Recursos útiles al trabajar con Microsoft Sentinel

  • Artículo
  • 2 minutos para leer

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este artículo se enumeran recursos que pueden serle de utilidad para obtener más información sobre cómo trabajar con Microsoft Sentinel.

Más información sobre la creación de consultas

Microsoft Sentinel usa el lenguaje de consulta Kusto (KQL) de Azure Monitor Log Analytics para generar consultas. Para más información, consulte:

Más información sobre la creación de automatización

Cree automatización en Microsoft Sentinel mediante Azure Logic Apps, con una creciente galería de cuadernos de estrategias integrados.

Para más información, consulte Conectores de Azure Logic Apps.

Comparación de cuadernos de estrategias, libros y cuadernos

En la siguiente tabla se describen las diferencias entre los cuadernos de estrategias, los libros y los cuadernos en Microsoft Sentinel:

Category Playbooks Workbooks Cuaderno
Personas
  • Ingenieros de SOC
  • Analistas de todos los niveles
  • Ingenieros de SOC
  • Analistas de todos los niveles
  • Buscadores de amenazas y analistas de los niveles 2 y 3
  • Investigadores de incidentes
  • Científicos de datos
  • Investigadores de seguridad
Usos Automatización de tareas sencillas y repetibles:
  • Ingesta de datos externos
  • Enriquecimiento de datos con TI, búsquedas de GeoIP, etc.
  • Investigación
  • Corrección
  • Visualización
  • Consulta de datos y datos externos de Microsoft Sentinel
  • Enriquecimiento de datos con TI, búsquedas de GeoIP y búsquedas de WhoIs, etc.
  • Investigación
  • Visualización
  • Búsqueda
  • Aprendizaje automático y análisis de macrodatos
Ventajas
  • Mejor para tareas aisladas y repetibles
  • No se necesitan conocimientos de programación
  • Opción idónea para obtener una vista de alto nivel de los datos de Microsoft Sentinel
  • No se necesitan conocimientos de programación
  • Mejor para cadenas complejas de tareas repetibles
  • Control ad hoc, más procedimental
  • Más fácil de dinamizar con la funcionalidad interactiva
  • Bibliotecas de Python completas para la manipulación y la visualización de datos
  • Aprendizaje automático y análisis personalizado
  • Facilidad para documentar y compartir evidencias de análisis
Desafíos
  • No adecuado para cadenas de tareas ad hoc y complejas
  • No adecuado para documentar y compartir evidencias
  • No se puede integrar con datos externos
  • Curva de aprendizaje alta y requiere conocimientos de programación
Más información Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel Visualización de los datos recopilados Uso de cuadernos de Jupyter para buscar amenazas de seguridad

Realice comentarios en nuestros blogs y foros

Nos encanta escuchar a nuestros usuarios.

En el espacio de TechCommunity para Microsoft Sentinel, haga lo siguiente:

También puede enviar sugerencias para obtener mejoras a través de nuestro programa Voz del usuario.

Únase a la comunidad de GitHub de Microsoft Sentinel

El repositorio de GitHub de Microsoft Sentinel es un recurso muy eficaz para la detección de amenazas y la automatización.

Nuestros analistas de seguridad de Microsoft crean y agregan constantemente nuevos libros, cuadernos de estrategias, consultas de búsqueda, etc. y los publican en la comunidad para que los pueda usar en su entorno.

Puede descargar contenido de ejemplo del repositorio de GitHub privado de la comunidad con el fin de crear libros, consultas de búsqueda, cuadernos y cuadernos de estrategias personalizados para Microsoft Sentinel.

Pasos siguientes

Obtener la certificación

Leer historias de casos de uso de clientes