Microsoft Sentinel en el portal de Microsoft Defender (versión preliminar)
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para más información, vea:
- Plataforma unificada de operaciones de seguridad con Microsoft Sentinel y Defender XDR
- Conexión de Microsoft Sentinel a Microsoft Defender XDR
En este artículo se describe la experiencia de Microsoft Sentinel en el portal de Microsoft Defender.
Importante
La información de este artículo se refiere a una versión preliminar de un producto que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no proporciona ninguna garantía, expresa o implícita, con respecto a la información proporcionada aquí.
Funcionalidades nuevas y mejoradas
En la tabla siguiente se describen las funcionalidades nuevas o mejoradas disponibles en el portal de Defender con la integración de Microsoft Sentinel y Defender XDR.
| Capabilities | Descripción |
|---|---|
| Búsqueda avanzada | Consulta desde un único portal en distintos conjuntos de datos para que la búsqueda sea más eficaz y no sea necesario cambiar de contexto. Visualización y consulta de todos los datos, incluidos los datos de los servicios de seguridad de Microsoft y Microsoft Sentinel. Uso de todo el contenido del área de trabajo de Microsoft Sentinel existente, incluidas las consultas y las funciones. Para obtener más información, consulte Búsqueda avanzada en el portal de Microsoft Defender. |
| Interrupción de ataques | Implemente interrupciones automáticas de ataques para SAP con la plataforma unificada de operaciones de seguridad y las aplicaciones de la solución Microsoft Sentinel para SAP. Por ejemplo, contenga los activos en peligro bloqueando usuarios de SAP sospechosos en caso de un ataque de manipulación de procesos financieros. Las funcionalidades de interrupción de ataques para SAP solo están disponibles en el portal de Defender. Para usar la interrupción de ataques para SAP, actualice la versión del agente del conector de datos y asegúrese de que el rol de Azure correspondiente esté asignado a la identidad del agente. Para obtener más información, consulte Interrupción automática de ataques para SAP (versión preliminar). |
| Entidades unificadas | Las páginas de entidad para dispositivos, usuarios, direcciones IP y recursos de Azure en el portal de Defender muestran información de los orígenes de datos de Microsoft Sentinel y Defender. Estas páginas de entidad proporcionan un contexto expandido para las investigaciones de incidentes y alertas en el portal de Defender. Para obtener más información, consulte Investigación de entidades con páginas de entidad en Microsoft Sentinel. |
| Incidentes unificados | Administre e investigue incidentes de seguridad en una sola ubicación y desde una sola cola en el portal de Defender. Los incidentes incluyen: - Datos de diferentes orígenes - Herramientas de análisis de inteligencia artificial de la administración de eventos e información de seguridad (SIEM) - Herramientas de contexto y mitigación ofrecidas por la detección y respuesta extendidas (XDR) Para obtener más información, consulte Respuesta a incidentes en el portal de Microsoft Defender. |
Diferencias de funcionalidad entre portales
La mayoría de las funcionalidades de Microsoft Sentinel están disponibles en los portales de Azure y Defender. En el portal de Defender, algunas experiencias de Microsoft Sentinel se abren en Azure Portal para que complete una tarea.
En esta sección se tratan las funcionalidades o integraciones de Microsoft Sentinel en la plataforma unificada de operaciones de seguridad que solo están disponibles en Azure Portal o en el portal de Defender, u otras diferencias significativas entre los portales. Excluye las experiencias de Microsoft Sentinel que abren Azure Portal desde el portal de Defender.
| Funcionalidad | Disponibilidad | Descripción |
|---|---|---|
| Búsqueda avanzada mediante marcadores | Azure Portal solamente | Los marcadores no se admiten en la experiencia de búsqueda avanzada en el portal de Microsoft Defender. En el portal de Defender, se admiten en la Administración de amenazas> Microsoft Sentinel> Búsqueda. Para obtener más información, consulte Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel. |
| Interrupción de ataques para SAP | Solo portal de Defender | Esta funcionalidad no está disponible en Azure Portal. Para obtener más información, consulte Interrupción automática de ataques en el portal de Microsoft Defender. |
| Automation | Algunos procedimientos de automatización solo están disponibles en Azure Portal. Otros procedimientos de automatización son los mismos en el portal de Defender y Azure Portal, pero difieren en Azure Portal entre las áreas de trabajo que están incorporadas a la plataforma unificada de operaciones de seguridad y las áreas de trabajo que no lo están. |
Para más información, consulte Automatización con la plataforma unificada de operaciones de seguridad. |
| Conectores de datos: visibilidad de los conectores usados por la plataforma unificada de operaciones de seguridad | Azure Portal solamente | En el portal de Defender, después de incorporar Microsoft Sentinel, los siguientes conectores de datos que forman parte de la plataforma unificada de operaciones de seguridad no se muestran en la página Conectores de datos: En Azure Portal, estos conectores de datos siguen apareciendo con los conectores de datos instalados en Microsoft Sentinel. |
