Inicio rápido: Incorporación a Microsoft Sentinel

  • Artículo
  • 5 minutos para leer

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este inicio rápido, aprenderá cómo incorporar Microsoft Sentinel. Para incorporar Microsoft Sentinel, primero debe habilitarlo y, después, conectar sus orígenes de datos.

Microsoft Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real, entre las que se incluyen las soluciones de Microsoft 365 Defender (anteriormente, Protección contra amenazas de Microsoft), orígenes de Microsoft 365 (como Office 365), Azure AD, Microsoft Defender for Identity (anteriormente, Azure ATP), Microsoft Defender for Cloud Apps, alertas de seguridad de Microsoft Defender for Cloud y más. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft. También puede usar el formato de evento común, Syslog o las API REST para conectar los orígenes de datos con Microsoft Sentinel.

Después de conectar los orígenes de datos, puede elegir de una galería de libros creados de forma experta que exponen información basada en los datos. Estos libros se pueden personalizar fácilmente en función de sus necesidades.

Importante

Para obtener información sobre los cargos en los que se incurre al usar Microsoft Sentinel, consulte los precios de Microsoft Sentinel y los costos y facturación de Microsoft Sentinel.

Requisitos previos globales

  • Suscripción activa de Azure. Si no tiene una, cree una cuenta gratuita antes de comenzar.

  • Área de trabajo de Log Analytics. Aprenda a crear un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.

  • Para habilitar Microsoft Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel.

  • Para usar Microsoft Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.

  • Es posible que se necesiten permisos adicionales para conectarse a orígenes de datos específicos.

  • Microsoft Sentinel es un servicio de pago. Para más información, consulte Acerca de Microsoft Sentinel.

Para más información, consulte Actividades previas a la implementación y requisitos previos para implementar Microsoft Sentinel.

Disponibilidad geográfica y residencia de datos

  • Microsoft Sentinel se puede ejecutar en áreas de trabajo de las regiones con disponibilidad general de Log Analytics, excepto en China y Alemania (soberana). Las regiones nuevas de Log Analytics pueden tardar algún tiempo en incorporarse al servicio Microsoft Sentinel.

  • Los datos que genera Microsoft Sentinel, como incidentes, marcadores y reglas de análisis, pueden contener datos del cliente procedentes de las áreas de trabajo de Log Analytics del cliente. Estos datos generados por Microsoft Sentinel se guardan en la geografía que se muestra en la tabla siguiente, según la geografía en que se encuentra el área de trabajo:

    Geografía del área de trabajo Geografía de datos generados por Microsoft Sentinel
    Estados Unidos
    India    		 Estados Unidos
    Europa
    Francia    		 Europa
    Australia Australia
    Reino Unido Reino Unido
    Canadá Canadá
    Japón Japón
    Asia Pacífico Asia Pacífico*
    Brasil Brasil*
    Noruega Noruega
    África África
    Corea Corea
    Alemania Alemania
    Emiratos Árabes Unidos Emiratos Árabes Unidos
    Suiza Suiza

    *Actualmente, la residencia de datos en una sola región solo se proporciona en la región Sudeste Asiático (Singapur) del área geográfica de Asia Pacífico, y en la región Sur de Brasil (estado de Sao Paulo) del área geográfica de Brasil. Para todas las demás regiones, los datos de los clientes se pueden almacenar en cualquier lugar del área geográfica del área de trabajo donde se incorpore Sentinel.

    Importante

    • Al habilitar ciertas reglas que usan el motor de aprendizaje automático (ML), concede a Microsoft permiso para copiar los datos ingeridos pertinentes fuera de la geografía del área de trabajo de Microsoft Sentinel, según sea necesario para que el motor de aprendizaje automático procese estas reglas.

Habilitar Microsoft Sentinel

  1. Inicie sesión en Azure Portal. Asegúrese de que la suscripción en la que se crea Microsoft Sentinel está seleccionada.

  2. Busque y seleccione Sentinel.

    Búsqueda de servicios

  3. Seleccione Agregar.

  4. Seleccione el área de trabajo que quiere usar o cree una nueva. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo única.

    Elegir un área de trabajo

    Nota

    • Las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no aparecerán en la lista. No se puede instalar Microsoft Sentinel en ellas.

    Importante

    • Una vez que se implementa en un área de trabajo, Microsoft Sentinel no admite actualmente el movimiento de esa área de trabajo a otros grupos de recursos o suscripciones.

      Si ya ha movido el área de trabajo, deshabilite todas las reglas activas en Análisis y vuelva a habilitarlas después de cinco minutos. Esto debe ser efectivo en la mayoría de los casos; sin embargo, cabe reiterar que no se admite y se realiza bajo su responsabilidad.

  5. Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).

Conexión con orígenes de datos

Microsoft Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Microsoft Sentinel. Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Microsoft Sentinel. En el caso de los firewalls y servidores proxy, Microsoft Sentinel instala el agente de Log Analytics en un servidor de Syslog de Linux, desde el que el agente recopila los archivos de registro y los reenvía a Microsoft Sentinel.

  1. En el menú principal, seleccione Data connectors (Conectores de datos). Se abre la galería de conectores de datos.

  2. La galería de es una lista de todos los orígenes de datos que se pueden conectar. Seleccione un origen de datos y, después, el botón Open connector page (Abrir página del conector).

  3. En la página del conector encontrará instrucciones para configurar el conector, así como otras instrucciones adicionales que pueda necesitar.

    Por ejemplo, si selecciona el origen de datos Azure Active Directory, que permite transmitir registros de Azure AD a Microsoft Sentinel, puede seleccionar el tipo de registros que desea obtener (registros de inicio de sesión o registros de auditoría).
    Siga las instrucciones de instalación o consulte la guía de conexión relevante para obtener más información. Para más información acerca de los conectores de datos, consulte Conectores de datos de Microsoft Sentinel.

  4. En la pestaña Pasos siguientes de la página del conector se muestran los libros integrados, las consultas de ejemplo y las plantillas de reglas de análisis pertinentes que acompañan al conector de datos. Puede usarlos tal cual o modificarlos (de cualquiera de las dos formas puede obtener información interesante en los datos).

Una vez conectados los orígenes de datos, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Para más información, consulte Procedimientos recomendados para recopilaciones de datos.

Pasos siguientes

Para más información, consulte: