Inicio rápido: Incorporación a Microsoft Sentinel

Nota:

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este inicio rápido, aprenderá cómo incorporar Microsoft Sentinel. Para incorporar Microsoft Sentinel, primero debe habilitarlo y, después, conectar sus orígenes de datos.

Microsoft Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real, entre las que se incluyen las soluciones de Microsoft 365 Defender (anteriormente, Protección contra amenazas de Microsoft), orígenes de Microsoft 365 (como Office 365), Azure AD, Microsoft Defender for Identity (anteriormente, Azure ATP), Microsoft Defender for Cloud Apps, alertas de seguridad de Microsoft Defender for Cloud y más. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft. También puede usar el formato de evento común, Syslog o las API REST para conectar los orígenes de datos con Microsoft Sentinel.

Después de conectar los orígenes de datos, puede elegir de una galería de libros creados de forma experta que exponen información basada en los datos. Estos libros se pueden personalizar fácilmente en función de sus necesidades.

Importante

Para obtener información sobre los cargos en los que se incurre al usar Microsoft Sentinel, consulte los precios de Microsoft Sentinel y los costos y facturación de Microsoft Sentinel.

Requisitos previos globales

Para más información, consulte Actividades previas a la implementación y requisitos previos para implementar Microsoft Sentinel.

Disponibilidad geográfica y residencia de datos

  • Microsoft Sentinel se puede ejecutar en áreas de trabajo de la mayoría de las regiones donde Log Analytics está disponible con carácter general. Las regiones en las que Log Analytics está disponible recientemente pueden tardar algún tiempo en incorporar el servicio Microsoft Sentinel.

  • Vea Residencia de datos en Azure para obtener información sobre zonas geográficas y regiones y sobre dónde se almacenan los datos del cliente.

  • Actualmente, la residencia de datos en una sola región solo se proporciona en la región Sudeste Asiático (Singapur) del área geográfica de Asia Pacífico, y en la región Sur de Brasil (estado de Sao Paulo) del área geográfica de Brasil.

    Importante

    • Al habilitar ciertas reglas que usan el motor de aprendizaje automático (ML), concede a Microsoft permiso para copiar los datos ingeridos pertinentes fuera de la geografía del área de trabajo de Microsoft Sentinel, según sea necesario para que el motor de aprendizaje automático procese estas reglas.

Habilitar Microsoft Sentinel

  1. Inicie sesión en Azure Portal. Asegúrese de que la suscripción en la que se crea Microsoft Sentinel está seleccionada.

  2. Busque y seleccione Sentinel.

    Services search

  3. Seleccione Agregar.

  4. Seleccione el área de trabajo que quiere usar o cree una nueva. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo única.

    Choose a workspace

    Nota

    • Las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no aparecerán en la lista. No se puede instalar Microsoft Sentinel en ellas.

    Importante

    • Una vez que se implementa en un área de trabajo, Microsoft Sentinel no admite actualmente el movimiento de esa área de trabajo a otros grupos de recursos o suscripciones.

      Si ya ha movido el área de trabajo, deshabilite todas las reglas activas en Análisis y vuelva a habilitarlas después de cinco minutos. Esto debe ser efectivo en la mayoría de los casos; sin embargo, cabe reiterar que no se admite y se realiza bajo su responsabilidad.

  5. Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).

Conexión con orígenes de datos

Microsoft Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Microsoft Sentinel. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Microsoft Sentinel. En el caso de los firewalls y servidores proxy, Microsoft Sentinel instala el agente de Log Analytics en un servidor de Syslog de Linux, desde el que el agente recopila los archivos de registro y los reenvía a Microsoft Sentinel.

  1. En el menú principal, seleccione Data connectors (Conectores de datos). Se abre la galería de conectores de datos.

  2. La galería de es una lista de todos los orígenes de datos que se pueden conectar. Seleccione un origen de datos y, después, el botón Open connector page (Abrir página del conector).

  3. En la página del conector encontrará instrucciones para configurar el conector, así como otras instrucciones adicionales que pueda necesitar.

    Por ejemplo, si selecciona el origen de datos Azure Active Directory, que permite transmitir registros de Azure AD a Microsoft Sentinel, puede seleccionar el tipo de registros que desea obtener (registros de inicio de sesión o registros de auditoría).
    Siga las instrucciones de instalación o consulte la guía de conexión relevante para obtener más información. Para más información acerca de los conectores de datos, consulte Conectores de datos de Microsoft Sentinel.

  4. En la pestaña Pasos siguientes de la página del conector se muestran los libros integrados, las consultas de ejemplo y las plantillas de reglas de análisis pertinentes que acompañan al conector de datos. Puede usarlos tal cual o modificarlos (de cualquiera de las dos formas puede obtener información interesante en los datos).

Una vez conectados los orígenes de datos, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Para más información, consulte Procedimientos recomendados para recopilaciones de datos.

Pasos siguientes

Para más información, consulte: