Inicio rápido: Incorporación de Azure SentinelQuickstart: On-board Azure Sentinel

En este tutorial de inicio rápido, aprenderá cómo incorporar Azure Sentinel.In this quickstart, learn how to on-board Azure Sentinel.

Para incorporarse a Azure Sentinel, primero debe habilitarlo y, después, conectar sus orígenes de datos.To on-board Azure Sentinel, you first need to enable Azure Sentinel, and then connect your data sources. Azure Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real, entre las que se incluyen las soluciones de Microsoft 365 Defender (anteriormente, Protección contra amenazas de Microsoft), orígenes de Microsoft 365 (como Office 365), Azure AD, Microsoft Defender for Identity (anteriormente, Azure ATP), Microsoft Cloud App Security, alertas de Azure Defender desde Azure Security Center y más.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft 365 Defender (formerly Microsoft Threat Protection) solutions, Microsoft 365 sources (including Office 365), Azure AD, Microsoft Defender for Identity (formerly Azure ATP), Microsoft Cloud App Security, Azure Defender alerts from Azure Security Center, and more. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. También puede usar el formato de evento común (CEF), Syslog o la API de REST para conectar los orígenes de datos con Azure Sentinel.You can also use Common Event Format (CEF), Syslog or REST-API to connect your data sources with Azure Sentinel.

Después de conectar los orígenes de datos, puede elegir de una galería de libros creados de forma experta que exponen información basada en los datos.After you connect your data sources, choose from a gallery of expertly created workbooks that surface insights based on your data. Estos libros se pueden personalizar fácilmente en función de sus necesidades.These workbooks can be easily customized to your needs.

Importante

Para obtener información sobre los cargos que se producen al usar Azure Sentinel, consulte los precios de Azure Sentinel.For information about the charges incurred when using Azure Sentinel, see Azure Sentinel pricing.

Requisitos previos globalesGlobal prerequisites

  • Suscripción activa de Azure. Si no tiene una, cree una cuenta gratuita antes de comenzar.Active Azure Subscription, if you don't have one, create a free account before you begin.

  • Área de trabajo de Log Analytics.Log Analytics workspace. Aprenda a crear un área de trabajo de Log Analytics.Learn how to create a Log Analytics workspace. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.For more information about Log Analytics workspaces, see Designing your Azure Monitor Logs deployment.

  • Para habilitar Azure Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Azure Sentinel.To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.

  • Para usar Azure Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.To use Azure Sentinel, you need either contributor or reader permissions on the resource group that the workspace belongs to.

  • Es posible que se necesiten permisos adicionales para conectarse a orígenes de datos específicos.Additional permissions may be needed to connect specific data sources.

  • Azure Sentinel es un servicio de pago.Azure Sentinel is a paid service. Para más información sobre precios, consulte Acerca de Azure Sentinel.For pricing information see About Azure Sentinel.

Disponibilidad geográfica y residencia de datosGeographical availability and data residency

  • Azure Sentinel se puede ejecutar en áreas de trabajo de cualquier región con disponibilidad general de Log Analytics, excepto en las regiones de China y Alemania (soberana).Azure Sentinel can run on workspaces in any GA region of Log Analytics except the China and Germany (Sovereign) regions.

  • Los datos que genera Azure Sentinel, como incidentes, marcadores y reglas de análisis, pueden contener datos del cliente procedentes de las áreas de trabajo de Log Analytics del cliente.Data generated by Azure Sentinel, such as incidents, bookmarks, and analytics rules, may contain some customer data sourced from the customer's Log Analytics workspaces. Estos datos generados por Azure Sentinel se guardan en la geografía que se muestra en la tabla siguiente, según la geografía en que se encuentra el área de trabajo:This Azure Sentinel-generated data is saved in the geography listed in the following table, according to the geography in which the workspace is located:

    Geografía del área de trabajoWorkspace geography Geografía de datos generados por Azure SentinelAzure Sentinel-generated data geography
    Estados UnidosUnited States
    IndiaIndia
    BrasilBrazil
    ÁfricaAfrica
    CoreaKorea
    Estados UnidosUnited States
    EuropaEurope
    FranciaFrance
    SuizaSwitzerland
    EuropaEurope
    AustraliaAustralia AustraliaAustralia
    Reino UnidoUnited Kingdom Reino UnidoUnited Kingdom
    CanadáCanada CanadáCanada
    JapónJapan JapónJapan

Habilitar Azure Sentinel Enable Azure Sentinel

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal. Asegúrese de que la suscripción en la que se crea Azure Sentinel está seleccionada.Make sure that the subscription in which Azure Sentinel is created is selected.

  2. Busque y seleccione Azure Sentinel.Search for and select Azure Sentinel.

    Búsqueda de servicios

  3. Seleccione Agregar.Select Add.

  4. Seleccione el área de trabajo que quiere usar o cree una nueva.Select the workspace you want to use or create a new one. Puede ejecutar Azure Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo.You can run Azure Sentinel on more than one workspace, but the data is isolated to a single workspace.

    Elegir un área de trabajo

    Nota

    • Las áreas de trabajo predeterminadas creadas por Azure Security Center no aparecerán en la lista; no puede instalar Azure Sentinel en ellas.Default workspaces created by Azure Security Center will not appear in the list; you can't install Azure Sentinel on them.

    Importante

    • Una vez implementado en un área de trabajo, Azure Sentinel no admite actualmente el movimiento de esa área de trabajo a otros grupos de recursos o suscripciones.Once deployed on a workspace, Azure Sentinel does not currently support the moving of that workspace to other resource groups or subscriptions.

      Si ya ha movido el área de trabajo, deshabilite todas las reglas activas en Análisis y vuelva a habilitarlas después de cinco minutos.If you have already moved the workspace, disable all active rules under Analytics and re-enable them after five minutes. Esto debe ser efectivo en la mayoría de los casos; sin embargo, cabe reiterar que no se admite y se realiza bajo su responsabilidad.This should be effective in most cases, though, to reiterate, it is unsupported and undertaken at your own risk.

  5. Seleccione Agregar Azure Sentinel.Select Add Azure Sentinel.

Conexión con orígenes de datosConnect data sources

Azure Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Azure Sentinel.Azure Sentinel ingests data from services and apps by connecting to the service and forwarding the events and logs to Azure Sentinel. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Azure Sentinel.For physical and virtual machines, you can install the Log Analytics agent that collects the logs and forwards them to Azure Sentinel. En el caso de los firewalls y servidores proxy, Azure Sentinel instala el agente de Log Analytics en un servidor de Syslog de Linux, desde el que el agente recopila los archivos de registro y los reenvía a Azure Sentinel.For Firewalls and proxies, Azure Sentinel installs the Log Analytics agent on a Linux Syslog server, from which the agent collects the log files and forwards them to Azure Sentinel.

  1. En el menú principal, seleccione Data connectors (Conectores de datos).From the main menu, select Data connectors. Se abre la galería de conectores de datos.This opens the data connectors gallery.

  2. La galería de es una lista de todos los orígenes de datos que se pueden conectar.The gallery is a list of all the data sources you can connect. Seleccione un origen de datos y, después, el botón Open connector page (Abrir página del conector).Select a data source and then the Open connector page button.

  3. En la página del conector encontrará instrucciones para configurar el conector, así como otras instrucciones adicionales que pueda necesitar.The connector page shows instructions for configuring the connector, and any additional instructions that may be necessary.
    Por ejemplo, si selecciona el origen de datos Azure Active Directory, que permite transmitir registros de Azure AD a Azure Sentinel, puede seleccionar el tipo de registros en los que desea obtener (registros de inicio de sesión o registros de auditoría).For example, if you select the Azure Active Directory data source, which lets you stream logs from Azure AD into Azure Sentinel, you can select what type of logs you wan to get - sign-in logs and/or audit logs.
    Siga las instrucciones de instalación o consulte la guía de conexión relevante para obtener más información.Follow the installation instructions or refer to the relevant connection guide for more information. Para obtener información acerca de los conectores de datos, vea Conexión de servicios de Microsoft.For information about data connectors, see Connect Microsoft services.

  4. En la pestaña Pasos siguientes de la página del conector se muestran los libros integrados, las consultas de ejemplo y las plantillas de reglas de análisis pertinentes que acompañan al conector de datos.The Next steps tab on the connector page shows relevant built-in workbooks, sample queries, and analytics rule templates that accompany the data connector. Puede usarlos tal cual o modificarlos (de cualquiera de las dos formas puede obtener información interesante en los datos).You can use these as-is or modify them - either way you can immediately get interesting insights across your data.

Una vez conectados los orígenes de datos, los datos comienzan a transmitirse a Azure Sentinel y podrá comenzar a trabajar con ellos.After your data sources are connected, your data starts streaming into Azure Sentinel and is ready for you to start working with. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.You can view the logs in the built-in workbooks and start building queries in Log Analytics to investigate the data.

Pasos siguientesNext steps

En este documento, ha aprendido a incorporar y conectar orígenes de datos en Azure Sentinel.In this document, you learned about onboarding and connecting data sources to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: