Novedades de Microsoft Azure Sentinel

  • Artículo
  • 36 minutos para leer

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este artículo se enumeran las características que se han agregado recientemente a Microsoft Sentinel y las nuevas características de servicios relacionados que proporcionan una experiencia de usuario mejorada en Microsoft Sentinel.

Si busca elementos de más de 6 meses, puede encontrarlos en las Archivo de novedades de Microsoft Sentinel. Para más información sobre las características anteriores, consulte los blogs de Tech Community.

Importante

Actualmente, las características indicadas están en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Sugerencia

Nuestros equipos de búsqueda de amenazas en Microsoft aportan consultas, cuadernos de estrategias, libros y cuadernos a la comunidad de Microsoft Sentinel, lo que incluye consultas de búsqueda concretas que sus equipos pueden adaptar y usar.

Usted también puede contribuir. Únase a nosotros en la comunidad de GitHub de cazadores de amenazas de Microsoft Sentinel.

Noviembre de 2021

Ya está disponible el conector de eventos reenviados de Windows (versión preliminar pública).

Ahora puede transmitir registros de eventos desde los servidores Windows conectados al área de trabajo de Azure Sentinel mediante la recopilación de eventos de Windows y el reenvío de eventos de Windows (WEC/WEF), gracias a este nuevo conector de datos. El conector usa el nuevo agente de Azure Monitor (AMA), que proporciona una serie de ventajas con respecto al agente heredado de Log Analytics (también conocido como MMA):

  • Escalabilidad: si ha habilitado la recopilación de eventos de Windows (WEC), puede instalar el agente de Azure Monitor (AMA) en la máquina de WEC para recopilar registros de muchos servidores con un único punto de conexión.

  • Velocidad: AMA puede enviar datos a una velocidad mejorada de 5000 EPS, lo que permite una actualización de datos más rápida.

  • Eficiencia: AMA le permite diseñar reglas complejas de recopilación de datos (DCR) para filtrar los registros en su origen, eligiendo los eventos exactos que se transmitirán al área de trabajo. Las DCR ayudan a reducir el tráfico de red y los costos de ingesta al dejar fuera los eventos no deseados.

  • Cobertura: WEC/WEF permite la recopilación de registros de eventos de Windows desde servidores heredados (locales y físicos) y también desde máquinas de uso elevado o confidenciales, como los controladores de dominio, en los que no se desea instalar un agente.

Se recomienda usar este conector con los analizadores del modelo de información de Azure Sentinel (ASIM) instalados para garantizar la compatibilidad total con la normalización de datos.

Más información sobre el conector de eventos reenviados de Windows.

Las reglas de detección de amenazas casi en tiempo real (NRT) ya están disponibles (versión preliminar pública)

Cuando se enfrenta a amenazas de seguridad, el tiempo y la velocidad son fundamentales. Debe tener en cuenta las amenazas a medida que se materializan para que pueda analizarlas y reaccionar rápidamente a fin de contenerlas. Las reglas de análisis casi en tiempo real (NRT) de Microsoft Sentinel ofrecen una detección de amenazas rápida, más cercana a la de un SIEM local, y la capacidad de acortar los tiempos de respuesta en escenarios específicos.

Las reglas de análisis casi en tiempo real de Microsoft Sentinel ofrecen una detección de amenazas al minuto integrada. Este tipo de regla se diseñó para tener una gran capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia.

Obtenga más información sobre las reglas NRT y cómo usarlas.

El motor de Fusion detecta ahora amenazas emergentes y desconocidas (versión preliminar pública)

Además de la detección de ataques basados en ataques predefinidos, el motor de Fusion con tecnología de ML de Microsoft Sentinel puede ayudarle a encontrar las amenazas emergentes y desconocidas del entorno mediante la aplicación de análisis extendido de ML y la correlación de un ámbito más amplio de señales anómalas al mismo tiempo que reduce la fatiga por alertas.

Los algoritmos de ML del motor de Fusion aprenden constantemente de los ataques existentes y aplican análisis en función de cómo piensan los analistas de seguridad. Por lo tanto, puede detectar amenazas no detectadas previamente de millones de comportamientos anómalos en la cadena de eliminación en todo el entorno, lo que le ayuda a estar un paso por delante de los atacantes.

Obtenga más información sobre el uso de Fusion para amenazas emergentes.

Además, la regla de análisis de Fusion ahora es más configurable, lo que refleja una mayor funcionalidad.

Obtención de recomendaciones de ajuste preciso para las reglas de análisis (versión preliminar pública)

El ajuste preciso de las reglas de detección de amenazas de SIEM puede ser un proceso difícil, delicado y continuo de equilibrio entre maximizar la cobertura de detección de amenazas y minimizar las tasas de falsos positivos. Microsoft Sentinel simplifica este proceso mediante el uso del aprendizaje automático para analizar miles de millones de señales de los orígenes de datos, y sus respuestas a incidentes a lo largo del tiempo, deduciendo patrones y proporcionando recomendaciones y conclusiones útiles que pueden reducir significativamente la sobrecarga de optimización y permitirle centrarse en detectar y responder a amenazas reales.

Ahora, las recomendaciones y la información de optimización están integradas en las reglas de análisis.

