Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En el paso de implementación anterior, ha habilitado Microsoft Sentinel, la supervisión del estado y las soluciones necesarias. En este artículo, aprenderá a configurar los diferentes tipos de contenido de seguridad de Microsoft Sentinel, que le permiten detectar, supervisar y responder a amenazas de seguridad en todos los sistemas. Este artículo forma parte de la guía de implementación para Microsoft Sentinel.
Configuración del contenido de seguridad
| Paso | Descripción |
|---|---|
| Configuración de conectores de datos | En función de los orígenes de datos que seleccionó al planear la implementación y después de habilitar las soluciones pertinentes, ahora puede instalar o configurar los conectores de datos. - Si usa un conector existente, busque el conector en esta lista completa de conectores de datos. - Si va a crear un conector personalizado, use estos recursos. - Si va a configurar un conector para ingerir registros CEF o Syslog, revise estas opciones. |
| Configuración de reglas de análisis | Después de configurar Microsoft Sentinel para recopilar datos de toda la organización, puede empezar a usar reglas de análisis para detectar amenazas. Seleccione los pasos necesarios para configurar las reglas de análisis: - Crear reglas programadas a partir de plantillas o desde cero: cree reglas de análisis para ayudar a detectar amenazas y comportamientos anómalo en su entorno. - Asignar campos de datos a entidades: agregue o cambie las asignaciones de entidades en una regla de análisis. - Detalles personalizados de Surface en alertas: agregue o cambie los detalles personalizados en una regla de análisis. - Personalizar los detalles de la alerta: invalide las propiedades predeterminadas de las alertas con contenido de los resultados de la consulta subyacentes. - Exportar e importar reglas de análisis: exporte las reglas de análisis a Azure Resource Manager archivos de plantilla (ARM) e importe las reglas de estos archivos. La acción de exportación crea un archivo JSON en la ubicación de descargas del explorador, que luego puede cambiar el nombre, mover y controlar como cualquier otro archivo. - Creación de reglas de análisis de detección casi en tiempo real (NRT): cree reglas de análisis casi en tiempo real para la detección de amenazas inmediata. Este tipo de regla se diseñó para tener una alta capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia. - Trabajar con reglas de análisis de detección de anomalías: trabaje con plantillas de anomalías integradas que usan miles de orígenes de datos y millones de eventos, o bien cambie los umbrales y parámetros de las anomalías dentro de la interfaz de usuario. - Administrar versiones de plantilla para las reglas de análisis programadas: realice un seguimiento de las versiones de las plantillas de reglas de análisis y revierta las reglas activas a las versiones de plantilla existentes o actualícelas a otras nuevas. - Controlar el retraso de ingesta en las reglas de análisis programadas: obtenga información sobre cómo el retraso de ingesta podría afectar a las reglas de análisis programadas y cómo puede corregirlas para cubrir estas brechas. |
| Configuración de reglas de automatización | Crear reglas de automatización. Defina los desencadenadores y condiciones que determinan cuándo se ejecuta la regla de automatización , las distintas acciones que puede hacer que la regla realice y las características y funcionalidades restantes. |
| Configuración de cuadernos de estrategias | Un cuaderno de estrategias es una colección de acciones de corrección que se ejecutan desde Microsoft Sentinel como rutina, para ayudar a automatizar y orquestar la respuesta a amenazas. Para configurar cuadernos de estrategias: - Revisión de los cuadernos de estrategias recomendados - Crear cuadernos de estrategias a partir de plantillas: una plantilla de cuaderno de estrategias es un flujo de trabajo precompilado, probado y listo para usar que se puede personalizar para satisfacer sus necesidades. Las plantillas también pueden servir de referencia para los procedimientos recomendados al desarrollar cuadernos de estrategias desde cero o como inspiración para nuevos escenarios de automatización. - Revise estos pasos para crear un cuaderno de estrategias. |
| Configuración de libros |
Los libros proporcionan un lienzo flexible para el análisis de datos y la creación de informes visuales enriquecidos dentro de Microsoft Sentinel. Las plantillas de libro le permiten obtener rápidamente información sobre los datos en cuanto se conecta un origen de datos. Para configurar libros: - Revisión de los libros de Microsoft Sentinel usados habitualmente - Uso de plantillas de libro existentes disponibles con soluciones empaquetadas - Creación de libros personalizados en los datos |
| Configuración de listas de reproducción |
Las listas de seguimiento le permiten correlacionar los datos de un origen de datos que proporciona con los eventos del entorno de Microsoft Sentinel. Para configurar listas de reproducción: - Creación de listas de reproducción - Compilación de consultas o reglas de detección con listas de seguimiento: consulte los datos de cualquier tabla con los datos de una lista de seguimiento tratando la lista de seguimiento como una tabla para combinaciones y búsquedas. Al crear una lista de reproducción, se define SearchKey. La clave de búsqueda es el nombre de una columna de la lista de reproducción que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. |
Pasos siguientes
En este artículo, ha aprendido a configurar los diferentes tipos de contenido de seguridad de Microsoft Sentinel.