Comparteix a través de


Entrenamiento para mejorar aptitudes de Microsoft Sentinel

Este artículo le guiará en el entrenamiento de nivel 400 para ayudarle a mejorar sus aptitudes en Microsoft Sentinel. El entrenamiento comprende 21 módulos autodirigidos que presentan la documentación pertinente del producto, entradas de blog y otros recursos.

Los módulos que se enumeran aquí se dividen en cinco partes que siguen el ciclo de vida de un Centro de operaciones de seguridad (SOC):

Parte 1: Información general

Parte 2: Diseño e implementación

Parte 3: Creación de contenido

Parte 4: Funcionamiento

Parte 5: Nivel avanzado

Parte 1: Información general

Módulo 0: Otras opciones de aprendizaje y soporte técnico

Este entrenamiento de mejora de aptitudes es de nivel 400 y se basa en la formación en Ninja de Microsoft Sentinel. Si no quiere profundizar tanto o tiene un problema específico que resolver, otros recursos pueden ser más adecuados:

Módulo 1: Introducción a Microsoft Sentinel

Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de la nube. Use Microsoft Sentinel para proporcionar análisis de seguridad e inteligencia sobre amenazas a toda la empresa. Proporciona una única solución para la detección de alertas, la visibilidad de las amenazas, la búsqueda proactiva y la respuesta a las amenazas. Para obtener más información, consulte ¿Qué es Microsoft Sentinel?

Si quiere obtener una visión general inicial de las funcionalidades técnicas de Microsoft Sentinel, la presentación de Ignite más reciente es un buen punto de partida. También puede encontrar útil la Guía de inicio rápido para Microsoft Sentinel (es necesario registrarse en el sitio).

Encuentre información general más detallada en este seminario web de Microsoft Sentinel: YouTube, MP4 o presentación.

Por último, ¿quiere probarlo usted mismo? El Acelerador todo en uno de Microsoft Sentinel (blog, YouTube, MP4 o presentación) permite empezar con facilidad. Para obtener información sobre cómo empezar, revise la documentación de incorporación o vea el vídeo de instalación y configuración de Microsoft Sentinel de Insights.

Aprender de otros usuarios

Miles de organizaciones y proveedores de servicios usan Microsoft Sentinel. Como es habitual con los productos de seguridad, la mayoría de las organizaciones no lo hacen público. Aun así, estos son algunos que tienen que:

Aprenda de los analistas

Módulo 2: ¿Cómo se usa Microsoft Sentinel?

Muchas organizaciones usan Microsoft Sentinel como su SIEM principal. La mayoría de los módulos de este curso abarcan este caso de uso. En este módulo, presentamos algunas maneras adicionales de usar Microsoft Sentinel.

Como parte de la pila de seguridad de Microsoft

Use Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft Defender XDR conjuntamente para proteger las cargas de trabajo de Microsoft, como Windows, Azure y Office:

Para supervisar las cargas de trabajo de varias nubes

La nube (todavía) es nueva y a menudo no se supervisa tan extensamente como las cargas de trabajo locales. Lea esta presentación para obtener información sobre cómo Microsoft Sentinel puede ayudarle a cerrar la brecha de supervisión en las nubes.

En paralelo con su SIEM existente

Para un período de transición o un plazo más largo, si usa Microsoft Sentinel para las cargas de trabajo en la nube, es posible que use Microsoft Sentinel junto con su SIEM existente. También puede usar ambos con un sistema de vales, como Service Now.

Para obtener más información sobre la migración desde otra SIEM a Microsoft Sentinel, vea el seminario web de migración: YouTube, MP4 o presentación.

Hay tres escenarios comunes para la implementación en paralelo:

También puede enviar las alertas de Microsoft Sentinel a su sistema de vales o SIEM de terceros mediante la API de seguridad de Graph. Este enfoque es más sencillo, pero no permite enviar otros datos.

Para MSSP

Dado que elimina el costo de configuración y es independiente de la ubicación, Microsoft Sentinel es una opción popular para proporcionar SIEM como servicio. Encuentre una lista de proveedores de servicios de seguridad administrados por miembros (MSSP) de MISA (Asociación de seguridad inteligente de Microsoft) que usan Microsoft Sentinel. Muchos otros MSSP, especialmente regionales y más pequeños, usan Microsoft Sentinel, pero no son miembros de MISA.