| Entidades: agregar entidades a la inteligencia sobre amenazas de incidentes | Azure Portal solamente | Esta funcionalidad no está disponible en la plataforma unificada de operaciones de seguridad. Para obtener más información, consulte Agregar entidad a los indicadores de amenazas. |
| Fusión: detección avanzada de ataques de varias fases | Azure Portal solamente | La regla de análisis de Fusion, que crea incidentes basados en correlaciones de alertas realizadas por el motor de correlación de Fusion, se deshabilita al incorporar Microsoft Sentinel a la plataforma unificada de operaciones de seguridad. La plataforma unificada de operaciones de seguridad usa las funcionalidades de creación y correlación de incidentes de Microsoft Defender XDR para reemplazar las del motor de Fusion. Para obtener más información, consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel |
| Incidentes: Adición de alertas a incidentes/ Eliminación de alertas de incidentes |
Solo portal de Defender | Después de incorporar Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, ya no es posible agregar ni quitar alertas de incidentes en Azure Portal. Es posible quitar una alerta de un incidente en el portal de Defender, pero solo vinculando la alerta a otro incidente (existente o nuevo). |
| Incidentes: edición de comentarios | Azure Portal solamente | Después de incorporar Microsoft Sentinel a la plataforma unificada de operaciones de seguridad, es posible agregar comentarios a incidentes en cualquier portal, pero no es posible editar los comentarios existentes. Las modificaciones realizadas en los comentarios de Azure Portal no se sincronizan con la plataforma unificada de operaciones de seguridad. |
| Incidentes: creación mediante programación y manual de incidentes | Azure Portal solamente | Los incidentes creados en Microsoft Sentinel a través de la API, mediante un cuaderno de estrategias de aplicación lógica o manualmente desde Azure Portal, no se sincronizan con la plataforma unificada de operaciones de seguridad. Estos incidentes siguen siendo compatibles con Azure Portal y la API. Consulte Creación manual de incidentes propios en Microsoft Sentinel. |
| Incidentes: volver a abrir incidentes cerrados | Azure Portal solamente | En la plataforma unificada de operaciones de seguridad no se puede establecer la agrupación de alertas en reglas de análisis de Microsoft Sentinel para volver a abrir incidentes cerrados si se agregan nuevas alertas. Los incidentes cerrados no se vuelven a abrir en este caso y las nuevas alertas desencadenan nuevos incidentes. |
| Incidentes: Tareas | Azure Portal solamente | Las tareas no están disponibles en la plataforma de operaciones de seguridad unificadas. Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel. |
Referencia rápida
Algunas funcionalidades de Microsoft Sentinel, como la cola unificada de incidentes, se integran con Microsoft Defender XDR en la plataforma unificada de operaciones de seguridad. Muchas otras funcionalidades de Microsoft Sentinel están disponibles en la sección Microsoft Sentinel del portal de Defender.
En la imagen siguiente se muestra el menú Microsoft Sentinel en el portal de Defender:
En las secciones siguientes se describe dónde encontrar las características de Microsoft Sentinel en el portal de Defender. Las secciones están organizadas como lo está Microsoft Sentinel en Azure Portal.
General
La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección General de Azure Portal.
| Azure portal | 365 Defender |
|---|---|
| Información general | Información general |
| Registros | Investigación y respuesta > Búsqueda > Búsqueda avanzada |
| Novedades y guías | No disponible |
| Buscar | Microsoft Sentinel > Buscar |
Administración de amenazas
En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de amenazas de Azure Portal.
| Azure portal | 365 Defender |
|---|---|
| Incidentes | Investigación y respuesta > Incidentes y alertas > Incidentes |
| Libros | Microsoft Sentinel > Administración de amenazas> Libros |
| Búsqueda | Microsoft Sentinel > Administración de amenazas> Búsqueda |
| Cuaderno | Microsoft Sentinel > Administración de amenazas> Cuadernos |
| Comportamiento de la entidad | Página de entidad de usuario: Recursos > Identidades >{usuario}> Eventos de Sentinel Página de entidad de dispositivo: Recursos > Dispositivos >{dispositivo}> Eventos de Sentinel Además, busque en las páginas de entidad los tipos de entidad de usuario, dispositivo, IP y recursos de Azure a partir de incidentes y alertas a medida que aparecen. |
| Información sobre amenazas | Microsoft Sentinel > Administración de amenazas > Inteligencia sobre amenazas |
| MITRE ATT&CK | Microsoft Sentinel > Administración de amenazas > MITRE ATT&CK |
Administración de contenido
En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de contenido de Azure Portal.
| Azure portal | 365 Defender |
|---|---|
| Centro de contenido | Microsoft Sentinel > Administración de contenido > Centro de contenido |
| Repositorios | Microsoft Sentinel > Administración de contenido > Repositorios |
| Comunidad | No disponible |
Configuración
La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección Configuración de Azure Portal.
| Azure portal | 365 Defender |
|---|---|
| Administrador del área de trabajo | No disponible |
| Conectores de datos | Microsoft Sentinel > Configuración > Conectores de datos |
| Análisis | Microsoft Sentinel > Configuración > Análisis |
| Listas de seguimiento | Microsoft Sentinel > Configuración > Listas de reproducción |
| Automation | Microsoft Sentinel > Configuración > Automatización |
| Configuración | Sistema > Configuración > Microsoft Sentinel |