PUT https://management.azure.com/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

Cuerpo de la solicitud

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/703362b3-f278-4e4b-9179-c76eaf41ffc2/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Consulte esta descripción completa de las reglas de recopilación de datos de la documentación de Azure Monitor.

Pasos siguientes

En este documento, ha aprendido a conectar servicios de Azure, Microsoft y Windows, así como Amazon Web Services, a Microsoft Sentinel.