Actividades previas a la implementación y requisitos previos para implementar Microsoft Sentinel

En este artículo se presentan las actividades previas a la implementación y los requisitos previos para implementar Microsoft Sentinel.

Actividades previas a la implementación

Antes de implementar Microsoft Sentinel, se recomienda realizar los pasos siguientes para ayudar a que la implementación se centre en proporcionar el máximo valor posible cuanto antes.

  1. Determine qué orígenes de datos necesita y los requisitos de tamaño de datos como ayuda para proyectar con precisión el presupuesto y la escala de tiempo de la implementación.

    Puede determinar esta información durante la revisión del caso de uso empresarial o mediante la evaluación de una solución de SIEM actual que ya tenga en funcionamiento. Si ya tiene una solución de SIEM en funcionamiento, analice los datos para comprender qué orígenes de datos proporcionan el máximo valor y se deben incluir en Microsoft Sentinel.

  2. Diseñe el área de trabajo de Microsoft Sentinel. Tenga en cuenta parámetros como los siguientes:

    • Si va a usar un solo inquilino o varios inquilinos
    • Cualquier requisito de cumplimiento que tenga para la recopilación y el almacenamiento de datos
    • Control del acceso a los datos de Microsoft Sentinel

    Para obtener más información, consulte Procedimientos recomendados de arquitectura de áreas de trabajo de Azure Sentinel y Diseños de área de trabajo de ejemplo de Azure Sentinel.

  3. Una vez identificados los casos de uso empresariales, los orígenes de datos y los requisitos de tamaño de datos, empiece a planear el presupuesto, teniendo en cuenta las implicaciones de costos de cada escenario planeado.

    Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etcétera.

    Para más información, consulte:

  4. Designe a un ingeniero o arquitecto para que dirija la implementación, en función de los requisitos y las escalas de tiempo. Esta persona debe dirigir la implementación y ser el punto de contacto principal del equipo.

Requisitos del inquilino de Azure

Antes de implementar Microsoft Sentinel, asegúrese de que el inquilino de Azure cumple los siguientes requisitos:

Al configurar el área de trabajo de Microsoft Sentinel, es recomendable crear un grupo de recursos dedicado a Microsoft Sentinel y a los recursos que este usa, incluidos el área de trabajo de Log Analytics, los cuadernos de estrategias y los libros, entre otros.

Un grupo de recursos dedicado permite asignar permisos una vez, en el nivel de grupo de recursos, y que los permisos se apliquen automáticamente a los recursos correspondientes. La administración del acceso por medio de un grupo de recursos ayuda a garantizar que se usa Microsoft Sentinel de forma eficaz sin emitir permisos potencialmente inadecuados. Sin un grupo de recursos para Microsoft Sentinel, con los recursos dispersos entre varios grupos de recursos, es posible que un usuario o una entidad de servicio no puedan realizar una acción necesaria ni ver los datos debido a que les falten los permisos suficientes. Para implementar un mayor control de acceso sobre los recursos por niveles, use grupos de recursos adicionales para hospedar los recursos a los que solo deben acceder esos grupos. El uso de varios niveles de grupos de recursos permite separar el acceso entre esos niveles.

Pasos siguientes