Auditoría y seguimiento de estado en Microsoft Sentinel

Microsoft Sentinel es un servicio crítico para avanzar y proteger la seguridad de los recursos tecnológicos e informativos de su organización, por lo que debe asegurarse de que siempre se ejecute sin problemas y sin interferencias.

También debe asegurarse de que las muchas partes móviles del servicio siempre funcionan según lo previsto y de que el servicio no está manipulando mediante acciones no autorizadas, ya sea por usuarios internos o de otro modo. Además, puede configurar notificaciones de desfases de estado o acciones no autorizadas para enviarse a las partes interesadas competentes que puedan responder o aprobar una respuesta. Por ejemplo, puede configurar condiciones para desencadenar el envío de correos electrónicos o mensajes de Microsoft Teams a los equipos de operaciones, administradores o responsables, iniciar nuevos vales en el sistema de control de vales, etc.

En este artículo, se describe cómo las características de auditoría y el seguimiento de estado de Microsoft Sentinel permiten supervisar la actividad de algunos de los recursos clave del servicio e inspeccionar los registros de acciones de usuario dentro del servicio.

Almacenamiento de datos de estado y auditoría

Los datos de mantenimiento y auditoría se recopilan en dos tablas del área de trabajo de Log Analytics: SentinelHealth y SentinelAudit.

Los datos de auditoría se recopilan en la tabla SentinelAudit.

Los datos de estado se recopilan en la tabla SentinelHealth, que captura los eventos que registran cada vez que se ejecuta una regla de automatización y los resultados finales de esas ejecuciones. La tabla SentinelHealth incluye:

• Si las acciones iniciadas en la regla se han iniciado correctamente o no, y los cuadernos de estrategias a los que llama la regla.
• Eventos que registran el desencadenamiento a petición (manual o basado en API) de cuadernos de estrategias, incluidas las identidades que los desencadenaron, y los resultados finales de esas ejecuciones.

La tabla SentinelHealth no incluye un registro de la ejecución del contenido de un cuaderno de estrategias, solo registra si el cuaderno de estrategias se inició correctamente. En la tabla AzureDiagnostics se recopila un registro de las acciones realizadas en un cuaderno de estrategias, que son flujos de trabajo de Logic Apps. La tabla AzureDiagnostics proporciona una visión completa del estado de automatización cuando se usa junto con los datos de SentinelHealth.

La forma más habitual de usar estos datos consiste en consultar estas tablas. Para obtener los mejores resultados, cree las consultas en las funciones pregeneradas en estas tablas, _SentinelHealth() y _SentinelAudit(), en lugar de consultar las tablas directamente. Estas funciones garantizan el mantenimiento de la compatibilidad con versiones anteriores de las consultas en caso de que se realicen cambios en el esquema de las propias tablas.

Importante

Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Preguntas para comprobar los datos de estado y auditoría del servicio

Use las siguientes preguntas para guiar la supervisión de los datos de estado y auditoría de Microsoft Sentinel:

¿El conector de datos se ejecuta correctamente?

¿El conector de datos recibe datos? Por ejemplo, si ha indicado a Microsoft Sentinel que ejecute una consulta cada cinco minutos, le interesa comprobar si esa consulta se realiza, qué rendimiento tiene y si hay riesgos o vulnerabilidades relacionados con la consulta.

¿Se ejecutó una regla de automatización según lo previsto?

¿Se ejecutó su regla de automatización cuando se suponía que debía hacerlo, es decir, al cumplirse las condiciones? ¿Se ejecutaron correctamente todas las acciones de la regla de automatización?

¿Se ejecutó una regla de análisis según lo previsto?

¿Se ejecutó su regla de análisis cuando se suponía que debía hacerlo y generó resultados? Si espera ver incidentes concretos en la cola, pero no lo hace, querrá saber si la regla se ejecutó pero no encontró nada (o lo suficiente) o si no se ejecutó en absoluto.

¿Se realizaron cambios no autorizados en una regla de análisis?

¿Se cambió algo en la regla? No ha obtenido los resultados esperados de la regla de análisis y no ha habido ningún problema de mantenimiento. Quiere ver si se realizaron cambios no planeados en la regla y, si es así, qué cambios se realizaron, por quién, desde dónde y cuándo.

Flujo de supervisión del estado y la auditoría

Para empezar a recopilar datos de estado y auditoría, debe habilitar la supervisión de mantenimiento y auditoría en la configuración de Microsoft Sentinel. A continuación, puede profundizar en los datos de mantenimiento y auditoría que Recopila Microsoft Sentinel:

• Ejecute consultas en las tablas de datos SentinelHealth y SentinelAudit desde la hoja Registros de Microsoft Sentinel.

  • Conectores de datos
  • Reglas de automatización y cuadernos de estrategias (combinación de consultas con diagnósticos de Azure Logic Apps)
  • Reglas de análisis

• Usar los libros de seguimiento de estado y auditoría que se proporcionan en Microsoft Sentinel.

  • Conectores de datos
  • Reglas de automatización y cuadernos de estrategias
  • Reglas de análisis

• Use las herramientas de administración de ejecución de Microsoft Sentinel para supervisar y optimizar la ejecución de las reglas de análisis programadas.

• Exporte los datos a varios destinos, como el área de trabajo de Log Analytics, el archivado en una cuenta de almacenamiento, etc. Obtenga información sobre los destinos admitidos para los registros.

Pasos siguientes

• Active la auditoría y el seguimiento de estado en Microsoft Sentinel.
• Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
• Supervisión del estado de los conectores de datos.
• Supervisión del estado y la integridad de las reglas de análisis.
• Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.

Consulte también:

• ¿Usa la solución de Microsoft Sentinel para SAP? Supervise también su estado.