Ingesta de alertas de Microsoft Defender for Cloud en Microsoft Sentinel
Las protecciones de cargas de trabajo en la nube integradas de Microsoft Defender for Cloud permiten detectar las amenazas entre cargas de trabajo híbridas y de varias nubes, y responder rápidamente a ellas.
Este conector le permite realizar la ingesta de alertas de seguridad de Defender for Cloud en Microsoft Sentinel, para que pueda ver y analizar estas alertas, y responder a ellas, así como a los incidentes que generan, en un contexto de amenaza a la organización más amplio.
Como los planes de Defender de Microsoft Defender for Cloud están habilitadas por suscripción, este conector de datos también está habilitado o deshabilitado de forma independiente para cada suscripción.
El nuevo conector de Microsoft Defender for Cloud basado en inquilinos, en versión preliminar, le permite recopilar alertas de Defender for Cloud en todo el inquilino, sin tener que habilitar cada suscripción por separado. También saca provecho de la integración de Defender for Cloud con Microsoft Defender XDR (anteriormente Microsoft 365 Defender) para asegurarse de que todas las alertas de Defender for Cloud estén totalmente incluidas en los incidentes que reciba mediante la integración de incidentes de Microsoft Defender XDR.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Sincronización de alertas
Al conectar Microsoft Defender for Cloud a Microsoft Sentinel, el estado de las alertas de seguridad que se ingieren en Microsoft Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, esa alerta también se mostrará como cerrada en Microsoft Sentinel.
El cambio del estado de una alerta en Defender for Cloud no afectará al estado de los incidentes de Microsoft Sentinel que contienen la alerta de Microsoft Sentinel, sino solo al de la propia alerta.
Sincronización de alertas bidireccional
Al habilitar la sincronización bidireccional, se sincronizará automáticamente el estado de las alertas de seguridad originales con el de los incidentes de Microsoft Sentinel que contienen esas alertas. Por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene una alerta de seguridad, la alerta original correspondiente se cerrará automáticamente en Microsoft Defender for Cloud.
Requisitos previos
Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Debe tener rol de colaborador o propietario en la suscripción que desea conectar a Microsoft Sentinel.
Deberá habilitar al menos un plan en Microsoft Defender for Cloud para cada suscripción en la que quiera habilitar el conector. Para habilitar los planes de Microsoft Defender en una suscripción, debe tener el rol de Administrador de seguridad para esa suscripción.
Necesitará que el proveedor de recursos
SecurityInsightsse registre para cada suscripción en la que quiera habilitar el conector. Revise las instrucciones sobre el estado de registro del proveedor de recursos y las formas de registrarlo.Para habilitar la sincronización bidireccional, debe tener el rol de Colaborador o Administrador de seguridad en la suscripción pertinente.
Instale la solución para Microsoft Defender for Cloud desde el Centro de contenido de Microsoft Sentinel. Para más información, consulte Detección y administración del contenido de serie de Microsoft Sentinel.
Conexión con Microsoft Defender for Cloud
En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.
En la galería de conectores de datos, seleccione Microsoft Defender for Cloud y, a continuación, seleccione Abrir página del conector en el panel de detalles.
En Configuración, verá una lista de las suscripciones del inquilino y el estado de su conexión a Microsoft Defender for Cloud. Seleccione el botón de alternancia Estado situado junto a cada suscripción cuyas alertas quiera transmitir a Microsoft Sentinel. Para conectar varias suscripciones a la vez, marque las casillas situadas junto a las suscripciones pertinentes y, a continuación, seleccione el botón Conectar en la barra situada encima de la lista.
Nota
- Las casillas y los botones de alternancia Conectar solo estarán activos en las suscripciones para las que tenga los permisos necesarios.
- El botón Conectar solo estará activo si se ha marcado al menos una casilla de suscripción.
Para habilitar la sincronización bidireccional en una suscripción, localice esa suscripción en la lista y elija Habilitado en la lista desplegable de la columna Sincronización bidireccional. Para habilitar la sincronización bidireccional en varias suscripciones a la vez, marque sus casillas y seleccione el botón Habilitar sincronización bidireccional en la barra situada encima de la lista.
Nota
- Las casillas y las listas desplegables solo estarán activas en las suscripciones para las que tenga los permisos necesarios.
- El botón Habilitar sincronización bidireccional solo estará activo si se ha marcado al menos una casilla de suscripción.
En la columna Planes de Microsoft Defender de la lista, puede ver si los planes de Microsoft Defender están habilitados en la suscripción (un requisito previo para habilitar el conector). El valor de cada suscripción de esta columna estará en blanco (lo que significa que no hay ningún plan de Defender habilitado), "Todos habilitados" o "Algunos habilitados". Los que indiquen "Algunos habilitados" también tendrán un vínculo Habilitar todo que puede seleccionar, que le llevará al panel de configuración de Microsoft Defender for Cloud de esa suscripción, donde puede elegir los planes de Defender que quiera habilitar. El botón del vínculo Habilitar Microsoft Defender para todas las suscripciones de la barra encima de la lista le llevará a la página de introducción de Microsoft Defender for Cloud, donde puede elegir en qué suscripciones habilitar Microsoft Defender for Cloud por completo.
Puede seleccionar si quiere que las alertas de Microsoft Defender for Cloud generen incidentes automáticamente en Microsoft Sentinel. En Create incidents (Crear incidentes), seleccione Enabled (Habilitado) para activar la regla de análisis predeterminada que crea automáticamente incidentes a partir de alertas. Luego, puede editar esta regla en Análisis, en la pestaña Reglas activas.
Sugerencia
Cuando configure reglas de análisis personalizadas para las alertas de Microsoft Defender for Cloud, tenga en cuenta la gravedad de la alerta para evitar la apertura de incidentes para alertas informativas.
Las alertas informativas de Microsoft Defender for Cloud no representan un riesgo de seguridad por sí mismas y solo son importantes en el contexto de un incidente abierto existente. Para más información, consulte Alertas e incidentes de seguridad en Microsoft Defender for Cloud.
Búsqueda y análisis de los datos
Nota
La sincronización de alertas en ambas direcciones puede tardar varios minutos. Es posible que los cambios en el estado de las alertas no aparezcan inmediatamente.
Las alertas de seguridad se almacenan en la tabla SecurityAlert del área de trabajo de Log Analytics.
Para consultar las alertas de seguridad en Log Analytics, copie lo siguiente en la ventana de consulta como punto de partida:
SecurityAlert | where ProductName == "Azure Security Center"Consulte la pestaña Pasos siguientes en la página del conector para obtener consultas de ejemplo adicionales, plantillas de reglas de análisis y libros recomendados útiles.
Pasos siguientes
En este documento, ha aprendido a conectar Microsoft Defender for Cloud a Microsoft Sentinel y a sincronizar alertas entre ellas. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Aprenda a obtener visibilidad de los datos y de posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Escriba sus propias reglas para detectar amenazas.