Actualizaciones de la evaluación gratuita

La evaluación gratuita de Microsoft Sentinel sigue siendo compatible con áreas de trabajo nuevas o existentes de Log Analytics sin costo adicional durante los primeros 31 días. La evolución de nuestra experiencia de evaluación gratuita actual permite incluir las siguientes actualizaciones:

  • Las nuevas áreas de trabajo de Log Analytics pueden ingerir hasta 10 GB/día de datos de registro durante los primeros 31 días sin costo alguno. Las nuevas áreas de trabajo incluyen áreas de trabajo con menos de tres días de antigüedad.

    Los cargos por ingesta de datos de Log Analytics y Microsoft Sentinel se anulan durante el período de 31 días de evaluación. Esta evaluación gratuita está sujeta a un límite de 20 áreas de trabajo por inquilino de Azure.

  • Las áreas de trabajo de Log Analytics existentes pueden habilitar Microsoft Sentinel sin costo adicional. Las áreas de trabajo existentes incluyen todas aquellas áreas de trabajo creadas hace más de tres días.

    Durante el período de evaluación de 31 días solo se anulan los cargos de Microsoft Sentinel.

El uso por encima de estos límites se cobra según el precio que se indica en la página de precios de Microsoft Sentinel. Los cargos relacionados con funcionalidades adicionales para la automatización y el aprendizaje automático propio siguen siendo aplicables durante la evaluación gratuita.

Sugerencia

Durante el período de evaluación gratuita, encuentre recursos para la administración de costos, el entrenamiento y más en la pestaña Novedades y guías > Evaluación gratuita de Microsoft Sentinel. Esta pestaña también muestra detalles sobre las fechas de la evaluación gratuita y cuántos días le quedan hasta su expiración.

Para más información, consulte Planeamiento y administración de los costos de Microsoft Sentinel.

Centro de contenido y nuevas soluciones (versión preliminar pública)

Microsoft Sentinel proporciona ahora un centro de contenido, una ubicación centralizada para buscar e implementar contenido y soluciones integrados en el área de trabajo de Microsoft Sentinel. Busque el contenido que necesita mediante el filtrado del tipo de contenido, los modelos de soporte técnico, las categorías, etc., o use la eficaz búsqueda de texto.

En Administración de contenido, seleccione Centro de contenido. Seleccione una solución para ver más detalles a la derecha y, después, haga clic en Instalar para instalarla en el área de trabajo.

Captura de pantalla del nuevo centro de contenido de Microsoft Sentinel .

En la lista siguiente se incluyen los aspectos destacados de las nuevas soluciones integradas que se han agregado al centro de contenido:

  • Microsoft Sentinel Training Lab
  • Cisco ASA
  • Cisco Duo Security
  • Cisco Meraki
  • Cisco StealthWatch
  • Digital Guardian
  • 365 Dynamics
  • GCP Cloud DNS
  • GCP CloudMonitor
  • GCP Identity and Access Management
  • FalconForce
  • FireEye NX
  • Flare Systems Firework
  • Forescout
  • Fortinet Fortigate
  • Imperva Cloud FAW
  • Insiders Risk Management
  • IronNet CyberSecurity Iron Defense
  • Lookout
  • McAfee Network Security Platform
  • Microsoft MITRE ATT&CK Solution for Cloud
  • Palo Alto PAN-OS
  • Rapid7 Nexpose / Insight VM
  • ReversingLabs
  • RSA SecurID
  • Semperis
  • Tenable Nessus Scanner
  • Vectra Stream
  • Confianza cero

Para obtener más información, consulte:

Habilitación de la implementación continua desde los repositorios de contenido (versión preliminar pública)

La nueva página Repositorios de Microsoft Sentinel proporciona la capacidad de administrar e implementar el contenido personalizado desde repositorios de GitHub o Azure DevOps como alternativa a administrarlos en Azure Portal. Esta funcionalidad presenta un enfoque más simplificado y automatizado para administrar e implementar contenido en áreas de trabajo de Microsoft Sentinel.

Si almacena el contenido personalizado en un repositorio externo para mantenerlo fuera de Microsoft Sentinel, ahora puede conectar ese repositorio al área de trabajo de Microsoft Sentinel. El contenido que agregue, cree o edite en el repositorio se implementará automáticamente en las áreas de trabajo de Microsoft Sentinel y será visible desde las distintas galerías de Microsoft Sentinel, como las de las páginas Análisis, Búsqueda o Libros.

Para más información, consulte Implementación de contenido personalizado desde el repositorio.

Inteligencia sobre amenazas enriquecida con geolocalización y datos de WHOIS (versión preliminar pública)

Ahora, los datos de inteligencia sobre amenazas que se incluyen en Microsoft Sentinel a través de conectores de datos y cuadernos de estrategias de aplicaciones lógicas, o que se crean en Microsoft Sentinel, se enriquecen automáticamente con información de geolocalización y de WHOIS.

Los datos de geolocalización y de WHOIS pueden proporcionar más contexto para las investigaciones en las que se encuentra el indicador de riesgo (IOC) seleccionado.

Por ejemplo, use datos de geolocalización para encontrar información como Organización o País para el indicador, y datos WHOIS para encontrar información como Registrador y Creación de registros.

Puede ver los datos de geolocalización y WHOIS en el panel Inteligencia sobre amenazas para cada indicador de riesgo que haya importado en Microsoft Sentinel. Los detalles del indicador se muestran a la derecha, incluidos los datos de geolocalización y de WHOIS disponibles.

Por ejemplo:

Captura de pantalla de los detalles del indicador, incluidos los datos de geolocalización y de WHOIS.

Sugerencia

La información de geolocalización y de WHOIS procede del servicio Microsoft Threat Intelligence, al que también puede acceder mediante la API. Para más información, consulte Enriquecimiento de entidades con datos de geolocalización mediante API.

Para obtener más información, consulte:

Uso de cuadernos con Azure Synapse Analytics en Microsoft Sentinel (versión preliminar pública)

Microsoft Sentinel integra ahora cuadernos de Jupyter Notebooks con Azure Synapse en escenarios de análisis de seguridad a gran escala.

Hasta ahora, los cuadernos de Jupyter Notebooks en Microsoft Sentinel se han integrado con Azure Machine Learning. Esta funcionalidad admite usuarios que desean incorporar cuadernos, conocidos kits de herramientas de aprendizaje automático de código abierto y bibliotecas como TensorFlow, así como sus propios modelos personalizados, en flujos de trabajo de seguridad.

La nueva integración de Azure Synapse proporciona potentes funcionalidades analíticas adicionales, como:

  • Análisis de macrodatos de seguridad, mediante un grupo de proceso de Apache Spark para Azure Synapse totalmente administrado y de costo optimizado.

  • Acceso rentable a Data Lake para crear análisis de datos históricos mediante Azure Data Lake Storage Gen2, que es un conjunto de funcionalidades dedicadas al análisis de macrodatos que se basa en Azure Blob Storage.

  • Flexibilidad para integrar orígenes de datos en flujos de trabajo de operaciones de seguridad de varios orígenes y formatos.

  • PySpark, una API basada en Python para usar el marco de Spark en combinación con Python, lo que reduce la necesidad de aprender un nuevo lenguaje de programación si ya está familiarizado con Python.

Para admitir esta integración, hemos agregado la capacidad de crear e iniciar un área de trabajo de Azure Synapse directamente desde Microsoft Sentinel. También hemos agregado nuevos cuadernos de ejemplo para guiarle en la configuración del entorno de Azure Synapse, configurar una canalización de exportación continua de datos de Log Analytics a Azure Data Lake Storage y, a continuación, realizar búsquedas en esos datos a escala.

Para más información, consulte Integración de cuadernos con Azure Synapse.

Área de Notebooks mejorada en Microsoft Sentinel

El área Notebooks de Microsoft Sentinel ahora también tiene una pestaña Información general, donde puede encontrar información básica sobre cuadernos y una nueva columna Tipos de Notebook en la pestaña Plantillas para indicar el tipo de cada cuaderno que se muestra. Por ejemplo, los cuadernos pueden tener los tipos Introducción, Configuración, Búsqueda y, ahora, Synapse.

Por ejemplo:

Captura de pantalla de la nueva funcionalidad de Azure Synapse en la página Cuadernos.

Para más información, consulte Uso de cuadernos de Jupyter Notebook para buscar amenazas de seguridad.

Cambio de nombre de Microsoft Sentinel

A partir de noviembre de 2021, se cambiará el nombre de Azure Sentinel a Microsoft Sentinel y verá próximas actualizaciones en el portal, la documentación y otros recursos en paralelo.

Las entradas anteriores de este artículo y el anterior Archivo de novedades de Sentinel siguen usando el nombre Azure Sentinel, ya que ese era el nombre del servicio cuando esas características eran nuevas.

Para obtener más información, consulte el blog reciente sobre mejoras de seguridad.

Implementación y supervisión de honeytokens de Azure Key Vault con Azure Sentinel

La nueva solución Azure Sentinel Deception le ayuda a observar si hay actividad malintencionada en los almacenes de claves, ya que le ayuda a implementar claves y secretos como señuelos, llamados honeytokens, en almacenes de claves de Azure seleccionados.

Una vez implementados, cualquier acceso u operación con las claves y secretos del honeytoken generará incidentes que puede investigar en Azure Sentinel.

Como no hay ninguna razón para usar realmente las claves y los secretos de los honeytokens, cualquier actividad similar en el área de trabajo puede ser malintencionada y se debe investigar.

La solución Azure Sentinel Deception incluye un libro para ayudarle a implementar los honeytokens, ya sea a gran escala o de uno en uno, listas de control para realizar el seguimiento de los honeytokens creados y reglas de análisis para generar incidentes según sea necesario.

Para más información, consulte Implementación y supervisión de honeytoken de Azure Key Vault con Azure Sentinel (versión preliminar pública).

Octubre de 2021

Conector de eventos de seguridad de Windows que usa el agente de Azure Monitor ahora con disponibilidad general

La nueva versión del conector de eventos de seguridad de Windows, basada en el agente de Azure Monitor, ya incluye disponibilidad general. Consulte Conexión a servidores Windows para recopilar eventos de seguridad para más información.

Los eventos de Defender para Office 365 ya están disponibles en el conector de Microsoft 365 Defender (versión preliminar pública)

Además de los de Microsoft Defender para punto de conexión, ahora puede ingerir eventos de búsqueda avanzada sin procesar de Microsoft Defender para Office 365 a través del conector de Microsoft 365 Defender. Más información.

Una plantilla del cuaderno de estrategias es un flujo de trabajo precompilado, probado y listo para usar que se puede personalizar para satisfacer sus necesidades. Las plantillas también pueden servir como referencia para los procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización.

La comunidad de Azure Sentinel, los proveedores de software independientes (ISV) y los propios expertos de Microsoft han desarrollado plantillas del cuaderno de estrategias, que puede encontrar en la pestaña Plantillas del cuaderno de estrategias (en Automation), como parte de una solución de Azure Sentinel o en el repositorio de GitHub de Azure Sentinel.

Para más información, consulte Creación y personalización de cuadernos de estrategias a partir de plantillas integradas.

Administración de versiones de plantilla para las reglas de análisis programadas (versión preliminar pública)

Al crear reglas de análisis a partir de plantillas de reglas de Azure Sentinel integradas, se crea de forma eficaz una copia de la plantilla. Más allá de ese punto, la regla activa no se actualiza dinámicamente para coincidir con los cambios realizados en la plantilla de origen.

Sin embargo, las reglas creadas a partir plantillas recuerdan las plantillas de las que proceden, lo que le ofrece dos ventajas:

  • Si ha realizado cambios en una regla al crearla a partir de una plantilla (o en cualquier momento posterior), siempre puede revertir la regla a su versión original (como una copia de la plantilla).

  • Puede recibir una notificación cuando se actualice una plantilla y tendrá la opción de actualizar las reglas a la nueva versión de sus plantillas o dejarlas tal y como están.

Obtenga información sobre cómo administrar estas tareas y qué debe tener en cuenta. Estos procedimientos se aplican a las reglas de análisis programadas creadas a partir de plantillas.

Esquema de normalización de DHCP (versión preliminar pública)

El modelo de información SIEM avanzado (ASIM) ahora admite un esquema de normalización de DHCP, que se usa para describir los eventos notificados por un servidor DHCP y que Azure Sentinel usa para habilitar el análisis independiente del origen.

Los eventos descritos en el esquema de normalización de DHCP incluyen atender solicitudes de direcciones IP de DHCP concedidas desde sistemas cliente y actualizar un servidor DNS con las concesiones otorgadas.

Para más información, consulte:

Septiembre de 2021

Novedad de la documentación: ampliación de la documentación del conector de datos

A medida que agregamos cada vez más conectores de datos integrados para Azure Sentinel, hemos reorganizado la documentación del conector de datos para reflejar este ampliación de la documentación.

Para la mayoría de los conectores de datos, hemos reemplazado los artículos detallados que describen un conector individual con una serie de procedimientos genéricos y una referencia detallada de todos los conectores admitidos actualmente.

Consulte la referencia los conectores de Azure Sentinel para conocer los detalles sobre su conector, incluidas las referencias al procedimiento genérico pertinente, así como la información adicional y las configuraciones necesarias.

Para más información, consulte:

Cambios que afectan al conector de la cuenta de Azure Storage

Debido a algunos cambios realizados en la propia configuración de recursos de la cuenta de Azure Storage, el conector también debe volver a configurarse. El recurso de cuenta de almacenamiento (primario) contiene otros recursos (secundarios) para cada tipo de almacenamiento: archivos, tablas, colas y blobs.

Al configurar diagnósticos para una cuenta de almacenamiento, debe seleccionar y configurar lo siguiente, por orden:

  • El recurso de la cuenta primaria, y exportar la métrica Transacción.
  • Cada uno de los recursos de tipo de almacenamiento secundario, y exportar todos los registros y las métricas (vea la tabla anterior).

Solo verá los tipos de almacenamiento para los que realmente ha definido recursos.

Captura de pantalla de la configuración de diagnósticos de Azure Storage.

Agosto de 2021

Búsqueda de incidentes mejorada (versión preliminar pública)

De forma predeterminada, las búsquedas de incidentes se ejecutan solo en los valores de Id. de incidente, Título, Etiquetas, Propietario y Nombre de producto. Azure Sentinel ahora proporciona opciones de búsqueda avanzada para buscar en más datos, incluidos los detalles de alertas, las descripciones, las entidades, las tácticas y mucho más.

Por ejemplo:

Captura de pantalla de las opciones de búsqueda avanzada de la página Incidentes.

Para obtener más información, consulte Búsqueda de incidentes.

Detección de Fusion para ransomware (versión preliminar pública)

Azure Sentinel ahora proporciona nuevas detecciones de Fusion para posibles actividades de ransomware y genera incidentes con el título Varias alertas posiblemente relacionadas con la actividad de ransomware detectada.

Los incidentes se generan para las alertas que posiblemente están asociadas a actividades de ransomware, cuando se producen durante un período de tiempo específico, y se asocian a las fases de ejecución y evasión defensiva de un ataque. Puede usar las alertas enumeradas en el incidente para analizar las técnicas que posiblemente hayan utilizado los atacantes para poner en peligro un host o dispositivo y para evitar la detección.

