Anterior

Siguientes

Descripción de incidentes

Completado

Las amenazas relacionadas con la tecnología para una organización se denominan incidentes. La administración de incidentes es el proceso completo de investigación de incidentes, desde la creación de estos hasta la investigación en profundidad y, por último, la resolución. Microsoft Sentinel puede ayudar al equipo de TI a organizar e investigar incidentes, y a realizar el seguimiento de ellos, desde su creación hasta su resolución.

Puede usar Microsoft Sentinel para revisar información detallada del incidente, asignarle un propietario, establecer y mantener la gravedad del incidente, y administrar su estado. Microsoft Sentinel proporciona un entorno completo de administración de incidentes para administrar estos pasos.

Conceptos clave

Es importante entender los siguientes conceptos clave de la administración de incidentes de Microsoft Sentinel:

• Conectores de datos. Los conectores de datos de Microsoft Sentinel se pueden usar para ingerir y recopilar datos de servicios relacionados con la seguridad. Los conectores de datos pueden recopilar eventos de equipos Linux o Windows que ejecutan el agente de Log Analytics, de un servidor de Syslog de Linux en dispositivos como firewalls o servidores proxy o directamente de servicios de Microsoft Azure. Estos eventos se reenvían a un área de trabajo de Log Analytics asociada a Microsoft Sentinel.
• Eventos. Microsoft Sentinel almacena los eventos en un área de trabajo de Log Analytics. Estos eventos contienen los detalles de la actividad relacionada con la seguridad que quiere que supervise Microsoft Sentinel.
• Reglas de análisis. Las reglas de análisis detectan eventos de seguridad importantes y generan alertas. Se pueden crear reglas de análisis mediante plantillas integradas o mediante consultas personalizadas de Lenguaje de consulta de Kusto (KQL) en áreas de trabajo de Log Analytics en Microsoft Sentinel.
• Alertas. Las reglas analíticas generan alertas cuando detectan eventos de seguridad importantes. También puede configurar alertas para generar incidentes.
• Incidentes. Microsoft Sentinel crea incidentes a partir de alertas de reglas analíticas. Los incidentes pueden contener varias alertas relacionadas. Cada incidente se usa como punto inicial y mecanismo de seguimiento para la investigación de los problemas de seguridad del entorno.

Página de información general de Microsoft Sentinel

La administración de incidentes en Microsoft Sentinel comienza en la página de información general, donde se puede revisar el entorno actual de Microsoft Sentinel. La página de información general contiene una lista de los incidentes más recientes, junto con otra información importante de Microsoft Sentinel. Puede usar esta página para entender la situación de seguridad general antes de investigar incidentes.

Comprobar los conocimientos

1.

¿Qué componente de Microsoft Sentinel genera alertas?

Incidentes.

Reglas de análisis.

Conectores de datos.

Eventos.

2.

¿Cuál es el objetivo principal de la administración de incidentes en Microsoft Sentinel?

Para entender el estado de seguridad en Azure.

Para seguir y administrar todos los problemas de Azure.

Para seguir y resolver problemas de seguridad en el entorno de la organización.

Para administrar roles de seguridad en el entorno.

Debe responder todas las preguntas antes de comprobar su trabajo.

Continuar