Acerca del contenido y las soluciones de Microsoft Sentinel
El contenido de Microsoft Sentinel lo forman los componentes de la solución de administración de eventos e información de seguridad (SIEM) que permite a los clientes ingerir datos, supervisar, enviar alertas, buscar, investigar, responder y conectarse con diferentes productos, plataformas y servicios.
El contenido de Microsoft Sentinel incluye cualquiera de los siguientes tipos:
- Los conectores de datos proporcionan la ingesta de registros de diferentes orígenes en Microsoft Sentinel.
- Los analizadores proporcionan formateo/transformación de registros en formatos de Modelo avanzado de información de seguridad (ASIM), compatibles con la utilización en varios tipos de contenido y escenarios de Microsoft Sentinel.
- Los libros proporcionan supervisión, visualización e interactividad con los datos en Microsoft Sentinel, destacando información valiosa para los usuarios.
- Las reglas analíticas proporcionan alertas que apuntan a acciones de SOC pertinentes a través de incidentes.
- Los equipos de SOC utilizan consultas de búsqueda para buscar amenazas de manera proactiva en Microsoft Sentinel.
- Los Cuadernos ayudan a los equipos de SOC a utilizar características de búsqueda avanzadas en Jupyter y Azure Notebooks.
- Las listas de seguimiento admiten la ingesta de datos específicos para mejorar la detección de amenazas y reducir la fatiga de las alertas.
- Los conectores personalizados de cuadernos de estrategias y de Azure Logic Apps proporcionan características para realizar investigaciones automatizadas, correcciones y escenarios de respuesta en Microsoft Sentinel
Microsoft Sentinel ofrece estos tipos de contenido como soluciones y elementos independientes. Las soluciones son paquetes de contenido de Microsoft Sentinel o integraciones de la API de Microsoft Sentinel, que cumplen con un producto, dominio o escenario vertical de la industria de extremo a extremo en Microsoft Sentinel. Tanto las soluciones como los elementos independientes se pueden detectar y administrar desde el Centro de contenido.
Puedes personalizar el contenido listo para usar para tus propias necesidades o puedes crear tu propia solución con contenido que puedas compartir con otros miembros de la comunidad. Para más información, vea la Guía de compilación de soluciones de Microsoft Sentinel para la creación y publicación de soluciones.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Detección y administración de contenido de Microsoft Sentinel
Usa el Centro de contenido de Microsoft Sentinel para descubrir e instalar contenido listo para usar de forma centralizada.
El Centro de contenido de Microsoft Sentinel proporciona la capacidad de detección en el producto, la implementación en un solo paso y la opción de habilitar productos, dominios y soluciones verticales listos para usar y contenido en Microsoft Sentinel.
Filtre por categorías y otros parámetros, o use la potente búsqueda por texto, para encontrar el contenido que mejor se adapte a las necesidades de su organización.
El Centro de contenido también indica el modelo de soporte técnico que se aplica a cada parte del contenido, ya que Microsoft mantiene algunos contenidos y otros los mantienen los asociados o la comunidad.
Administre las actualizaciones de contenido listo para usar en el Centro de contenido. O bien, para contenidos personalizados, administre las actualizaciones desde la página Repositorios. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Personalice el contenido integrado para sus propias necesidades o cree contenido personalizado, incluidas reglas de análisis, consultas de búsqueda, cuadernos, libros de trabajo y más.
Administre su contenido personalizado directamente en su área de trabajo de Microsoft Sentinel usando la API de Microsoft Sentinel o desde su propio repositorio de control de código fuente. Para más información, consulte API de Microsoft Sentinel e Implementación de contenido personalizado desde su repositorio.
¿Por qué soluciones de centro de contenidos?
Las soluciones de Microsoft Sentinel son integraciones empaquetadas que proporcionan un valor de producto de un extremo a otro para uno o más escenarios de dominio o verticales en el centro de contenidos.
La experiencia de soluciones, con tecnología de Azure Marketplace, le ayuda a detectar e implementar el contenido que desee. Para obtener más información sobre la creación y publicación de soluciones en Azure Marketplace, consulte la Guía de compilación de soluciones de Microsoft Sentinel.
El contenido empaquetado son colecciones de uno o varios componentes de contenido de Microsoft Sentinel, como conectores de datos, libros, reglas de análisis, cuadernos de estrategias, consultas de búsqueda, listas de seguimiento, analizadores y otros.
Las integraciones incluyen servicios o herramientas creadas con las API de Microsoft Sentinel o de Azure Log Analytics que admiten integraciones entre Azure y las aplicaciones de clientes existentes, o migran datos y realizan consultas, etc., desde esas aplicaciones a Microsoft Sentinel.
También puedes utilizar soluciones para instalar paquetes de contenido listo para usar en un solo paso, donde el contenido a menudo está disponible de inmediato. Los proveedores y asociados usan las soluciones Sentinel para añadir valor a las inversiones de sus clientes ofreciendo una combinación de producto, dominio o valor vertical.
Utiliza el Centro de contenido para descubrir e implementar de forma centralizada soluciones y contenido listo para usar en función de los escenarios.
Para obtener más información, consulte:
- Detección e implementación centralizadas de soluciones y contenido de serie de Microsoft Sentinel
- Catálogo de soluciones para Microsoft Sentinel en el Azure Marketplace
- Catálogo de Microsoft Sentinel
Categorías para el contenido y las soluciones integradas de Microsoft Sentinel
El contenido integrado de Microsoft Sentinel se puede aplicar con una o más de las siguientes categorías. En el Centro de contenido, seleccione las categorías que quiera ver para cambiar el contenido mostrado. Puedes descubrir elementos entregados por la comunidad de forma centralizada en el Centro de contenido como contenido o soluciones independientes.
Categorías de dominio
Nombre de la categoría | Descripción |
---|---|
Aplicación | Carga de trabajo web, basada en servidor, SaaS, base de datos, comunicaciones o productividad. |
Proveedor de servicios en la nube | servicio en la nube |
Cumplimiento normativo | Productos, servicios y protocolos de cumplimiento. |
DevOps | Servicios y herramientas de operaciones de desarrollo. |
Identidad | Integraciones y proveedores de servicios de identidad. |
Internet de las cosas (IoT) | IoT, dispositivos de tecnología operativa (OT) e infraestructura, servicios de control industrial |
Operaciones de TI | Productos y servicios de administración de TI. |
Migración | Productos, servicios y habilitación de la migración. |
Redes | Productos, servicios y herramientas de red. |
Plataforma | Componentes genéricos o de marco, infraestructura en la nube y plataforma de Microsoft Sentinel. |
Seguridad/Otros | Otros productos y servicios de seguridad sin otra categoría clara. |
Seguridad: inteligencia sobre amenazas | Plataformas, fuentes, productos y servicios de inteligencia sobre amenazas. |
Seguridad: protección contra amenazas | Productos y servicios de protección contra amenazas, protección del correo electrónico, detección y respuesta extendidas (XDR) y protección de puntos de conexión |
Seguridad: vulnerabilidad de 0 días | Soluciones especializadas para ataques de vulnerabilidad de día cero como Nobelium. |
Seguridad: automatización (SOAR) | Automatizaciones de seguridad, SOAR (operaciones de seguridad y respuestas automatizadas), operaciones de seguridad y productos y servicios de respuesta a incidentes. |
Seguridad: seguridad en la nube | CASB (Agente de seguridad de acceso a la nube), CWPP (Plataformas de protección de cargas de trabajo en la nube), CSPM (Administración de la posición de seguridad en la nube y otros productos y servicios de Cloud Security). |
Seguridad: Information Protection | Productos y servicios de protección de la información y protección de documentos. |
Seguridad: amenaza interna | Amenazas de Insider y análisis del comportamiento de usuarios y entidades (UEBA) para productos y servicios de seguridad. |
Seguridad: red | Dispositivos de red de seguridad, firewall, BAND (detección y respuesta de red), NIDP (prevención de intrusiones y detección de redes) y captura de paquetes de red. |
Seguridad: administración de vulnerabilidades | Productos y servicios de administración de vulnerabilidades. |
Storage | Almacenes de archivos y servicios y productos de uso compartido de archivos. |
Entrenamiento y tutoriales | Entrenamiento, tutoriales y recursos de incorporación. |
Comportamiento del usuario (UEBA) | Otros productos y servicios de análisis de comportamiento del usuario. |
Categorías verticales del sector
Nombre de la categoría | Descripción |
---|---|
Aeronáutica | Productos, servicios y contenido específicos para el sector aeronáutico. |
Education | Productos, servicios y contenido específicos para el sector educativo. |
Sector financiero | Productos, servicios y contenido específicos para el sector financiero. |
Atención sanitaria | Productos, servicios y contenido específicos para el sector sanitario. |
Manufacturing | Productos, servicios y contenido específicos para el sector de manufactura. |
Minoristas | Productos, servicios y contenido específicos para el sector comercial. |
Modelos de soporte técnico para las soluciones y contenido integrados de Microsoft Sentinel
Tanto Microsoft como otras organizaciones crean contenido y soluciones integrados en Microsoft Sentinel. Cada parte de contenido o solución integrado tiene uno de los siguientes tipos de soporte técnico:
Modelo de soporte técnico | Descripción |
---|---|
Soporte técnico de Microsoft | Se aplica a: . - Contenido o soluciones en las que Microsoft es el proveedor de datos, si procede, y el autor. - Algunos contenidos o soluciones que crea Microsoft para orígenes de datos que no sean de Microsoft. Microsoft admite y mantiene el contenido o las soluciones en este modelo de soporte técnico de acuerdo con los planes de soporte técnico de Microsoft Azure. Los asociados o el contenido o las soluciones de soporte técnico de la comunidad creado por cualquier entidad distinta de Microsoft. |
Soporte técnico de asociados | Se aplica a contenido o soluciones que hayan creado otras partes que no sean de Microsoft. La empresa asociada proporciona soporte técnico o mantenimiento para estos elementos de contenido o soluciones. La empresa asociada puede ser un fabricante de software independiente, un proveedor de servicios administrados (MSP/MSSP), un integrador de sistemas (SI) o cualquier organización cuya información de contacto se proporcione en la página de Microsoft Sentinel para el contenido o las soluciones seleccionados. Para cualquier problema con una solución compatible con asociados, póngase en contacto con el contacto de soporte técnico especificado. |
Soporte técnico de la comunidad | Se aplica a los contenidos o soluciones creados por desarrolladores de Microsoft o partners sin contactos enumerados para el soporte y mantenimiento en Microsoft Sentinel. Si tiene preguntas o problemas relacionados con estas soluciones, puede registrar un problema en la comunidad de GitHub de Microsoft Sentinel. |
Categorías para el contenido y las soluciones de Microsoft Sentinel
Cada parte de contenido o solución tiene uno de los siguientes orígenes de contenido:
Origen de contenido | Descripción |
---|---|
Centro de contenido | Soluciones implementadas por el Centro de contenido que admiten la administración del ciclo de vida |
Independiente | Contenido independiente implementado por el Centro de contenido que se mantiene actualizado automáticamente |
Personalizada | Contenido o soluciones que ha personalizado en su área de trabajo |
Contenido de la galería | Contenido de las galerías de características que no admiten la administración del ciclo de vida. Este origen de contenido se va a retirar pronto. Para más información, consulte Cambios de centralización de contenido de OOTB. |
Repositorios | Contenido o soluciones de un repositorio conectado al área de trabajo |
Pasos siguientes
Descubra e instale soluciones y contenido independientes desde el Centro de conectividad en su área de trabajo de Microsoft Sentinel.
Para más información, vea:
- Detección e implementación centralizadas de las soluciones y el contenido integrados
- Catálogo de soluciones para Microsoft Sentinel en el Azure Marketplace
- Catálogo de Microsoft Sentinel
- Conectores de datos de Microsoft Sentinel
- Búsqueda del conector de datos de Microsoft Sentinel