Para iniciar el recorrido como MSSP, lea los Cuadernos de estrategias técnicos de Microsoft Sentinel para MSSP. Se incluye más información sobre la compatibilidad con MSSP en el módulo siguiente, que abarca la arquitectura en la nube y la compatibilidad con varios inquilinos.

Parte 2: Diseño e implementación

Aunque la "Parte 1: Información general" ofrece opciones para empezar a usar Microsoft Sentinel en cuestión de minutos, antes de iniciar una implementación de producción, es importante crear un plan.

En esta sección se describen las áreas que debe tener en cuenta al diseñar la solución y se proporcionan instrucciones sobre cómo implementar el diseño:

  • Arquitectura del área de trabajo y del inquilino
  • Recopilación de datos
  • Administración de registros
  • Adquisición de inteligencia sobre amenazas

Módulo 3: Arquitectura del área de trabajo y del inquilino

Una instancia de Microsoft Sentinel se denomina área de trabajo. El área de trabajo es la misma que un área de trabajo de Log Analytics y admite cualquier funcionalidad de Log Analytics. Puede considerar Microsoft Sentinel como una solución que agrega características de SIEM basadas en un área de trabajo de Log Analytics.

A menudo, se necesitan varias áreas de trabajo y pueden actuar juntas como un único sistema de Microsoft Sentinel. Un caso de uso especial es cuando se proporciona un servicio mediante Microsoft Sentinel, por ejemplo, mediante un MSSP (proveedor de servicios de seguridad administrada) o mediante un SOC global, en una organización grande.

Para más información sobre el uso de varias áreas de trabajo como un sistema de Microsoft Sentinel, vea Extensión de Microsoft Sentinel entre áreas de trabajo e inquilinos o vea el seminario web: YouTube, MP4 o presentación.

Al usar varias áreas de trabajo, tenga en cuenta lo siguiente:

El Cuaderno de estrategias técnicas de Microsoft Sentinel para MSSP proporciona instrucciones detalladas para muchos de esos temas y es útil para las organizaciones de gran tamaño, no solo para los MSSP.

Módulo 4: Recopilación de datos

La base de un SIEM es recopilar telemetría: eventos, alertas e información de enriquecimiento contextual, como inteligencia sobre amenazas, datos de vulnerabilidad e información de recursos. Esta es una lista de orígenes a los que hacer referencia:

  • Lea Conectores de datos de Microsoft Sentinel.
  • Vaya a Búsqueda del conector de datos de Microsoft Sentinel para ver todos los conectores de datos compatibles y de serie. Encuentre vínculos a procedimientos de implementación genéricos y a pasos adicionales necesarios para conectores concretos.
  • Escenarios de recopilación de datos: obtenga información sobre los métodos de recopilación, como Logstash/CEF/WEF. Otros escenarios comunes son restricciones de permisos para tablas, filtrado de registros, recopilación de registros de Amazon Web Services (AWS) o Google Cloud Platform (GCP), registros sin procesar de Microsoft 365, etc. Todos se pueden encontrar en el seminario web "Escenarios de recopilación de datos": YouTube, MP4 o presentación.

La primera información que aparece para cada conector es su método de ingesta de datos. El método que aparece tiene un vínculo a uno de los siguientes procedimientos de implementación genéricos, que contienen la mayor parte de la información necesaria para conectar los orígenes de datos a Microsoft Sentinel:

Método de ingesta de datos Artículo asociado
Integración entre servicios de Azure Conexión a servicios de Azure, Windows, Microsoft y Amazon
Formato de evento común (CEF) sobre Syslog Ingesta de mensajes de CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor
Data Collector API de Microsoft Azure Sentinel Conexión del origen de datos a Data Collector API de Microsoft Sentinel para ingerir datos
Azure Functions y la API REST Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos
Syslog Ingesta de mensajes de CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor
Registros personalizados Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos en Microsoft Sentinel desde aplicaciones específicas

Si el origen no está disponible, puede crear un conector personalizado. Los conectores personalizados usan la API de ingesta y, por tanto, son similares a los orígenes directos. A menudo se implementan conectores personalizados mediante Azure Logic Apps, que ofrece una opción sin código, o Azure Functions.

Módulo 5: Administración de registros

La primera decisión de arquitectura que se debe tener en cuenta al configurar Microsoft Sentinel es el número de áreas de trabajo y cuáles se van a usar. Otras decisiones de arquitectura de administración de registros clave que se deben tener en cuenta son:

  • Dónde y cuánto tiempo se deben conservar los datos
  • Cómo administrar mejor el acceso a los datos y protegerlos

Ingesta, archivo, búsqueda y restauración de datos en Microsoft Sentinel

Para empezar, vea el seminario web "Administrar el ciclo de vida del registro con nuevos métodos para la ingesta, archivo, búsqueda y restauración".

Este conjunto de características contiene:

  • Nivel de ingesta básico: un nuevo plan de tarifa para los registros de Azure Monitor que permite ingerir registros a un costo más bajo. Estos datos solo se conservan en el área de trabajo solo durante ocho días.
  • Nivel de archivo: los registros de Azure Monitor han ampliado su capacidad de retención de dos a siete años. Con este nuevo nivel, puede conservar los datos durante un plazo máximo de siete años en un estado archivado a un costo bajo.
  • Trabajos de búsqueda: las tareas de búsqueda que ejecutan un KQL limitado para buscar y devolver todos los registros pertinentes. Estos trabajos buscan datos en el nivel de análisis, el nivel básico y los datos archivados.
  • Restauración de datos: una nueva característica que permite elegir una tabla de datos y un intervalo de tiempo para poder restaurar los datos en el área de trabajo a través de una tabla de restauración.

Para obtener más información sobre estas nuevas características, consulte Ingesta, archivo, búsqueda y restauración de datos en Microsoft Sentinel.

Opciones de retención alternativas fuera de la plataforma Microsoft Sentinel

Si quiere conservar los datos durante más de dos años o reducir el costo de retención, considere la posibilidad de utilizar Azure Data Explorer para la retención a largo plazo de los registros de Microsoft Sentinel. Consulte las diapositivas del seminario web, la grabación del seminario web o el blog.

¿Desea más información detallada? Vea el seminario web "Mejora de la amplitud y la cobertura de la búsqueda de amenazas con el soporte técnico de ADX, más tipos de entidad y la integración de MITRE actualizado".

Si prefiere otra solución de retención a largo plazo, vea Exportación desde Microsoft Sentinel o Log Analytics a Azure Storage y Event Hubs o Movimiento de los registros a un almacenamiento a largo plazo mediante Azure Logic Apps. La ventaja de usar Logic Apps es que puede exportar datos históricos.

Por último, puede establecer períodos de retención pormenorizados mediante la configuración de la retención de nivel de tabla. Para más información, consulte Configuración de directivas de archivo y retención de datos en los registros de Azure Monitor (versión preliminar).

Registro de seguridad

Clúster dedicado

Use un clúster de área de trabajo dedicado si la ingesta de datos proyectada es de aproximadamente 500 GB o más al día. Con un clúster dedicado, puede proteger los recursos de los datos de Microsoft Sentinel, lo que permite un mejor rendimiento de las consultas para grandes conjuntos de datos.

Módulo 6: Enriquecimiento: inteligencia sobre amenazas, listas de reproducción y mucho más

Una de las funciones importantes de un SIEM es aplicar información contextual al flujo de eventos, lo que habilita la detección, la priorización de alertas y la investigación de incidentes. La información contextual incluye, por ejemplo, inteligencia sobre amenazas, inteligencia de IP, información de host y usuario y listas de reproducción.

Microsoft Sentinel proporciona herramientas completas para importar, administrar y usar inteligencia sobre amenazas. Para otros tipos de información contextual, Microsoft Sentinel proporciona listas de reproducción y otras soluciones alternativas.

Información sobre amenazas

La inteligencia sobre amenazas es un bloque de creación importante de un SIEM. Vea el seminario web "Exploración de la eficacia de la inteligencia sobre amenazas en Microsoft Sentinel".

En Microsoft Sentinel, puede integrar la inteligencia sobre amenazas mediante los conectores integrados de TAXII (Intercambio de confianza de información sobre indicadores automatizados) o mediante la API de seguridad de Microsoft Graph. Para más información, consulte Integración de inteligencia sobre amenazas en Microsoft Sentinel. Para obtener más información sobre cómo importar la inteligencia sobre amenazas, consulte las secciones del Módulo 4: Recopilación de datos.

Una vez importada, la inteligencia sobre amenazas se usa ampliamente en Microsoft Sentinel. Las siguientes características se centran en el uso de la inteligencia sobre amenazas:

Vea el seminario web "Automatización de los esfuerzos de evaluación de prioridades de Microsoft Sentinel con la inteligencia sobre amenazas RiskIQ": YouTube o presentación.

¿Dispone de poco tiempo? Vea la sesión de Ignite (28 minutos).

¿Desea más información detallada? Vea el seminario web "Profundización en la inteligencia sobre amenazas": YouTube, MP4 o presentación.

Listas de reproducción y otros mecanismos de búsqueda

Para importar y administrar cualquier tipo de información contextual, Microsoft Sentinel proporciona listas de reproducción. Con las listas de reproducción, puede cargar tablas de datos en formato CSV y usarlas en las consultas KQL. Para obtener más información, consulte Usar listas de reproducción en Microsoft Sentinel o vea el seminario web "Usar listas de reproducción para administrar alertas, reducir la fatiga de alertas y mejorar la eficiencia del SOC": YouTube o presentación.

Use las listas de seguimiento como ayuda en estos escenarios:

  • Investigación de amenazas y respuesta rápida a los incidentes: importe rápidamente direcciones IP, hashes de archivo y otros datos procedentes de archivos CSV. Una vez que importa los datos, puede usar los pares nombre-valor de las listas de seguimiento para combinaciones y filtros en reglas de alerta, búsqueda de amenazas, libros, cuadernos y consultas generales.

  • Importar datos empresariales como una lista de reproducción: por ejemplo, importe listas de usuarios con acceso privilegiado al sistema o empleados con el contrato finalizado. Luego, use la lista de seguimiento para crear listas de permitidos y listas de bloqueados para detectar o impedir que esos usuarios inicien sesión en la red.

  • Reducción de la fatiga por alerta: cree listas de permitidos para suprimir las alertas de un grupo de usuarios, como usuarios de direcciones IP autorizadas que realizan tareas que generalmente desencadenarían la alerta. Evite que los eventos benignos se conviertan en alertas.

  • Enriquecimiento de datos de eventos: use listas de seguimiento para enriquecer los datos de eventos con combinaciones de nombre-valor obtenidas de orígenes de datos externos.

Además de las listas de reproducción, puede usar el operador external-data de KQL, registros personalizados y funciones de KQL para administrar y consultar información de contexto. Cada uno de los cuatro métodos tiene sus ventajas y desventajas, y puede leer más sobre las comparaciones entre ellos en la entrada de blog "Implementación de búsquedas en Microsoft Sentinel". Aunque cada método es diferente, el uso de la información resultante en las consultas es similar y permite cambiar fácilmente entre ellos.

Para obtener ideas sobre el uso de listas de reproducción fuera de las reglas analíticas, vea "Uso de listas de reproducción para impulsar la eficiencia durante las investigaciones de Microsoft Sentinel".

Vea el seminario web "Uso de listas de reproducción para administrar alertas, reducir la fatiga de alertas y mejorar la eficacia de SOC": YouTube o presentación.

Módulo 7: Transformación de registro

Microsoft Sentinel admite dos características nuevas para la ingesta y transformación de datos. Estas características, proporcionadas por Log Analytics, actúan sobre los datos incluso antes de que se almacenen en el área de trabajo. Las características son:

Para más información, consulte:

Módulo 8: Migración

En muchos casos (si no la mayoría), ya se tiene una SIEM y se necesita migrar a Microsoft Sentinel. Aunque puede ser un buen momento para empezar de nuevo y replantear la implementación de SIEM, tiene sentido usar algunos de los recursos que ya ha creado en la implementación actual. Vea el seminario web "Procedimientos recomendados para convertir reglas de detección" (de Splunk, QRadar y ArcSight a Azure Microsoft Sentinel): YouTube, MP4, presentación o blog.

Puede que también esté interesado en los siguientes recursos:

Módulo 9: modelo de información de SIEM avanzado y normalización

Trabajar al mismo tiempo con varios tipos de datos y tablas puede presentar dificultades. Debe estar familiarizado con esos tipos de datos y esquemas a medida que escribe y usa un conjunto único de reglas de análisis, libros y consultas de búsqueda. También puede resultar difícil realizar una correlación entre los distintos tipos de datos necesarios para la investigación y la búsqueda.

El modelo de información avanzado de SIEM (ASIM) proporciona una experiencia perfecta a la hora de gestionar orígenes diversos en vistas uniformes y normalizadas. ASIM se alinea con el modelo de información común de metadatos de eventos de seguridad de código abierto (OSSEM), lo que promueve la normalización independiente del proveedor en todo el sector. Vea el seminario web "Modelo de información avanzado de SIEM (ASIM): ahora integrado en Microsoft Sentinel": YouTube o presentación.

La implementación actual se basa en la normalización del tiempo de consulta, que usa funciones KQL:

  • Esquemas normalizados: abarcan los conjuntos estándar de tipos de eventos predecibles con los que es fácil trabajar y en los que se pueden crear funcionalidades unificadas. El esquema define los campos que deben representar un evento, una convención normalizada de nomenclatura de columnas y un formato estándar para los valores de campo.
    • Vea el seminario web "Descripción de la normalización en Microsoft Sentinel": YouTube o presentación.
    • Vea el seminario web "Profundización en los analizadores de normalización de Microsoft Sentinel y contenido normalizado": YouTube, MP3 o presentación.
  • Los analizadores asignan los datos existentes a los esquemas normalizados. Los analizadores se implementan mediante funciones KQL. Vea el seminario web "Extensión y administración de ASIM: desarrollo, prueba e implementación de analizadores": YouTube o presentación.

  • El contenido de cada esquema normalizado incluye reglas de análisis, libros y consultas de búsqueda. Este contenido funciona en los datos normalizados de cualquier tipo sin necesidad de crear contenido específico del origen.

Usar ASIM brinda las ventajas siguientes:

  • Detección entre orígenes: las reglas de análisis normalizadas funcionan en orígenes locales y en la nube. Las reglas detectan ataques, como fuerza bruta, o bien sistemas imposibles de atravesar, como Okta, AWS y Azure.

  • Permitir contenido independiente de origen: la cobertura del contenido integrado y personalizado mediante ASIM se expande automáticamente a cualquier origen que admita ASIM, incluso si el origen se agregó después de crear el contenido. Por ejemplo, el análisis de eventos de proceso admite cualquier origen que un cliente pueda usar para traer los datos, entre ellos, Microsoft Defender para punto de conexión, eventos de Windows y Sysmon. Estamos listos para agregar Sysmon para Linux y WEF cuando se haya publicado.

  • Compatibilidad con los orígenes personalizados en el análisis integrado

  • Facilidad de uso: a los analistas que aprenden ASIM les resulta mucho más fácil de escribir consultas porque los nombres de campo siempre son los mismos.

Más información sobre ASIM

Saque partido de estos recursos:

  • Vea el seminario web de información general "Descripción de la normalización en Microsoft Sentinel": YouTube o presentación.

  • Vea el seminario web "Profundización en los analizadores de normalización de Microsoft Sentinel y contenido normalizado": YouTube, MP3 o presentación.

  • Vea el seminario web "Turboalimentación de ASIM: asegurarse de que la normalización ayuda al rendimiento en lugar de afectarle negativamente": YouTube, MP4 o presentación.

  • Lea la documentación de ASIM.

Implementación de ASIM

  • Implemente los analizadores de las carpetas que empiezan por "ASIM*" en la carpeta parsers de GitHub.

  • Active las reglas analíticas que usan ASIM. Busque normal en la galería de plantillas para encontrar algunas de ellas. Para obtener la lista completa, use esta búsqueda de GitHub.

Uso de ASIM

Parte 3: Creación de contenido

¿Cuál es el contenido de Microsoft Sentinel?

El valor de la seguridad de Microsoft Sentinel es una combinación de sus funcionalidades integradas y su capacidad para crear funcionalidades personalizadas y personalizar las integradas. Entre las funcionalidades integradas, hay análisis de comportamiento de usuarios y entidades (UEBA), aprendizaje automático o reglas de análisis integradas. Las funcionalidades personalizadas a menudo se conocen como "contenido" e incluyen reglas analíticas, consultas de búsqueda, libros, cuadernos de estrategias, etc.

En esta sección, hemos agrupado los módulos que le pueden ayudar a aprender a crear este contenido o a modificar el contenido integrado según sus necesidades. Comenzamos con KQL, la lingua franca de Microsoft Sentinel. En los módulos siguientes se describe uno de los bloques de creación de contenido, como reglas, cuadernos de estrategias y libros. Para terminar, se describen los casos de uso, que abarcan elementos de diferentes tipos para abordar objetivos de seguridad específicos, como la detección de amenazas, la búsqueda o la gobernanza.

Módulo 10: Lenguaje de consulta Kusto

La mayoría de las funcionalidades de Microsoft Sentinel usan el Lenguaje de consulta Kusto (KQL). Cuando se busca en los registros, se escriben reglas, se crean consultas de búsqueda o se diseñan libros, se usa KQL.

En la sección siguiente sobre la escritura de reglas se explica cómo usar KQL en el contexto específico de las reglas de SIEM.

A medida que aprende KQL, también puede encontrar las siguientes referencias útiles:

Módulo 11: Análisis

Escritura de reglas de análisis programadas

Con Microsoft Sentinel, puede usar plantillas de reglas integradas, personalizar las plantillas para su entorno o crear reglas personalizadas. El núcleo de las reglas es una consulta KQL; sin embargo, se puede configurar mucho más en una regla.

Para obtener información sobre el procedimiento para crear reglas, consulte Creación de reglas de análisis personalizadas para detectar amenazas. Para aprender a escribir reglas, es decir, lo que debe contener una regla, centrándose en KQL para reglas, vea el seminario web: YouTube, MP4 o presentación.

Las reglas de análisis de SIEM tienen patrones específicos. Obtenga información sobre cómo implementar reglas y escribir KQL para esos patrones:

La entrada de blog "Investigaciones del almacenamiento de blobs y archivos" proporciona un ejemplo paso a paso de la escritura de una regla analítica útil.

Uso del análisis integrados

Antes de empezar a escribir sus propias reglas, debe pensar en la posibilidad de sacar provecho de las funcionalidades del análisis integrado. No piden mucho al usuario, pero vale la pena conocerlas:

Módulo 12: Implementación de SOAR

En las SIEM modernas, como Microsoft Sentinel, SOAR constituye todo el proceso desde el momento en que se desencadena un incidente hasta que se resuelve. Este proceso comienza por una investigación de incidentes y continúa con una respuesta automatizada. La entrada de blog "Procedimientos para usar Microsoft Sentinel para la respuesta a incidentes, la orquestación y la automatización" proporciona información general sobre los casos de uso comunes para SOAR.

Las reglas de automatización son el punto de partida para la automatización de Microsoft Sentinel. Proporcionan un método ligero para el control automatizado y centralizado de incidentes, incluida la supresión, el control de falsos positivos y la asignación automática.

Para proporcionar funcionalidades eficaces de automatización basadas en flujos de trabajo, las reglas de automatización usan cuadernos de estrategias de Logic Apps. Para obtener más información:

  • Vea el seminario web "Despliegue de trucos Jedi de automatización y creación de cuadernos de estrategias de Logic Apps como un jefe": YouTube, MP4 o presentación.

  • Obtenga información sobre Logic Apps, que es la tecnología principal en la que se basan los cuadernos de estrategias de Microsoft Sentinel.

  • Consulte El conector de Logic Apps de Microsoft Sentinel, el vínculo entre Logic Apps y Microsoft Sentinel.

Encuentre docenas de cuadernos de estrategias útiles en la carpeta Playbooks en el sitio de GitHub para Microsoft Sentinel o leer Un cuaderno de estrategias que usa una lista de reproducción para informar al propietario de una suscripción sobre una alerta para un tutorial de cuadernos de estrategias.

Módulo 13: Libros, informes y visualización

Workbooks

Como centro neurálgico de su SOC, necesita Microsoft Sentinel para visualizar la información que recopila y genera. Use libros para visualizar datos en Microsoft Sentinel.

Los libros pueden ser interactivos y permiten mucho más que simplemente la elaboración de gráficos. Con los libros, puede crear aplicaciones o módulos de extensión para Microsoft Sentinel a fin de complementar su funcionalidad integrada. También puede usar libros para ampliar las características de Microsoft Sentinel. Estos son algunos ejemplos de esas aplicaciones:

Encontrará docenas de libros en la carpeta Workbooks en el GitHub de Microsoft Sentinel. Algunos de ellos también están disponibles en la galería de libros de Microsoft Sentinel.

Informes y otras opciones de visualización

Los libros pueden servir para generar informes. Para las funcionalidades más avanzadas de la generación de informes, como la programación y la distribución de informes o las tablas dinámicas, puede que quiera usar:

Módulo 14: Cuadernos

Los cuadernos de Jupyter Notebook están totalmente integrados con Microsoft Sentinel. Aunque se considera una herramienta importante en la caja de herramientas del buscador y se describe en los seminarios web de la sección de búsqueda, su valor es mucho más amplio. Los cuadernos pueden servir para la visualización avanzada, como una guía de investigación, y para una automatización sofisticada.

Para comprenderlos mejor los cuadernos, vea el vídeo de introducción a los cuadernos. Empiece por el seminario web Cuadernos (YouTube, MP4 o presentación) o lea la documentación. La serie Ninja de los cuadernos de Microsoft Sentinel es una serie de entrenamiento en curso para mejorar las aptitudes al usar los cuadernos.

MSTICPY implementa una parte importante de la integración, que es una biblioteca de Python desarrollada por nuestro equipo de investigación para su uso con cuadernos de Jupyter Notebook. Agrega interfaces de Microsoft Sentinel y funcionalidades de seguridad sofisticadas a los cuadernos.

Módulo 15: Casos de uso y soluciones

Con los conectores, las reglas, los cuadernos de estrategias y los libros, puede implementar casos de uso, que es el término de SIEM para un paquete de contenido destinado a detectar y responder a una amenaza. Puede implementar casos de uso integrados de Microsoft Sentinel mediante la activación de las reglas sugeridas al conectar cada conector. Una solución es un grupo de casos de uso que abordan un dominio de amenaza específico.

El seminario web "Abordar la identidad" (YouTube, MP4 o presentación) explica qué es un caso de uso, cómo abordar su diseño y presenta varios casos de uso que abarcan colectivamente las amenazas de identidad.

Otra área de solución relevante es proteger el trabajo remoto. Vea nuestra sesión de Ignite sobre la protección del trabajo remoto y lea más sobre los casos de uso específicos siguientes:

Y, por último, centrándose en ataques recientes, aprenda a supervisar la cadena de suministro de software con Microsoft Sentinel.

Las soluciones de Microsoft Sentinel proporcionan detectabilidad en el producto, implementación en un solo paso y habilitación de escenarios de productos, dominios o verticales de un extremo a otro en Microsoft Sentinel. Para obtener más información, consulte Acerca del contenido y las soluciones de Microsoft Sentinel y vea el seminario web "Crear sus propias soluciones de Microsoft Sentinel": YouTube o presentación.

Parte 4: Funcionamiento

Módulo 16: Control de incidentes

Después de compilar el SOC, debe empezar a usarlo. El seminario web "un día en la vida del analista de SOC" (YouTube, MP4 o presentación) le guía en el uso de Microsoft Sentinel en el SOC para evaluar las prioridades, investigar y responder a incidentes.

Para ayudar a los equipos a colaborar sin problemas en toda la organización y con partes interesadas externas, vea Integración con Microsoft Teams directamente desde Microsoft Sentinel. Además, vea el seminario web "Reducción del MTTR (tiempo medio de respuesta) de SOC mediante la integración de Microsoft Sentinel con Microsoft Teams".

También puede leer el artículo de documentación sobre la investigación de incidentes. Como parte de la investigación, también usará las páginas de entidad para obtener más información sobre las entidades relacionadas con el incidente o identificadas como parte de la investigación.

La investigación de incidentes en Microsoft Sentinel se extiende más allá de la funcionalidad principal de investigación de incidentes. Puede crear más herramientas de investigación mediante libros y cuadernos; los cuadernos se describen en la sección siguiente, Módulo 17: Búsqueda. También puede crear más herramientas de investigación o modificar algunas existentes según sus necesidades específicas. Entre los ejemplos se incluyen:

Módulo 17: Búsqueda

Aunque la mayor parte de la explicación hasta ahora se ha centrado en la detección y la administración de incidentes, la búsqueda es otro caso de uso importante para Microsoft Sentinel. La búsqueda es una búsqueda proactiva de amenazas en lugar de una respuesta reactiva a las alertas.

El panel de búsqueda se actualiza constantemente. Muestra todas las consultas escritas por el equipo de analistas de seguridad de Microsoft y las consultas adicionales que ha creado o modificado. En cada consulta se proporciona una descripción de lo que se busca y en qué tipo de datos se ejecuta. Estas plantillas se agrupan según sus diversas tácticas. Los iconos de la derecha clasifican el tipo de amenaza, como el acceso inicial, la persistencia y la filtración. Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.

Para obtener más información sobre en qué consiste la búsqueda y cómo se admite en Microsoft Sentinel, vea el seminario web de introducción "Búsqueda de amenazas": YouTube, MP4 o presentación. El seminario web comienza con una actualización de las nuevas características. Para información sobre la búsqueda, comience en la diapositiva 12. El vídeo de YouTube ya está configurado para empezar allí.

Aunque el seminario web de introducción se centra en las herramientas, la búsqueda se centra en la seguridad. Nuestro seminario web del equipo de investigación de seguridad (YouTube, MP4 o presentación) se centra en cómo buscar realmente.

El seminario web de continuación "Búsqueda de amenazas de AWS mediante Microsoft Sentinel" (YouTube, MP4 o presentación) explica este punto mostrando un escenario de búsqueda integral en un entorno de destino de alto valor.

Por último, puede aprender a realizar la búsqueda posterior a la puesta en peligro de SolarWinds con Microsoft Sentinel y la búsqueda de WebShell motivadas por las vulnerabilidades recientes en los servidores locales de Microsoft Exchange.

Módulo 18: Análisis del comportamiento de usuarios y entidades (UEBA)

El módulo Análisis de comportamiento de entidades y usuarios (UEBA) de Microsoft Sentinel recién presentado le permite identificar e investigar amenazas dentro de la organización y su posible impacto, independientemente de que provengan de una identidad en peligro o de un usuario malintencionado.

A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de base de referencia de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a través del tiempo y del horizonte del grupo del mismo nivel. Con diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar las actividades anómalas y ayudarle a determinar si un recurso está en peligro. No solo eso, sino que también puede averiguar la sensibilidad relativa de los recursos concretos, identificar los grupos de homólogos y evaluar el impacto potencial de cualquier recurso en peligro determinado (su "radio de la explosión"). Gracias a esta información, puede priorizar la investigación y el tratamiento de incidentes de manera eficaz.

Obtenga más información sobre UEBA en el seminario web (YouTube, MP4 o presentación) y lea sobre el uso de UEBA para investigaciones en su SOC.

Para obtener información sobre las actualizaciones más recientes, vea el seminario web "Futuro de los análisis de comportamiento de entidades de usuarios en Microsoft Sentinel".

Módulo 19: Supervisión del mantenimiento de Microsoft Sentinel

Parte del funcionamiento de un SIEM es asegurarse de que funciona sin problemas en un área en constante evolución de Microsoft Sentinel. Use lo siguiente para supervisar el mantenimiento de Microsoft Sentinel:

Parte 5: Nivel avanzado

Módulo 20: Ampliación e integración mediante las API de Microsoft Sentinel

Como SIEM nativa de nube, Microsoft Sentinel es un sistema de API primero. Cada característica se puede configurar y usar a través de una API, lo que permite una fácil integración con otros sistemas y la extensión de Microsoft Sentinel con su propio código. Si escuchar la palabra API le intimida, no se preocupe. Todo lo que esté disponible mediante la API también está disponible mediante PowerShell.

Para más información sobre las API de Microsoft Sentinel, vea el breve vídeo introductorio y lea la entrada de blog. Para profundizar más, vea el seminario web "Extensión e integración de Sentinel (API)" (YouTube, MP4 o presentación) y lea la entrada de blog Extensión de Microsoft Sentinel: API, integración y automatización de la administración.

Módulo 21: Compilación de un modelo propio de aprendizaje automático

Microsoft Sentinel proporciona una excelente plataforma para implementar sus propios algoritmos de Machine Learning. Lo denominamos Compilación del propio modelo de Machine Learning o BYO ML. BYO ML está destinado a usuarios avanzados. Si busca un análisis integrado de comportamiento, use nuestras reglas de análisis de Machine Learning, el módulo UEBA o escriba sus propias reglas de análisis de comportamiento basadas en KQL.

Para empezar con la incorporación de su propio aprendizaje automático a Microsoft Sentinel, vea el vídeo "Compilación de su propio modelo de Machine Learning" y lea la entrada de blog Detecciones del modelo de compilación de un modelo propio de Machine Learning en el SIEM de Microsoft Sentinel inmerso en IA. También puede consultar la documentación de BYO ML.

Pasos siguientes