Auditoría y seguimiento de estado en Microsoft Sentinel

Microsoft Sentinel es un servicio crítico para avanzar y proteger la seguridad de los recursos tecnológicos e informativos de su organización, por lo que querrá asegurarse de que siempre se esté ejecutando sin problemas y sin interferencias. Querrá poder asegurarse de que las muchas partes móviles del servicio siempre funcionan según lo previsto y que el servicio no está manipulando mediante acciones no autorizadas, ya sea por usuarios internos o de otro modo. También puede configurar notificaciones de desfases de estado o acciones no autorizadas para enviarse a las partes interesadas competentes que puedan responder o aprobar una respuesta. Por ejemplo, puede configurar condiciones para desencadenar el envío de correos electrónicos o mensajes de Microsoft Teams a los equipos de operaciones, administradores o responsables, iniciar nuevos vales en el sistema de control de vales, etc.

En este artículo, se describe cómo las características de auditoría y el seguimiento de estado de Microsoft Sentinel permiten supervisar la actividad de algunos de los recursos clave del servicio e inspeccionar los registros de acciones de usuario dentro del servicio.

Descripción

En esta sección, se describen la función y los casos de uso de los componentes del seguimiento de estado y la auditoría.

Almacenamiento de datos

Los datos de mantenimiento y auditoría se recopilan en dos tablas del área de trabajo de Log Analytics:

• Los datos de estado se recopilan en la tabla SentinelHealth.
• Los datos de auditoría se recopilan en la tabla SentinelAudit.

La forma habitual de usar estos datos consiste en consultar estas tablas.

Para obtener los mejores resultados, debe crear las consultas en las funciones pregeneradas en estas tablas, _SentinelHealth() y _SentinelAudit(), en lugar de consultar las tablas directamente. Estas funciones garantizan el mantenimiento de la compatibilidad con versiones anteriores de las consultas en caso de que se realicen cambios en el esquema de las propias tablas.

Importante

• Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

• Al supervisar el estado de los cuadernos de estrategias, también deberá capturar eventos de diagnóstico de Azure Logic Apps de dichos cuadernos, así como los datos de SentinelHealth, para obtener una visión global de la actividad del cuaderno de estrategias. Los datos de diagnóstico de Azure Logic Apps se recopilan en la tabla AzureDiagnostics del área de trabajo.

Casos de uso

Sanidad

¿El conector de datos se ejecuta correctamente?

¿El conector de datos recibe datos? Por ejemplo, si ha indicado a Microsoft Sentinel que ejecute una consulta cada cinco minutos, le interesa comprobar si esa consulta se realiza, qué rendimiento tiene y si hay riesgos o vulnerabilidades relacionados con la consulta.

¿Se ejecutó una regla de automatización según lo previsto?

¿Se ejecutó su regla de automatización cuando se suponía que debía hacerlo, es decir, al cumplirse las condiciones? ¿Se ejecutaron correctamente todas las acciones de la regla de automatización?

¿Se ejecutó una regla de análisis según lo previsto?

¿Se ejecutó su regla de análisis cuando se suponía que debía hacerlo y generó resultados? Si espera ver incidentes concretos en la cola, pero no lo hace, querrá saber si la regla se ejecutó pero no encontró nada (o lo suficiente) o si no se ejecutó en absoluto.

Auditoría

¿Se realizaron cambios no autorizados en una regla de análisis?

¿Se cambió algo en la regla? No ha obtenido los resultados esperados de la regla de análisis y no ha habido ningún problema de mantenimiento. Quiere ver si se realizaron cambios no planeados en la regla y, si es así, qué cambios se realizaron, por quién, desde dónde y cuándo.

Forma en que se presentan los datos de estado y auditoría en Microsoft Sentinel

Para empezar a recopilar datos de estado y auditoría, debe habilitar la supervisión de mantenimiento y auditoría en la configuración de Microsoft Sentinel. A continuación, puede profundizar en los datos de mantenimiento y auditoría que Recopila Microsoft Sentinel:

• Ejecute consultas en las tablas de datos SentinelHealth y SentinelAudit desde la hoja Registros de Microsoft Sentinel.

  • Conectores de datos
  • Reglas de automatización y cuadernos de estrategias (combinación de consultas con diagnósticos de Azure Logic Apps)
  • Reglas de análisis

• Usar los libros de seguimiento de estado y auditoría que se proporcionan en Microsoft Sentinel.

  • Conectores de datos
  • Reglas de automatización y cuadernos de estrategias
  • Reglas de análisis

• Use las herramientas de administración de ejecución de Microsoft Sentinel para supervisar y optimizar la ejecución de las reglas de análisis programadas.

• Exporte los datos a varios destinos, como el área de trabajo de Log Analytics, el archivado en una cuenta de almacenamiento, etc. Obtenga información sobre los destinos admitidos para los registros.

Pasos siguientes

• Active la auditoría y el seguimiento de estado en Microsoft Sentinel.
• Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
• Supervisión del estado de los conectores de datos.
• Supervisión del estado y la integridad de las reglas de análisis.
• Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.

Consulte también:

• ¿Usa la solución de Microsoft Sentinel para SAP? Supervise también su estado.