Recursos útiles al trabajar con Microsoft Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este artículo se enumeran recursos que pueden serle de utilidad para obtener más información sobre cómo trabajar con Microsoft Sentinel.

Más información sobre la creación de consultas

Microsoft Sentinel usa el lenguaje de consulta Kusto (KQL) de Azure Monitor Log Analytics para generar consultas. Para más información, consulte:

Plantillas de Microsoft Sentinel para los datos que se supervisan

La Guía de operaciones de seguridad de Azure Active Directory incluye instrucciones y conocimientos específicos sobre los datos que es importante supervisar por motivos de seguridad para varias áreas operativas.

En cada artículo, compruebe las secciones denominadas Elementos que se deben supervisar para ver listas de eventos sobre los que se recomienda alertar e investigar, así como plantillas de reglas de análisis para implementarlas directamente en Microsoft Sentinel.

Más información sobre la creación de automatización

Cree automatización en Microsoft Sentinel mediante Azure Logic Apps, con una creciente galería de cuadernos de estrategias integrados.

Para más información, consulte Conectores de Azure Logic Apps.

Comparación de cuadernos de estrategias, libros y cuadernos

En la siguiente tabla se describen las diferencias entre los cuadernos de estrategias, los libros y los cuadernos en Microsoft Sentinel:

Category Playbooks Workbooks Cuaderno
Personas
  • Ingenieros de SOC
  • Analistas de todos los niveles
  • Ingenieros de SOC
  • Analistas de todos los niveles
  • Buscadores de amenazas y analistas de los niveles 2 y 3
  • Investigadores de incidentes
  • Científicos de datos
  • Investigadores de seguridad
Usos Automatización de tareas sencillas y repetibles:
  • Ingesta de datos externos
  • Enriquecimiento de datos con TI, búsquedas de GeoIP, etc.
  • Investigación
  • Corrección
  • Visualización
  • Consulta de datos y datos externos de Microsoft Sentinel
  • Enriquecimiento de datos con TI, búsquedas de GeoIP y búsquedas de WhoIs, etc.
  • Investigación
  • Visualización
  • Búsqueda
  • Aprendizaje automático y análisis de macrodatos
Ventajas
  • Mejor para tareas aisladas y repetibles
  • No se necesitan conocimientos de programación
  • Opción idónea para obtener una vista de alto nivel de los datos de Microsoft Sentinel
  • No se necesitan conocimientos de programación
  • Mejor para cadenas complejas de tareas repetibles
  • Control ad hoc, más procedimental
  • Más fácil de dinamizar con la funcionalidad interactiva
  • Bibliotecas de Python completas para la manipulación y la visualización de datos
  • Aprendizaje automático y análisis personalizado
  • Facilidad para documentar y compartir evidencias de análisis
Desafíos
  • No adecuado para cadenas de tareas ad hoc y complejas
  • No adecuado para documentar y compartir evidencias
  • No se puede integrar con datos externos
  • Curva de aprendizaje alta y requiere conocimientos de programación
Más información Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel Visualización de los datos recopilados Uso de cuadernos de Jupyter para buscar amenazas de seguridad

Realice comentarios en nuestros blogs y foros

Nos encanta escuchar a nuestros usuarios.

En el espacio de TechCommunity para Microsoft Sentinel, haga lo siguiente:

También puede enviar sugerencias para obtener mejoras a través de nuestro programa Voz del usuario.

Únase a la comunidad de GitHub de Microsoft Sentinel

El repositorio de GitHub de Microsoft Sentinel es un recurso muy eficaz para la detección de amenazas y la automatización.

Nuestros analistas de seguridad de Microsoft crean y agregan constantemente nuevos libros, cuadernos de estrategias, consultas de búsqueda, etc. y los publican en la comunidad para que los pueda usar en su entorno.

Puede descargar contenido de ejemplo del repositorio de GitHub privado de la comunidad con el fin de crear libros, consultas de búsqueda, cuadernos y cuadernos de estrategias personalizados para Microsoft Sentinel.

Pasos siguientes