Configuración del contenido de Microsoft Azure Sentinel
En el paso de implementación anterior, ha habilitado Microsoft Sentinel, la supervisión de estado y las soluciones necesarias. En este artículo, aprenderá a configurar los diferentes tipos de contenido de seguridad de Microsoft Sentinel, lo que le permite detectar, supervisar y responder a las amenazas de seguridad en todos los sistemas. Este artículo forma parte de la Guía de implementación de Microsoft Sentinel.
Configuración del contenido de seguridad
| Paso | Descripción |
|---|---|
| Configuración de los conectores de datos | En función de los orígenes de datos seleccionados al planear la implementación y después de habilitar las soluciones pertinentes, ahora puede instalar o configurar los conectores de datos. - Si usa un conector existente, busque el conector en esta lista completa de conectores de datos. - Si crea un conector personalizado, use estos recursos. - Si va a configurar un conector para ingerir registros CEF o Syslog, revise estas opciones. |
| Configure las reglas de análisis | Después de configurar Microsoft Sentinel para recopilar datos de toda la organización, puede empezar a usar las reglas de detección de amenazas o las reglas de análisis. Seleccione los pasos necesarios para establecer y configurar las reglas de análisis: - Crear una regla de consulta programada: crear reglas de análisis personalizadas que le ayuden a detectar amenazas y comportamientos anómalos presentes en el entorno. - Asignar campos de datos a entidades: agregue o cambie las asignaciones de entidades en una regla de análisis existente. - Detalles personalizados de Surface en alertas: agregue o cambie los detalles personalizados en una regla de análisis existente. - Detalles personalizados en alertas: invalidar las propiedades predeterminadas de las alertas con contenido de los resultados de la consulta subyacente. - Exportar e importar reglas de análisis: exporte las reglas de análisis a los archivos de plantilla de Azure Resource Manager (ARM) e importe las reglas de estos archivos. La acción de exportación creará un archivo JSON en la ubicación de descargas del explorador, que luego puede renombrar, mover y controlar de otra manera, como cualquier otro archivo. - Creación de reglas de análisis de detección casi en tiempo real (NRT): cree reglas de análisis casi en tiempo para la detección de amenazas de hasta el minuto lista para usar. Este tipo de regla se diseñó para tener una gran capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia. - Trabajar con reglas de análisis de detección de anomalías: trabaje con plantillas de anomalía integradas que usan miles de orígenes de datos y millones de eventos, o cambie los umbrales y los parámetros de las anomalías dentro de la interfaz de usuario. - Administrar versiones de plantilla para las reglas de análisis programadas: realice un seguimiento de las versiones de las plantillas de reglas de análisis y revierta las reglas activas a las versiones de plantilla existentes o actualícelas a las nuevas. - Controlar el retraso de ingesta en las reglas de análisis programadas: obtenga información sobre cómo el retraso de ingesta podría afectar a las reglas de análisis programadas y cómo puede corregirlos para cubrir estas brechas. |
| Configuración de las reglas de automatización | Creación de reglas de automatización. Defina los desencadenadores y las condiciones que determinarán en qué momento se ejecutará su regla de automatización, las distintas acciones que puede ordenar a esta que realice y las restantes características y funcionalidades. |
| Configuración del cuaderno de estrategias | Un cuaderno de estrategias es una colección de las acciones correctivas que se ejecutan desde Microsoft Sentinel como una rutina, para ayudar a automatizar y orquestar su respuesta ante amenazas. Para configurar los cuadernos de estrategias: - Revise estos pasos para crear un cuaderno de estrategias - Crear un cuaderno de estrategias a partir de una plantilla: Una plantilla de cuaderno de estrategias es un flujo de trabajo precompilado, probado y listo para usar que se puede personalizar para satisfacer sus necesidades. Las plantillas también pueden servir como referencia para los procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización. |
| Configuración de los libros | Los libros proporcionan un lienzo flexible para el análisis de datos y la creación de informes visuales completos en Microsoft Sentinel. Las plantillas de los libros le permiten obtener rápidamente conclusiones sobre los datos en cuanto se conecta un origen de datos. Para configurar los libros: - Creación de libros personalizados con sus datos - Uso de plantillas de libro existentes disponibles con soluciones empaquetadas |
| Configuración de las listas de reproducción | Las listas de reproducción le permiten correlacionar los datos de un origen de datos que proporcione con los eventos del entorno de Microsoft Sentinel. Para configurar las listas de reproducción: - Cree listas de reproducción - Crear consultas o reglas de detección con listas de reproducción: consultar los datos de cualquier tabla comparándolos con los datos de una lista de reproducción tratando a esta última como una tabla de combinaciones y búsquedas. Cuando crea una lista de seguimiento, debe definir la SearchKey. La clave de búsqueda es el nombre de una columna en la lista de seguimiento que espera usar como combinación con otros datos o como objeto frecuente de búsquedas. |
Pasos siguientes
En este artículo, ha aprendido a configurar los distintos tipos de contenido de seguridad de Microsoft Sentinel.