Incorporación en Azure Sentinel (versión preliminar)On-board Azure Sentinel Preview

Importante

Azure Sentinel se encuentra actualmente en versión preliminar pública.Azure Sentinel is currently in public preview. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

En este tutorial rápido, aprenderá cómo incorporarse a Azure Sentinel.In this quickstart you will learn how to on-board Azure Sentinel.

Para incorporarse a Azure Sentinel, primero debe habilitarlo y, después, conectar sus orígenes de datos.To on-board Azure Sentinel, you first need to enable Azure Sentinel, and then connect your data sources. Azure Sentinel llega con varios conectores para soluciones de Microsoft que están disponibles inmediatamente y proporcionan integración en tiempo real; por ejemplo, para soluciones de Microsoft Threat Protection y orígenes de Microsoft 365, como Office 365, Azure AD, Azure ATP y Microsoft Cloud App Security, entre muchos otros.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. También puede usar el formato de evento común, Syslog o las API de REST para conectar los orígenes de datos con Azure Sentinel.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel.

Después de conectar los orígenes de datos, puede elegir de una galería de paneles creados de forma experta que exponen información basada en los datos.After you connect your data sources, choose from a gallery of expertly created dashboards that surface insights based on your data. Estos paneles se pueden personalizar fácilmente en función de sus necesidades.These dashboards can be easily customized to your needs.

Requisitos previos globalesGlobal prerequisites

  • Suscripción activa de Azure. Si no tiene una, cree una cuenta gratuita antes de comenzar.Active Azure Subscription, if you don't have one, create a free account before you begin.

  • Área de trabajo de Log Analytics.Log Analytics workspace. Aprenda a crear un área de trabajo de Log AnalyticsLearn how to create a Log Analytics workspace

  • Para habilitar Azure Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Azure Sentinel.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.

  • Para usar Azure Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajoTo use Azure Sentinel, you need either contributor or reader permissions on the resource group that the workspace belongs to

  • Es posible que se necesiten permisos adicionales para conectarse a orígenes de datos específicosAdditional permissions may be needed to connect specific data sources

Habilitar Azure Sentinel Enable Azure Sentinel

  1. Vaya a Azure Portal.Go into the Azure portal.

  2. Asegúrese de que la suscripción en la que se crea Azure Sentinel está seleccionada.Make sure that the subscription in which Azure Sentinel is created, is selected.

  3. Busque Azure Sentinel.Search for Azure Sentinel. searchsearch

  4. Haga clic en +Agregar.Click +Add.

  5. Seleccione el área de trabajo que quiere usar o cree una nueva.Select the workspace you want to use or create a new one. Puede ejecutar Azure Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo.You can run Azure Sentinel on more than one workspace, but the data is isolated to a single workspace.

    búsqueda

    Nota

    • Ubicación del área de trabajo: es importante entender que todos los datos que se transmiten a Azure Sentinel se almacenan en la ubicación geográfica del área de trabajo seleccionada.Workspace location It's important to understand that all the data you stream to Azure Sentinel is stored in the geographic location of the workspace you selected.
    • Las áreas de trabajo predeterminadas creadas por Azure Security Center no aparecerán en la lista; no puede instalar Azure Sentinel en ellas.Default workspaces created by Azure Security Center will not appear in the list; you can't install Azure Sentinel on them.
    • Puede ejecutar Azure Sentinel en áreas de trabajo que se implementan en cualquiera de las siguientes regiones: Sudeste de Australia, Centro de Canadá, Centro de la India, Este de EE. UU., EUAP de Este de EE. UU. 2 (Canary), Japón Oriental, Sudeste Asiático, Sur de Reino Unido, Europa Occidental y Oeste de EE. UU. 2.Azure Sentinel can run on workspaces that are deployed in any of the following regions: Australia Southeast, Canada Central, Central India, East US, East US 2 EUAP (Canary), Japan East, Southeast Asia, UK South, West Europe, West US 2.
  6. Haga clic en Agregar Azure Sentinel.Click Add Azure Sentinel.

Conexión con orígenes de datosConnect data sources

Azure Sentinel crea la conexión a aplicaciones y servicios al conectar con el servicio y reenviar los eventos y registros a Azure Sentinel.Azure Sentinel creates the connection to services and apps by connecting to the service and forwarding the events and logs to Azure Sentinel. Para equipos y máquinas virtuales, puede instalar el agente de Azure Sentinel que recopila los registros y los reenvía a Azure Sentinel.For machines and virtual machines, you can install the Azure Sentinel agent that collects the logs and forwards them to Azure Sentinel. Para los firewalls y servidores proxy, Azure Sentinel usa un servidor Linux Syslog.For Firewalls and proxies, Azure Sentinel utilizes a Linux Syslog server. El agente está instalado en él y, desde él, recopila los archivos de registro y los reenvía a Azure Sentinel.The agent is installed on it and from which the agent collects the log files and forwards them to Azure Sentinel.

  1. Haga clic en Recopilación de datos.Click Data collection.
  2. Hay un icono para cada origen de datos al que puede conectarse.There is a tile for each data source you can connect.
    Por ejemplo, haga clic en Azure Active Directory.For example, click Azure Active Directory. Si se conecta a este origen de datos, transmitirá todos los registros de Azure AD a Azure Sentinel.If you connect this data source, you stream all the logs from Azure AD into Azure Sentinel. Puede seleccionar qué tipo de registros quiere obtener: de inicio de sesión o de auditoría.You can select what type of logs you wan to get - sign-in logs and/or audit logs.
    En la parte inferior, Azure Sentinel proporciona recomendaciones sobre qué paneles debería instalar para cada conector, para que pueda obtener información interesante de los datos.At the bottom, Azure Sentinel provides recommendations for which dashboards you should install for each connector so you can immediately get interesting insights across your data.
    Siga las instrucciones de instalación o consulte la guía de conexión relevante para obtener más información.Follow the installation instructions or refer to the relevant connection guide for more information. Para obtener información acerca de los conectores de datos, vea Conexión de servicios de Microsoft.For information about data connectors, see Connect Microsoft services.

Una vez conectados los orígenes de datos, los datos comienzan a transmitirse a Azure Sentinel y podrá comenzar a trabajar con ellos.After your data sources are connected, your data starts streaming into Azure Sentinel and is ready for you to start working with. Puede ver los registros en los paneles integrados y comenzar a crear consultas en Log Analytics para investigar los datos.You can view the logs in the built-in dashboards and start building queries in Log Analytics to investigate the data.

Pasos siguientesNext steps

En este documento, ha aprendido cómo conectarse a orígenes de datos de Azure Sentinel.In this document, you learned about connecting data sources to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: