Procedimientos recomendados de Microsoft Sentinel
Esta colección de procedimientos recomendados proporciona instrucciones para implementar, administrar y usar Microsoft Sentinel, e incluye vínculos a otros artículos para obtener más información.
Importante
Antes de implementar Microsoft Sentinel, revise y complete las actividades previas a la implementación y los requisitos previos.
Referencias de procedimientos recomendados
La documentación de Microsoft Sentinel tiene instrucciones de procedimientos recomendados distribuidas por los artículos. Además del contenido que se proporciona en este artículo, consulte los siguientes para más información:
Usuarios administradores:
- Actividades previas a la implementación y requisitos previos para implementar Microsoft Sentinel
- Procedimientos recomendados de arquitectura de áreas de trabajo de Microsoft Sentinel
- Diseño de una arquitectura de áreas de trabajo de Microsoft Sentinel
- Diseños de ejemplo de áreas de trabajo de Microsoft Sentinel
- Procedimientos recomendados para la recopilación de datos
- Costos y facturación de Microsoft Sentinel
- Permisos en Microsoft Sentinel
- Protección de la propiedad intelectual del MSSP en Microsoft Sentinel
- Integración de inteligencia sobre amenazas en Microsoft Sentinel
- Contenido y soluciones de Microsoft Sentinel
- Auditoría de consultas y actividades de Microsoft Sentinel
Analistas:
- Cuadernos de estrategia recomendados
- Control de falsos positivos en Microsoft Sentinel
- Búsqueda de amenazas con Microsoft Sentinel
- Libros de Microsoft Azure Sentinel de uso frecuente
- Detección de amenazas integrada
- Creación de reglas de análisis personalizadas para detectar amenazas
- Uso de Jupyter Notebook para buscar amenazas de seguridad
Para obtener más información, vea también nuestro vídeo: Architecting SecOps for Success: Best Practices for Deploying Azure Sentinel (Arquitectura de SecOps para el éxito: procedimientos recomendados de implementación de Microsoft Sentinel)
Actividades normales de SOC
Programe con regularidad las siguientes actividades de Microsoft Sentinel para garantizar los procedimientos recomendados de seguridad continuos:
Tareas diarias
Evaluar errores y buscar incidentes. Revise la página Incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas analíticas configuradas actualmente y empezar a buscar incidentes nuevos. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.
Explorar las consultas de búsqueda y los marcadores. Explore los resultados de todas las consultas integradas y actualice los marcadores y las consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para más información, consulte:
Reglas analíticas. Revise y habilite las nuevas reglas analíticas según corresponda, incluidas las reglas recién publicadas o recientemente disponibles de los conectores de datos conectados recientemente.
Conectores de datos. Revise el estado, la fecha y la hora del último registro recibido de cada conector de datos para asegurarse de que los datos fluyen. Compruebe si hay nuevos conectores y revise la ingesta de datos para asegurarse de que no se han superado los límites establecidos. Para obtener más información, consulte Procedimientos recomendados para la recopilación de datos y Conexión con orígenes de datos.
Agente de Log Analytics. Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y corrija las conexiones fallidas. Para obtener más información, vea Introducción al agente de Log Analytics.
Errores del cuaderno de estrategias. Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, consulte el Tutorial: Uso de cuadernos de estrategias con reglas de automatización en Microsoft Sentinel.
Tareas semanales
Revisión de contenido de soluciones o contenido independiente. Obtenga las actualizaciones de contenido de las soluciones instaladas o contenido independiente del Centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias.
Auditoría de Microsoft Sentinel. Revise la actividad de Microsoft Sentinel para ver quién ha actualizado o eliminado recursos, como reglas analíticas y marcadores, entre otros. Para más información, consulte Auditoría de consultas y actividades de Microsoft Sentinel.
Tareas mensuales
Revisar el acceso de usuario. Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para más información, consulte Permisos de Microsoft Sentinel.
Revisar el área de trabajo de Log Analytics. Revise que la directiva de retención de datos del área de trabajo de Log Analytics se sigue ajustando a la directiva de su organización. Para obtener más información, vea la Directiva de retención de datos y la sección Integración con Azure Data Explorer para conservar registros a largo plazo.
Integración con servicios de seguridad de Microsoft
Microsoft Sentinel está potenciado por los componentes que envían datos al área de trabajo y se fortalece mediante integraciones con otras servicios Microsoft. Los registros ingeridos en productos como Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión y Microsoft Defender for Identity permiten a estos servicios crear detecciones y, a su vez, proporcionar esas detecciones a Microsoft Sentinel. Los registros también se pueden ingerir directamente en Microsoft Sentinel para proporcionar una imagen más completa de eventos e incidentes.
Por ejemplo, en la imagen siguiente se muestra cómo Microsoft Sentinel ingiere datos de otros servicios de Microsoft y varias nubes y plataformas asociadas para proporcionar cobertura para su entorno:
Además de ingerir alertas y registros de otros orígenes, Microsoft Sentinel también:
- Usa la información que ingiere con aprendizaje automático que permite una mejor correlación de eventos, agregación de alertas, detección de anomalías, etc.
- Compila y presenta objetos visuales interactivos a través de libros que muestran tendencias, información relacionada y datos clave usados para tareas de administración e investigaciones.
- Ejecuta cuadernos de estrategias para actuar sobre las alertas recopilando información, realizando acciones sobre los elementos y enviando notificaciones a distintas plataformas.
- Se integra con plataformas de asociados, como ServiceNow y Jira, para proporcionar servicios esenciales a los equipos de SOC.
- Ingiere y recupera datos de fuentes de enriquecimiento de las plataformas de inteligencia sobre amenazas para aportar datos valiosos de investigación.
Administración de incidentes y respuesta a los mismos
En la imagen siguiente se muestran los pasos recomendados en un proceso de administración de incidentes y respuesta a los mismos.
En las secciones siguientes se proporcionan descripciones detalladas sobre cómo usar las funciones de Microsoft Sentinel para administrar y dar respuesta a incidentes a lo largo del proceso. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.
Uso de la página Incidentes y del gráfico Investigación
Inicie cualquier proceso de evaluación de prioridades para nuevos incidentes en la página Incidentes de Microsoft Sentinel y el grafo de investigación.
Detecte entidades clave, como cuentas, direcciones URL, direcciones IP, nombres de host, actividades, escala de tiempo, etc. Use estos datos para saber si hay un falso positivo, en cuyo caso puede cerrar el incidente directamente.
Los incidentes generados se muestran en la página Incidentes, que actúa como ubicación central para la evaluación de prioridades e investigación temprana. En la página Incidentes se enumera el título, la gravedad y las alertas relacionadas, los registros y cualquier entidad de interés. Los incidentes también proporcionan un salto rápido a los registros recopilados y a cualquier herramienta relacionada con el incidente.
La página Incidentes funciona junto con el Gráfico de investigación, una herramienta interactiva que permite a los usuarios explorar y profundizar en una alerta para mostrar el alcance completo de un ataque. A continuación, los usuarios pueden construir una escala de tiempo de eventos y detectar la extensión de una cadena de amenazas.
Si descubre que el incidente es un verdadero positivo, actúe directamente desde la página Incidentes para investigar los registros y las entidades y explorar la cadena de amenazas. Después de identificar la amenaza y crear un plan de acción, use otras herramientas de Microsoft Sentinel y otros servicios de seguridad de Microsoft para continuar investigando.
Control de incidentes con libros
Además de visualizar y mostrar información y tendencias, los libros de Azure Sentinel son valiosas herramientas de investigación.
Por ejemplo, use el libro Investigation Insights (Ideas de investigación) para investigar incidentes específicos junto con las entidades y alertas asociadas. Este libro le permite profundizar más en las entidades mediante la presentación de registros, acciones y alertas relacionados.
Control de incidentes con la búsqueda de amenazas
Al investigar y buscar las causas principales, ejecute consultas de búsqueda de amenazas integradas y compruebe los resultados de los indicadores de riesgo.
Durante una investigación, o después de haber tomado medidas para corregir y eliminar la amenaza, use Live Stream para supervisar, en tiempo real, si hay eventos malintencionados persistentes o si los eventos malintencionados continúan.
Control de incidentes con comportamiento de entidad
El comportamiento de la entidad en Microsoft Sentinel permite a los usuarios revisar e investigar acciones y alertas para entidades específicas, como investigar en cuentas y nombres de host. Para más información, consulte:
- Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel
- Investigación de incidentes con datos de UEBA
- Referencia de enriquecimientos de UEBA de Microsoft Sentinel
Control de incidentes con listas de reproducción e inteligencia sobre amenazas
Para maximizar las detecciones basadas en inteligencia sobre amenazas, asegúrese de usar conectores de datos de inteligencia sobre amenazas para ingerir indicadores de riesgo:
- Conecte los orígenes de datos requeridos por la Fusión y las alertas de TI Map
- Ingesta de indicadores desde las plataformas TAXII y TIP
Use indicadores de riesgo en las reglas analíticas para buscar amenazas, investigar registros o generar más incidentes.
Use una lista de reproducción que combine datos de los datos ingeridos y los orígenes externos, por ejemplo, datos de enriquecimiento. Por ejemplo, cree listas de intervalos de direcciones IP usados por su organización o de empleados despedidos recientemente. Use listas de reproducción con cuadernos de estrategias para recopilar datos de enriquecimiento, como agregar direcciones IP malintencionadas a listas de reproducción para usarlas durante la detección, la búsqueda de amenazas y las investigaciones.
Durante un incidente, use las listas de reproducción para contener los datos de investigación y, a continuación, elimínelos cuando se realice la investigación para asegurarse de que los datos confidenciales permanezcan ocultos.
Pasos siguientes
Como introducción a Microsoft Sentinel, consulte: