Inicio rápido: Introducción a Azure Sentinel (versión preliminar)Quickstart: Get started with Azure Sentinel Preview

Importante

Azure Sentinel se encuentra actualmente en versión preliminar pública.Azure Sentinel is currently in public preview. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

En este inicio rápido, aprenderá a ver y supervisar rápidamente lo que sucede en su entorno mediante Azure Sentinel.In this quickstart you will learn how to quickly be able to view and monitor what's happening across your environment using Azure Sentinel. Después de conectar los orígenes de datos a Azure Sentinel, obtendrá una visualización y un análisis instantáneos de los datos, así sabrá lo que sucede en todos los orígenes de datos conectados.After you connected your data sources to Azure Sentinel, you get instant visualization and analysis of data so that you can know what's happening across all your connected data sources. Azure Sentinel ofrece paneles que le proporcionan todo el poder de las herramientas que ya están disponibles en Azure, así como tablas y gráficos que están integrados para ofrecerle análisis de sus registros y consultas.Azure Sentinel gives you dashboards that provide you with the full power of tools already available in Azure as well as tables and charts that are built in to provide you with analytics for your logs and queries. Puede usar paneles integrados o crear un panel fácilmente desde cero o a partir de un panel ya existente.You can either use built-in dashboards or create a new dashboard easily, from scratch or based on an existing dashboard.

Obtener visualizaciónGet visualization

Para visualizar y obtener análisis de lo que sucede en su entorno, primero eche un vistazo al panel de información general para hacerse una idea de la posición de seguridad de su organización.To visualize and get analysis of what's happening on your environment, first, take a look at the overview dashboard to get an idea of the security posture of your organization. Puede hacer clic en cada elemento de estos iconos para explorar en profundidad los datos sin procesar desde los que se crean.You can click on each element of these tiles to drill down to the raw data from which they are created. Para ayudar a reducir el ruido y minimizar el número de alertas que tiene que revisar e investigar, Azure Sentinel emplea una técnica de fusión para correlacionar alertas con incidentes.To help you reduce noise and minimize the number of alerts you have to review and investigate, Azure Sentinel uses a fusion technique to correlate alerts into incidents. Los incidentes son grupos de alertas relacionadas que, juntas, crean un incidente procesable que se puede investigar y resolver.incidents are groups of related alerts that together create an actionable incident that you can investigate and resolve.

  • En Azure Portal, seleccione Azure Sentinel y, luego, seleccione el área de trabajo que quiere supervisar.In the Azure portal, select Azure Sentinel and then select the workspace you want to monitor.

    Introducción a Azure Sentinel

  • La barra de herramientas de la parte superior le indica cuántos eventos obtuvo durante el período de tiempo seleccionado y lo compara con las 24 horas anteriores.The toolbar across the top tells you how many events you got over the time period selected, and it compares it to the previous 24 hours. A partir de estos eventos, la barra de herramientas le indica las alertas que se desencadenaron (el número pequeño representa los cambios en las últimas 24 horas) y, luego, le indica cuántos de esos eventos están abiertos, en curso y cerrados.The toolbar tells you from these events, the alerts that were triggered (the small number represents change over the last 24 hours), and then it tells you for those events, how many are open, in progress, and closed. Compruebe que no haya un ascenso o descenso destacables en el número de eventos.Check to see that there isn't a dramatic increase or drop in the number of events. Si se produce un descenso, es posible que una de las conexiones haya dejado de informar a Azure Sentinel.If there is a drop, it could be that a connection stopped reporting to Azure Sentinel. Si hay un ascenso, puede que haya ocurrido algo sospechoso.If there is an increase, something suspicious may have happened. Vea si tiene nuevas alertas.Check to see if you have new alerts.

    Embudo de Azure Sentinel

El cuerpo principal de la página de información general ofrece conclusiones de un vistazo sobre el estado de seguridad del área de trabajo:The main body of the overview page gives insight at a glance into the security status of your workspace:

  • Eventos y alertas con el tiempo: muestra el número de eventos y cuántas alertas se crearon a partir de ellos.Events and alerts over time: Lists the number of events and how many alerts were created from those events. Si observa un pico inusual, examine las alertas al respecto; si hay algo raro donde hay un pico en los eventos, pero no hay alertas, podría ser motivo de preocupación.If you see a spike that's unusual, you should see alerts for it - if there's something unusual where there is a spike in events but you don't see alerts, it might be cause for concern.

  • Posibles eventos malintencionados: cuando se detecta tráfico desde orígenes que se sabe que son malintencionados, Azure Sentinel le avisa en el mapa.Potential malicious events: When traffic is detected from sources that are known to be malicious, Azure Sentinel alerts you on the map. Si la alerta es naranja, se trata del tráfico entrante: alguien está intentando acceder a su organización desde una dirección IP malintencionada conocida.If you see orange, it is inbound traffic: someone is trying to access your organization from a known malicious IP address. Si observa actividad saliente (rojo), significa que los datos de la red se están transmitiendo fuera de la organización a una dirección IP malintencionada conocida.If you see Outbound (red) activity, it means that data from your network is being streamed out of your organization to a known malicious IP address.

    Mapa de Azure Sentinel

  • Incidentes recientes: para ver los incidentes recientes, su gravedad y el número de alertas asociadas con el incidente.Recent incidents: To view your recent incidents, their severity and the number of alerts associated with the incident. Si observa como un pico repentino en un tipo de alerta específico, podría significar que hay un ataque activado actualmente en ejecución.If you see as sudden peak in a specific type of alert, it could mean that there is an active attack currently running. Por ejemplo, si tiene un pico repentino de 20 eventos Pass-the-hash procedentes de Azure ATP, es posible que alguien esté intentando atacarle.For example, if you have a sudden peak of 20 Pass-the-hash events from Azure ATP, it's possible that someone is currently trying to attack you.

  • Anomalías del origen de datos: los analistas de datos de Microsoft crean modelos que examinan constantemente los datos de los orígenes de datos en busca de anomalías.Data source anomalies: Microsoft's data analysts created models that constantly search the data from your data sources for anomalies. Si no hay ninguna anomalía, no se muestra nada.If there aren't any anomalies, nothing is displayed. Si se detectan anomalías, debe analizarlas a fondo para ver lo que ha sucedido.If anomalies are detected, you should deep dive into them to see what happened. Por ejemplo, haga clic en el pico de actividad de Azure.For example, click on the spike in Azure Activity. Puede hacer clic en Chart (Gráfico) para ver el pico que ha ocurrido y, luego, filtrar por las actividades que se han producido durante ese período de tiempo para ver la causa.You can click on Chart to see when the spike happened, and then filter for activities that occurred during that time period to see what caused the spike.

    Mapa de Azure Sentinel

Uso de los paneles integradosUse built-in dashboards

Los paneles integrados proporcionan datos integrados procedentes de orígenes de datos conectados y le permiten analizar en profundidad los eventos generados en esos servicios.Built-in dashboards provide integrated data from your connected data sources to let you deep dive into the events generated in those services. Los paneles integrados incluyen el de Azure AD, eventos de actividad de Azure y locales, que pueden ser datos de eventos de Windows de servidores, de alertas de primera entidad o de terceros, incluidos los registros de tráfico, Office 365 y protocolos poco seguros basados en eventos de Windows.The built-in dashboards include Azure ID, Azure activity events, and on-premises, which can be data from Windows Events from servers, from first party alerts, from any third party including firewall traffic logs, Office 365, and insecure protocols based on Windows events.

  1. En Settings (Configuración), seleccione Dashboards (Paneles).Under Settings, select Dashboards. En Installed (Instalado), puede ver todos los paneles instalados.Under Installed, you can see all your installed dashboards. En All (Todos), puede ver la galería entera de paneles integrados que están disponibles para su instalación.Under All you can see the whole gallery of built-in dashboards that are available for installation.
  2. Busque un panel específico ver la lista completa y una descripción de lo que ofrece cada uno.Search for a specific dashboard to see the whole list and description of what each offers.
  3. Suponiendo que usa Azure AD, para comenzar a trabajar con Azure Sentinel, se recomienda que instale al menos los paneles siguientes:Assuming you use Azure AD, to get up and running with Azure Sentinel, we recommend that you install at least the following dashboards:
    • Azure AD: use uno de estos paneles o ambos:Azure AD: Use either or both of the following:

      • Inicios de sesión de Azure AD: analiza los inicios de sesión con el tiempo para ver si hay anomalías.Azure AD sign-ins analyzes sign-ins over time to see if there are anomalies. Este panel proporciona los errores de inicio de sesión de las aplicaciones, los dispositivos y las ubicaciones de forma que pueda advertir de un vistazo si sucede algo inusual.This dashboard provides failed sign-ins by applications, devices, and locations so that you can notice, at a glance if something unusual happens. Preste atención cuando se producen varios errores de inicio de sesión.Pay attention to multiple failed sign-ins.
      • Registros de auditoría de Azure AD: analiza las actividades de administración, como los cambios en los usuarios (agregar, quitar, etc.), la creación de grupos y las modificaciones.Azure AD audit logs analyzes admin activities, such as changes in users (add, remove, etc.), group creation, and modifications.
    • Agregue un panel para su firewall.Add a dashboard for your firewall. Por ejemplo, agregar el panel Palo Alto.For example, add the Palo Alto dashboard. El panel analiza el tráfico de firewall, proporciona correlaciones entre los datos de firewall y los eventos de amenazas y resalta los eventos sospechosos entre entidades.The dashboard analyzes your firewall traffic, providing you with correlations between your firewall data and threat events, and highlights suspicious events across entities. Los paneles proporcionan información sobre las tendencias en el tráfico y le permite explorar en profundidad los resultados y filtrarlos.Dashboards provides you with information about trends in your traffic and lets you drill down into and filter results.

      Panel Palo Alto

Puede personalizar los paneles mediante la edición del botón de la consulta principal.You can customize the dashboards either by editing the main query button. Puede hacer clic en el botón para ir a Log Analytics y editar ahí la consulta; y puede seleccionar el botón de puntos suspensivos (...) y seleccionar Customize tile data (Personalizar los datos del icono), que le permite editar el filtro de tiempo principal, o quitar determinados iconos del panel.You can click the button button to go to Log Analytics to edit the query there, and you can select the ellipsis (...) and select Customize tile data, which enables you to edit the main time filter, or remove the specific tiles from the dashboard.

Para más información sobre cómo trabajar con consultas, consulte Tutorial: Visualización de datos en Log AnalyticsFor more information on working with queries, see Tutorial: Visual data in Log Analytics

Agregar un nuevo iconoAdd a new tile

Si quiere agregar un nuevo icono, puede agregarlo a un panel existente (uno que haya creado o uno integrado de Azure Sentinel).If you want to add a new tile, you can add it to an existing dashboard, either one that you create or an Azure Sentinel built-in dashboard.

  1. En Log Analytics, cree un icono mediante las instrucciones que encontrará en Tutorial: Visualización de datos en Log Analytics.In Log Analytics, create a tile using the instructions found in Tutorial: Visual data in Log Analytics.
  2. Después de crear el icono, en Pin (Anclar), seleccione el panel en el que quiere que aparezca el icono.After the tile is created, under Pin, select the dashboard in which you want the tile to appear.

Creación de panelesCreate new dashboards

Puede crear un panel desde cero o usar un panel integrado como base para un nuevo panel.You can create a new dashboard from scratch or use a built-in dashboard as the basis for your new dashboard.

  1. Para crear un panel desde cero, seleccione Dashboards (Paneles) y, a continuación, +New dashboard (+Nuevo panel).To create a new dashboard from scratch, select Dashboards and then +New dashboard.

  2. Seleccione la suscripción en la que se crea el panel y asígnele un nombre descriptivo.Select the subscription the dashboard is created in and give it a descriptive name. Cada panel es como cualquier otro recurso de Azure, y puede asignarle roles (RBAC) para definir y limitar quién puede tener acceso.Each dashboard is an Azure resource like any other, and you can assign it roles (RBAC) to define and limit who can access.

  3. Para habilitarlo y mostrarlo en los paneles a los que anclar las visualizaciones, debe compartirlo.To enable it to show up in your dashboards to pin visualizations to, you have to share it. Haga clic en Share (Compartir) y, luego, en Manage users (Administrar usuarios).Click Share and then Manage users.

  4. Use Check access (Comprobar acceso) y Role assignments (Asignaciones de roles) como haría con cualquier otro recurso de Azure.Use the Check access and Role assignments as you would for any other Azure resource. Para más información, consulte Uso compartido de paneles de Azure mediante el control de acceso basado en rol.For more information, see Share Azure dashboards by using RBAC.

Ejemplos de nuevos panelesNew dashboard examples

La siguiente consulta de ejemplo le permite comparar las tendencias del tráfico entre semanas.The following sample query enables you to compare trends of traffic across weeks. Puede cambiar fácilmente en el proveedor de dispositivos y el origen de datos en que se ejecutará la consulta.You can easily switch which device vendor and data source you run the query on. En este ejemplo se usa SecurityEvent de Windows, pero puede cambiarlo por AzureActivity, CommonSecurityLog o cualquier otro firewall.This example uses SecurityEvent from Windows, you can switch it to run on AzureActivity or CommonSecurityLog on any other firewall.

 |where DeviceVendor = = "Palo Alto Networks":
  // week over week query
  SecurityEvent
  | where TimeGenerated > ago(14d)
  | summarize count() by bin(TimeGenerated, 1d)
  | extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Puede que quiera crear una consulta que incorpore datos de varios orígenes.You might want to create a query that incorporates data from multiples sources. Puede crear una consulta que examine los registros de auditoría de Azure Active Directory de los nuevos usuarios que acaba de crear y que luego compruebe los registros de Azure para ver si el usuario comenzó a realizar cambios en la asignación de roles al cabo de 24 horas de la creación.You can create a query that looks at Azure Active Directory audit logs for new users that were just created, and then checks your Azure logs to see if the user started making role assignment changes within 24 hours of creation. En este panel aparecería esa actividad sospechosa:That suspicious activity would show up on this dashboard:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Puede crear distintos paneles según el rol de la persona que examina los datos y lo que busca.You can create different dashboards based on role of person looking at the data and what they're looking for. Por ejemplo, puede crear un panel para el administrador de red que incluya los datos del firewall.For example, you can create a dashboard for your network admin that includes the firewall data. También puede crear paneles según la frecuencia con la que quiera verlos, si hay cosas que quiera revisar diariamente, y otros elementos que quiera comprobar una vez cada hora; por ejemplo, podría querer examinar sus inicios de sesión de Azure AD cada hora para detectar anomalías.You can also create dashboards based on how frequently you want to look at them, whether there are things you want to review daily, and others items you want to check once an hour, for example, you might want to look at your Azure AD sign-ins every hour to search for anomalies.

Creación de nuevas deteccionesCreate new detections

Genere detecciones en los orígenes de datos que ha conectado a Azure Sentinel para investigar las amenazas de su organización.Generate detections on the data sources that you connected to Azure Sentinel to investigate threats in your organization.

Cuando cree una nueva detección, aproveche las detecciones integradas diseñadas por los investigadores de seguridad de Microsoft que se adapten a los orígenes de datos que ha conectado.When you create a new detection, leverage the built-in detections crafted by Microsoft security researchers that are tailored to the data sources you connected.

  1. En la Comunidad de GitHub vaya a la carpeta de detecciones y seleccione las carpetas pertinentes.In the GitHub community go to the Detections folder and select the relevant folders. carpetas pertinentesrelevant folders

  2. Vaya a la pestaña Analytics y seleccione Agregar.Go to the Analytics tab and select add. crear regla en Log Analyticscreate rule in Log Analytics

  3. Copie todos los parámetros en la regla y haga clic en Crear.Copy all parameters to the rule and click Create. crear regla de alertascreate alert rule

Pasos siguientesNext steps

En este inicio rápido, ha aprendido cómo empezar a usar Azure Sentinel.In this quickstart, you learned how to get started using Azure Sentinel. Siga con el tutorial sobre cómo detectar amenazas.Continue to the tutorial for how to detect threats.

Detecte amenazas para automatizar sus respuestas a estas.Detect threats to automate your responses to threats.