Seguimiento de la migración de Microsoft Sentinel con un libro

A medida que el centro de operaciones de seguridad (SOC) de su organización controla cantidades crecientes de datos, es esencial planificar y supervisar el estado de la implementación. Aunque puede realizar un seguimiento del proceso de migración mediante herramientas genéricas como Microsoft Project, Microsoft Excel, Teams o Azure DevOps, estas herramientas no son específicas del seguimiento de la migración de SIEM. Para ayudarle con el seguimiento, proporcionamos un libro dedicado en Microsoft Sentinel denominado Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel).

El libro le ayuda a:

  • Visualizar el progreso de la migración
  • Implementar y hacer un seguimiento de los orígenes de datos
  • Implementar y supervisar las reglas e incidentes de análisis
  • Implementar y usar libros
  • Implementar y realizar la automatización
  • Implementar y personalizar el análisis de comportamiento de usuarios y entidades (U E B A)

En este artículo se describe cómo hacer un seguimiento de la migración con el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), cómo personalizar y administrar el libro y cómo usar las pestañas del libro para implementar y supervisar conectores de datos, análisis, incidentes, cuadernos de estrategias, reglas de automatización, U E B A y administración de datos. Obtenga más información sobre cómo usar los libros de Azure Monitor en Microsoft Sentinel.

Implementación del contenido del libro y visualización del libro

  1. En Azure Portal, seleccione Microsoft Sentinel y, luego, seleccione los libros.
  2. Busque migration en la barra de búsqueda.
  3. En los resultados de la búsqueda, seleccione el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel) y seleccione Guardar. Microsoft Sentinel implementa el libro y guarda el libro en su entorno.
  4. Para ver el libro, seleccione Open saved workbook (Abrir libro guardado).

Implementación de la lista de reproducción

  1. En el repositorio de GitHub de Microsoft Sentinel, seleccione la carpeta DeploymentandMigration y seleccione Implementar en Azure para comenzar la implementación de la plantilla en Azure.
  2. Proporcione el nombre del área de trabajo y el grupo de recursos de Microsoft Sentinel. Captura de pantalla de la implementación de la lista de vigilancia en Azure.
  3. Seleccione Revisar y crear.
  4. Una vez validada la información, seleccione Crear.

Actualización de la lista de reproducción con acciones de implementación y migración

Este paso es fundamental para el proceso de configuración de seguimiento. Si omite este paso, el libro no reflejará los elementos para el seguimiento.

Para actualizar la lista de reproducción con acciones de implementación y migración:

  1. En Azure Portal, seleccione Microsoft Sentinel y, luego, seleccione Lista de reproducción.
  2. Busque la lista de reproducción con el alias Implementación.
  3. Seleccione la lista de reproducción y, a continuación, seleccione Update watchlist (Actualizar lista de reproducción) > edit watchlist items (editar elementos de la lista de reproducción) en la parte inferior derecha. Captura de pantalla de la actualización de elementos de la lista de vigilancia con acciones de implementación y migración.
  4. Proporcione la información de las acciones necesarias para la implementación y la migración y seleccione Guardar.

Ahora puede ver la lista de reproducción en el libro de seguimiento de migración. Obtenga información sobre cómo administrar listas de reproducción.

Además, el equipo puede actualizar o completar tareas durante el proceso de implementación. Para abordar estos cambios, puede actualizar las acciones existentes o agregar nuevas acciones a medida que identifique nuevos casos de uso o establezca nuevos requisitos. Para actualizar o agregar acciones, edite la lista de reproducción Implementación que implementó anteriormente. Para simplificar el proceso, seleccione Edit Deployment Watchlist (Editar lista de reproducción de implementación) en la parte inferior izquierda para abrir la lista de reproducción directamente desde el libro.