Entre los conectores de datos admitidos, se incluyen los siguientes:

Para obtener más información, vea Varias alertas posiblemente relacionadas con la actividad de ransomware detectada.

Plantillas de lista de control para datos UEBA (versión preliminar pública)

Azure Sentinel ahora proporciona plantillas de lista de control integradas para los datos UEBA, que puede personalizar para su entorno y usar durante las investigaciones.

Una vez que las plantillas de lista de control UEBA se rellenen con los datos, podrá correlacionar esos datos con reglas de análisis, verlos en las páginas de la entidad y en los gráficos de investigación como conclusiones, crear usos personalizados, como el seguimiento de usuarios VIP o confidenciales, etc.

Actualmente, entre las plantillas de la lista de control, se incluyen las siguientes:

  • Usuarios VIP. Lista de cuentas de usuario de empleados que tienen un valor de alto impacto en la organización.
  • Empleados con el contrato finalizado. Lista de cuentas de usuario de empleados cuyo contrato con la empresa ha finalizado o está a punto de finalizar.
  • Cuentas de servicio. Lista de cuentas de servicio y sus propietarios.
  • Correlación de identidad. Lista de cuentas de usuario relacionadas que pertenecen a la misma persona.
  • Recursos de alto valor. Lista de dispositivos, recursos u otros recursos que tienen un valor crítico en la organización.
  • Asignación de red. Lista de subredes IP y sus respectivos contextos organizativos.

Para obtener más información, consulte Creación de una lista de control mediante una plantilla y Esquemas de listas de control integrados.

Esquema de normalización de eventos de archivo (versión preliminar pública)

El modelo de información de Azure Sentinel (ASIM) admite ahora un esquema de normalización de eventos de archivo, que se usa para describir la actividad de archivo, como la creación, la modificación o la eliminación de archivos o documentos. Los sistemas operativos, los sistemas de almacenamiento de archivos, como Azure Files, y los sistemas de administración de documentos, como Microsoft SharePoint, notifican los eventos de archivo.

Para más información, consulte:

Novedades de la documentación: Guía de procedimientos recomendados

En respuesta a varias solicitudes de clientes y nuestros equipos de soporte técnico, hemos agregado una serie de instrucciones de procedimientos recomendados a nuestra documentación.

Para más información, consulte:

Sugerencia

Puede encontrar más instrucciones agregadas en nuestra documentación en los artículos conceptuales y de instrucciones pertinentes. Para más información, consulte Referencia a procedimientos recomendados.

Julio de 2021

Análisis de coincidencias de Inteligencia sobre amenazas de Microsoft (versión preliminar pública)

Azure Sentinel proporciona ahora la regla integrada de Análisis de coincidencias de Inteligencia sobre amenazas de Microsoft, que coincide con los datos de inteligencia sobre amenazas generados por Microsoft con los registros. Esta regla genera alertas e incidentes de alta fidelidad con gravedades adecuadas en función del contexto de los registros detectados. Cuando se detecta una coincidencia, el indicador también se publica en el repositorio de inteligencia sobre amenazas de Azure Sentinel.

La regla de Análisis de coincidencias de Inteligencia sobre amenazas de Microsoft coincide actualmente con los indicadores de dominio con los siguientes orígenes de registro:

Para obtener más información, consulte Detección de amenazas mediante análisis de coincidencias (versión preliminar pública).

Uso de los datos de Azure AD con la tabla IdentityInfo de Azure Sentinel (versión preliminar pública)

Como los atacantes suelen usar las propias cuentas de usuario y servicio de la organización, los datos sobre esas cuentas de usuario, incluidos la identificación y los privilegios de usuario, son fundamentales para los analistas en el proceso de una investigación.

Ahora, tener la opción UEBA habilitada en su espacio de trabajo de Azure Sentinel también sincroniza los datos de Azure AD en la nueva tabla IdentityInfo en Log Analytics. Las sincronizaciones entre Azure AD y la tabla IdentifyInfo crean una instantánea de los datos del perfil de usuario que incluye metadatos de usuario, información de grupo y los roles de Azure AD asignados a cada usuario.

Use la tabla IdentityInfo durante las investigaciones y al ajustar las reglas de análisis de su organización para reducir los falsos positivos.

Para obtener más información, vea la tabla IdentityInfo en la referencia de enriquecimientos de UEBA y use los datos de UEBA para analizar los falsos positivos.

Enriquecimiento de entidades con datos de geolocalización mediante API (versión preliminar pública)

Azure Sentinel ahora ofrece una API para enriquecer los datos con información de geolocalización. Después, los datos de geolocalización se pueden usar para analizar e investigar incidentes de seguridad.

Para obtener más información, vea Enriquecimiento de entidades en Azure Sentinel con datos de geolocalización mediante la API REST (versión preliminar pública) y Clasificación y análisis de datos mediante entidades en Azure Sentinel.

Compatibilidad con consultas entre recursos de ADX (versión preliminar pública)

La experiencia de búsqueda en Azure Sentinel ahora admite consultas entre recursos de ADX.

Aunque Log Analytics sigue siendo la ubicación de almacenamiento de datos principal para realizar análisis con Azure Sentinel, hay casos en los que se requiere ADX para almacenar datos debido al costo, los períodos de retención u otros factores. Esta funcionalidad permite a los clientes buscar en un conjunto más amplio de datos y ver los resultados en las experiencias de búsqueda de Azure Sentinel , incluidas las consultas de búsqueda, la transmisión en vivo y la página de búsqueda de Log Analytics.

Para consultar los datos almacenados en clústeres de ADX, use la función adx() para especificar el clúster de ADX, el nombre de la base de datos y la tabla que prefiera. Después, podrá consultar el resultado como lo haría con cualquier otra tabla. Puede obtener más información en las páginas vinculadas anteriormente.

Las listas de control están disponibles de forma general

La característica de listas de control ya está disponible de forma general. Use listas de control para enriquecer las alertas con datos empresariales, crear listas de permitidos o listas de bloqueados con las que comprobar los eventos de acceso y ayudar a investigar las amenazas y reducir el agotamiento que provocan las alertas.

Compatibilidad con la residencia de datos en más ubicaciones geográficas

Azure Sentinel ahora admite la residencia de datos completa en las siguientes ubicaciones geográficas adicionales:

Brasil, Noruega, Sudáfrica, Corea del Sur, Alemania, Emiratos Árabes Unidos (EAU) y Suiza.

Consulte la lista completa de ubicaciones geográficas admitidas para la residencia de datos.

Sincronización bidireccional en el conector de Azure Defender (versión preliminar pública)

El conector de Azure Defender ahora admite la sincronización bidireccional del estado de las alertas entre Defender y Azure Sentinel. Al cerrar un incidente de Sentinel que contiene una alerta de Defender, esta se cerrará automáticamente también en el portal de Defender.

Consulte esta descripción completa del conector de Azure Defender actualizado.

Junio de 2021

Actualizaciones de la normalización y el modelo de información de Azure Sentinel

El modelo de información de Azure Sentinel permite usar y crear contenido independiente del origen, lo que simplifica el análisis de los datos en el área de trabajo de Azure Sentinel.

En la actualización de este mes, hemos mejorado nuestra documentación de normalización y hemos proporcionado nuevos niveles de detalle y esquemas de normalización de autenticación, eventos de proceso y DNS completos.

Para más información, consulte:

Conectores de servicio a servicio actualizados

Dos de nuestros conectores más utilizados se han beneficiado de importantes actualizaciones.

Las actualizaciones no son automáticas. Se recomienda a los usuarios de estos conectores que habiliten las nuevas versiones.

Exportación e importación de reglas de análisis (versión preliminar pública)

Ahora puede exportar reglas de análisis a archivos de plantilla de Azure Resource Manager (ARM) con formato JSON e importar reglas de estos archivos, como parte de la administración y el control de las implementaciones de Azure Sentinel como código. Cualquier tipo de regla de análisis, no solo el tipo Programada, se puede exportar a una plantilla de ARM. El archivo de plantilla incluye toda la información de la regla, desde su consulta a sus tácticas MITRE ATT&CK asignadas.

Para obtener más información, vea Exportación e importación de reglas de análisis hacia y desde plantillas de ARM.

Enriquecimiento de alertas: detalles de alerta (versión preliminar pública)

Además de enriquecer el contenido de la alerta con la asignación de entidades y los detalles personalizados, ahora puede personalizar la forma en que se presentan y se muestran las alertas (y, por extensión, los incidentes), en función de su contenido concreto. Al igual que las otras características de enriquecimiento de alertas, esto se puede configurar en el asistente para reglas de análisis.

Para obtener más información, vea Personalización de los detalles de las alertas de Azure Sentinel.

Más ayuda para los cuadernos de estrategias

Dos nuevos documentos pueden ayudarle a comenzar o sentir mayor comodidad con la creación y el uso de libros de estrategias.

  • El artículo Autenticación de cuadernos de estrategias en Azure Sentinel le ayuda a comprender los distintos métodos de autenticación mediante los cuales los cuadernos de estrategias basados en Logic Apps pueden conectarse a la información de Azure Sentinel y acceder a ella, así como a comprender cuándo es adecuado usar cada uno de estos métodos.
  • En el artículo Uso de desencadenadores y acciones en los cuadernos de estrategias, se explica la diferencia entre el desencadenador de incidentes y el desencadenador de alertas y cuándo usar cada uno. También se le muestran algunas de las diferentes acciones que puede realizar en los cuadernos de estrategias en respuesta a los incidentes, incluido el procedimiento para acceder a la información en detalles personalizados.

En la documentación sobre cuadernos de estrategias, también se aborda explícitamente el escenario de MSSP multiinquilino.

Nueva organización de la documentación

Este mes hemos reorganizado nuestra documentación de Azure Sentinel y la hemos reestructurado en categorías intuitivas que siguen los recorridos comunes de los clientes. Use la búsqueda de documentos filtrados y la página de aterrizaje actualizada para navegar por los documentos de Azure Sentinel.

Nueva organización de la documentación de Azure Sentinel

Mayo de 2021

Módulo de PowerShell para Azure Sentinel

El módulo oficial de PowerShell para Azure Sentinel para automatizar las tareas operativas diarias se ha publicado con disponibilidad general.

Puede descargarlo aquí: Galería de PowerShell.

Para más información, consulte la documentación de PowerShell: Az.SecurityInsights.

Mejoras en la agrupación de alertas

Ahora puede configurar la regla de análisis para agrupar las alertas en un único incidente, no solo cuando coinciden con un tipo de entidad específico, sino también cuando coinciden con un nombre de alerta, gravedad u otros detalles personalizados específicos de una entidad configurada.

En la pestaña Configuración de incidentes del asistente para reglas de análisis, active la agrupación de alertas y, a continuación, seleccione la opción Agrupar alertas en un solo incidente si los tipos de entidad seleccionados y los detalles coinciden.

A continuación, seleccione el tipo de entidad y los detalles pertinentes que desea que coincidan:

Agrupación de alertas por los detalles de entidad que coinciden.

Para más información, consulte Agrupación de alertas.

Soluciones de Azure Sentinel (versión preliminar pública)

Azure Sentinel ofrece ahora soluciones de contenido empaquetado que incluyen combinaciones de uno o varios conectores de datos, libros, reglas de análisis, cuadernos de estrategias, consultas de búsqueda, analizadores, listas de reproducción y otros componentes para Azure Sentinel.

Las soluciones proporcionan una mejor detectabilidad en el producto, una implementación de un solo paso y escenarios de producto completos. Para más información, consulte Detección e implementación centralizada de soluciones y contenido integrados.

Supervisión continua de amenazas para la solución SAP (versión preliminar pública)

Las soluciones de Azure Sentinel incluyen ahora la supervisión continua de amenazas para SAP lo que le permite supervisar los sistemas SAP en busca de amenazas sofisticadas en el nivel empresarial y el de la aplicación.

El conector de datos de SAP genera una gran cantidad de registros de 14 aplicaciones de todo el conjunto del sistema SAP y recopila registros de Advanced Business Application Programming (ABAP) mediante llamadas a NetWeaver RFC y datos de almacenamiento de archivos mediante la interfaz de control de OSSAP. El conector de datos de SAP se agrega a la capacidad de Azure Sentinel para supervisar la infraestructura subyacente de SAP.

Para ingerir registros de SAP en Azure Sentinel, debe tener instalado el conector de datos de Azure Sentinel para SAP en el entorno de SAP. Una vez implementado el conector de datos de SAP, implemente el variado contenido de seguridad de la solución de SAP para obtener información fácilmente sobre el entorno de SAP de su organización y mejorar la funcionalidad de todas las operaciones de seguridad relacionadas.

Para más información, consulte Tutorial: Implementación de la solución Azure Sentinel para SAP (versión preliminar pública)

Integraciones de inteligencia sobre amenazas (versión preliminar pública)

Azure Sentinel proporciona varias maneras diferentes de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas.

Ahora puede usar uno de los muchos productos de la plataforma de inteligencia sobre amenazas integrada (TIP) que se acaban de publicar, conectarse a servidores TAXII para aprovechar cualquier origen de inteligencia sobre amenazas compatible con STIX y usar cualquier solución personalizada que pueda comunicarse directamente con la API Security tiIndicators de Microsoft Graph.

También puede conectarse a orígenes de inteligencia sobre amenazas a partir de cuadernos de estrategias, con el fin de enriquecer los incidentes con información de TI que puede ayudar a dirigir acciones de investigación y respuesta.

Para más información, consulte Integración de inteligencia sobre amenazas en Azure Sentinel.

Fusión a través de alertas programadas (versión preliminar pública)

El motor de correlación de aprendizaje automático de Fusion ahora puede detectar ataques de varias fases mediante las alertas que genera un conjunto de reglas de análisis programadas en sus correlaciones, además de las alertas importadas desde otros orígenes de datos.

Para más información, consulte Detección avanzada de ataques de varias fases en Azure Sentinel.

Anomalías de SOC-ML (versión preliminar pública)

Las anomalías basadas en aprendizaje automático de SOC-ML de Azure Sentinel pueden identificar comportamientos inusuales que, de lo contrario, podrían pasar desapercibidos.

SOC-ML usa plantillas de reglas de análisis que pueden funcionar de forma inmediata. Aunque las anomalías no indican necesariamente un comportamiento malintencionado o incluso sospechoso por sí mismas, se pueden usar para mejorar la fidelidad de las detecciones, las investigaciones y la búsqueda de amenazas.

Para más información, consulte Uso de anomalías de SOC-ML para detectar amenazas en Azure Sentinel.

Página de entidad de IP (versión preliminar pública)

Azure Sentinel es compatible ahora con la entidad de dirección IP y ya puede ver la información sobre esta en la nueva página de la entidad.

Al igual que las páginas de las entidades de usuario y host, la página de la entidad de dirección IP incluye información general sobre la dirección IP, una lista de las actividades de las que se ha encontrado que la dirección IP forma parte, etc., lo que le proporciona un almacén de información cada vez más completo para mejorar la investigación sobre los incidentes de seguridad.

Para más información, consulte Páginas de entidad.

Personalización de actividades (versión preliminar pública)

Hablando de páginas de entidad, ahora puede crear nuevas actividades personalizadas para las entidades, de las que se realizará un seguimiento y se mostrarán en sus respectivas páginas de entidad junto con las actividades listas para usar que ha visto allí hasta ahora.

Para más información, consulte Personalización de actividades en escalas de tiempo de páginas de entidad.

Panel de búsqueda (versión preliminar pública)

La hoja Búsqueda se ha actualizado. El nuevo panel le permite ejecutar todas las consultas, o un subconjunto seleccionado, en un solo clic.

Identifique dónde desea empezar la búsqueda. Para ello, debe examinar el recuento de resultados, los picos o el cambio en el recuento de resultados en un período de 24 horas. También puede ordenar y filtrar por favoritos, origen de datos, táctica y técnica MITRE ATT&CK, resultados o diferencias de resultados. Vea las consultas que aún no tienen los orígenes de datos necesarios conectados y obtenga recomendaciones necesarias para habilitar estas consultas.

Para más información, consulte Búsqueda de amenazas con Azure Sentinel.

Equipo de incidentes de Azure Sentinel: Colaboración en Microsoft Teams (versión preliminar pública)

Azure Sentinel admite ahora una integración directa con Microsoft Teams, lo que le permite colaborar sin problemas en toda la organización y con las partes interesadas externas.

Directamente desde el incidente en Azure Sentinel, cree un nuevo equipo de incidente para usarlo para la comunicación central y la coordinación.

Los equipos de incidentes son especialmente útiles cuando se usan como un puente de conferencia dedicado para incidentes continuos de alta gravedad. Las organizaciones que ya usan Microsoft Teams para la comunicación y la colaboración pueden usar la integración de Azure Sentinel para aportar datos de seguridad directamente a sus conversaciones y al trabajo diario.

En Microsoft Teams, la pestaña de la página Incidente del nuevo equipo siempre tiene los datos más actualizados y recientes de Azure Sentinel, lo que garantiza que los equipos tengan a mano los datos más importantes.

Página Incidente en Microsoft Teams.

Para más información, consulte Colaboración en Microsoft Teams (versión preliminar pública).

Libro Confianza cero (TIC3.0)

El nuevo libro Confianza cero (TIC3.0) de Azure Sentinel proporciona una visualización automatizada de los principios de Confianza cero, que se cruzan con el marco de conexiones a Internet de confianza (TIC).

Sabemos que el cumplimiento no es solo un requisito anual, y las organizaciones deben supervisar las configuraciones a lo largo del tiempo como punto fuerte. El libre Confianza cero de Azure Sentinel usa toda la gama de ofertas de seguridad de Microsoft en Azure, Office 365, Teams, Intune, Windows Virtual Desktop y muchas más.

Libro Confianza cero

Libro Confianza cero:

  • Permite a los implementadores, analistas de SecOps, evaluadores, responsables de la toma de decisiones de seguridad y cumplimiento, MSSP y otros usuarios conocer la situación de la posición de seguridad de las cargas de trabajo en la nube.
  • Ofrece más de 75 tarjetas de control, alineadas con las funcionalidades de seguridad de TIC 3.0, con botones de GUI seleccionables para la navegación.
  • Está diseñado para dotar al personal de automatización, inteligencia artificial, aprendizaje automático, generación de consultas y alertas, visualizaciones, recomendaciones adaptadas y referencias a la documentación correspondiente.

Para obtener más información, consulte Visualización y supervisión de los datos.

Abril de 2021

Conectores de datos basados en Azure Policy

Azure Policy permite aplicar un conjunto común de configuraciones de registros de diagnóstico a todos los recursos (actuales y futuros) de un tipo determinado cuyos registros quiera ingerir en Azure Sentinel.

Para continuar con nuestros esfuerzos para llevar la eficacia de Azure Policy a la tarea de configuración de recopilación de datos, ahora ofrecemos otro recopilador de datos mejorado por Azure Policy para los recursos de la cuenta de Azure Storage, publicado en versión preliminar pública.

Además, dos de nuestros conectores en versión preliminar, para Azure Key Vault y Azure Kubernetes Service, ahora se han publicado para disponibilidad general (GA) y se han unido al conector de Azure SQL Database.

Escala de tiempo del incidente (versión preliminar pública)

La primera pestaña de la página de detalles del incidente es ahora Escala de tiempo, que muestra una escala de tiempo de las alertas y los marcadores del incidente. La escala de tiempo de un incidente puede ayudarle a entenderlo mejor y a reconstruir la escala temporal de la actividad del atacante con las alertas y los marcadores relacionados.

  • Seleccione un elemento de la escala de tiempo para ver los detalles correspondientes, sin salir del contexto del incidente.
  • Filtre el contenido de la escala de tiempo para mostrar solo las alertas o los marcadores, o bien los elementos con una táctica de MITRE o gravedad específica.
  • Puede seleccionar el vínculo Id. de alerta del sistema para ver el registro completo o el vínculo Eventos para ver los eventos relacionados en el área Registros.

Por ejemplo:

Pestaña de escala de tiempo del incidente

Para más información, consulte el Tutorial: Investigación de incidentes con Azure Sentinel.

Pasos siguientes

Incorporación de Azure Sentinel

Obtención de visibilidad sobre las alertas