Ver el estado de implementación

Para ver rápidamente el progreso de la implementación, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Implementación y desplácese hacia abajo para buscar el resumen del progreso. En esta área se muestra el estado de implementación, incluida la siguiente información:

  • Tablas que notifican datos
  • Número de tablas que notifican datos
  • Número de registros notificados y qué tablas notifican los datos de registro
  • Número de reglas habilitadas frente a reglas no implementadas
  • Libros recomendados implementados
  • Número total de libros implementados
  • Número total de cuadernos de estrategias implementados

Implementación y supervisión de conectores de datos

Para supervisar los recursos implementados e implementar nuevos conectores, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Conectores de datos > Supervisar. La vista Supervisar muestra:

  • Tendencias actuales de ingesta
  • Tablas que ingieren datos
  • Cantidad de datos que notifica cada tabla
  • Puntos de conexión que informan con Microsoft Monitoring Agent (MMA)
  • Puntos de conexión que informan con el Agente de supervisión de Azure (AMA)
  • Puntos de conexión que informan con los agentes MMA y AMA
  • Reglas de recopilación de datos en el grupo de recursos y los dispositivos vinculados a las reglas
  • Estado del conector de datos (cambios y errores)
  • Registros de estado dentro del intervalo de tiempo especificado

Captura de pantalla de la vista de Monitor de la pestaña Conectores de Datos del libro de trabajo.

Para configurar un conector de datos:

  1. Seleccione la vista Configurar.
  2. Seleccione el botón con el nombre del conector que desea configurar.
  3. Configure el conector en la pantalla de estado del conector que se abre. Si no encuentra un conector que necesite, seleccione el nombre del conector para abrir la galería de conectores o la galería de soluciones. Captura de pantalla de la vista de configuración del libro.

Implementación y supervisión de análisis e incidentes

Una vez que se notifican los datos en el área de trabajo, ahora puede configurar y supervisar las reglas de análisis. En el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Analytics para ver todas las plantillas y listas de reglas implementadas. Esta vista indica qué reglas están actualmente en uso y con qué frecuencia las reglas generan incidentes.

Captura de pantalla de la pestaña Analytics del libro.

Si necesita más cobertura, seleccione Review MITRE coverage (Revisar la cobertura de MITRE) debajo de la tabla de la izquierda. Use esta opción para definir qué áreas reciben más cobertura y qué reglas se implementan en cualquier fase del proyecto de migración.

Captura de pantalla de la vista de cobertura de MITRE del libro.

Una vez implementadas las reglas de análisis deseadas y el conector de producto de Defender está configurado para enviar las alertas, puede supervisar la creación y la frecuencia de los incidentes en Deployment > Summary of progress (Implementación > Resumen del progreso). En esta área se muestran métricas relacionadas con la generación de alertas por producto, título y clasificación, para indicar el estado del SOC y qué alertas requieren la mayor atención. Si las alertas generan demasiado volumen, vuelva a la pestaña Analytics para modificar la lógica.

Captura de pantalla del resumen del progreso en la pestaña de análisis del libro.

Implementar y usar libros

Para visualizar información sobre la ingesta de datos y las detecciones que realiza Microsoft Sentinel, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Workbooks. De forma similar a la pestaña Conectores de datos, puede usar las vistas Supervisar y Configurar para ver la información de supervisión y configuración.

Estas son algunas tareas útiles que puede realizar en la pestaña Libros:

  • Para ver una lista de todos los libros del entorno y cuántos libros están implementados, seleccione Supervisar.

  • Para ver un libro específico en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione un libro y, a continuación, seleccione Open Selected Workbook (Abrir libro seleccionado).

    Captura de pantalla de la selección de un libro en la pestaña Libro.

  • Si aún no ha implementado libros, seleccione Configurar para ver una lista de libros usados y recomendados. Si no aparece un libro, seleccione Go to Workbook Gallery (Ir a la galería de libros) o Go to Content Hub (Ir al centro de contenido) para implementar el libro correspondiente.

    Captura de pantalla de la visualización de un libro desde la pestaña Libro.

Implementación y supervisión de cuadernos de estrategias y reglas de automatización

Una vez configurada la ingesta de datos, las detecciones y las visualizaciones, ahora puede examinar la automatización. En el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Automatización para ver los cuadernos de estrategias implementados y para ver qué cuadernos de estrategias están conectados actualmente a una regla de automatización. Si existen reglas de automatización, el libro resalta la siguiente información sobre cada regla:

  • Nombre
  • Status
  • Acción o acciones de la regla
  • Última fecha en que se modificó la regla y el usuario que modificó la regla
  • Fecha en que se creó la regla

Para ver, implementar y probar la automatización en la sección actual del libro, seleccione Deploy automation resources (Implementar recursos de automatización) en la parte inferior izquierda.

Obtenga información sobre las funcionalidades SOAR de Microsoft Sentinel para cuadernos de estrategias y para reglas de automatización.

Captura de pantalla de la pestaña de Automatización del libro.

Implementación y supervisión de U E B A

Dado que los informes y detecciones de datos se producen en el nivel de entidad, es esencial supervisar el comportamiento y las tendencias de las entidades. Para habilitar la característica U E B A en Microsoft Sentinel, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione UEBA. Aquí puede personalizar las escalas de tiempo de la entidad para las páginas de entidad y ver qué tablas relacionadas con la entidad se rellenan con datos.

Captura de pantalla de la pestaña U E B A del libro.

Para habilitar U E B A:

  1. Seleccione Enable UEBA (Habilitar UEBA) encima de la lista de tablas.
  2. Para habilitar U E B A, seleccione On (Activado).
  3. Seleccione los orígenes de datos que desea usar para generar información.
  4. Seleccione Aplicar.

Después de habilitar U E B A, puede supervisar y asegurarse de que Microsoft Sentinel está generando datos de U E B A.

Para personalizar la escala de tiempo:

  1. Seleccione Customize Entity Timeline (Personalizar escala de tiempo de entidad) encima de la lista de tablas.
  2. Cree un elemento personalizado o seleccione una de las plantillas listas para usar.
  3. Para implementar la plantilla y completar el asistente, seleccione Crear.

Obtenga más información sobre U E B A o aprenda a personalizar la escala de tiempo.

Configuración y administración del ciclo de vida de los datos

Al implementar o migrar a Microsoft Sentinel, es esencial administrar el uso y el ciclo de vida de los registros entrantes. Para ayudar con esto, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Administración de datos para ver y configurar la retención y el archivado de tablas.

Captura de pantalla de la pestaña de administración de datos del libro.

Puede ver información sobre:

  • Tablas configuradas para la ingesta de registros básica
  • Tablas configuradas para la ingesta del nivel de análisis
  • Tablas configuradas para archivarse
  • Tablas en la retención del área de trabajo predeterminada

Para modificar la directiva de retención existente para las tablas:

  1. Seleccione la vista Default Retention Tables (Tablas de retención predeterminadas).
  2. Seleccione la tabla que desea modificar y seleccione Update Retention (Actualizar retención). Puede editar la siguiente información:
    • Retención actual en el área de trabajo
    • Retención actual en el archivo
    • Número total de días que los datos residirán en el entorno
  3. Edite el valor TotalRetention para establecer un nuevo número total de días en que los datos deben existir dentro del entorno.

El valor ArchiveRetention se calcula restando el valor TotalRetention del valor InteractiveRetention. Si necesita ajustar la retención del área de trabajo, el cambio no afecta a las tablas que incluyen archivos configurados y los datos no se pierden. Si edita el valor InteractiveRetention y el valor TotalRetention no cambia, Azure Log Analytics ajusta la retención de archivo para compensar el cambio.

Si prefiere realizar cambios en la interfaz de usuario, seleccione Update Retention in UI (Actualizar retención en la interfaz de usuario) para abrir la hoja correspondiente.

Obtenga información sobre la administración del ciclo de vida de los datos.

Habilitación de sugerencias e instrucciones de migración

Para ayudar con el proceso de implementación y migración, el libro incluye sugerencias que explican cómo usar las distintas pestañas y vínculos a los recursos pertinentes. Las sugerencias se basan en la documentación de migración de Microsoft Sentinel y son relevantes para su SIEM actual. Para habilitar sugerencias e instrucciones, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), en la parte superior derecha, establezca MigrationTips e Instrucción en .

Captura de pantalla de los consejos e instrucciones de migración del libro.

Pasos siguientes

En este artículo, ha aprendido a realizar un seguimiento de la migración con el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel).