Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel está disponible en el portal de Microsoft Defender con Microsoft Defender XDR o por sí solo. Ofrece una experiencia unificada en SIEM y XDR para una detección y respuesta de amenazas más rápidas y precisas, flujos de trabajo más sencillos y una mejor eficiencia operativa.
En este artículo se explica cómo realizar la transición de la experiencia de Microsoft Sentinel desde Azure Portal al portal de Defender. Si usa Microsoft Sentinel en Azure Portal, realice la transición a Microsoft Defender para operaciones de seguridad unificadas y las características más recientes. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender o vea nuestra lista de reproducción de YouTube.
Prerrequisitos
Antes de empezar, tenga en cuenta lo siguiente:
- Este artículo es para los clientes con un área de trabajo existente habilitada para Microsoft Sentinel que quieran realizar la transición de su experiencia de Microsoft Sentinel al portal de Defender. Si es un cliente nuevo, consulte Implementación para operaciones de seguridad unificadas en el portal de Defender para obtener información sobre cómo crear un área de trabajo para Microsoft Sentinel en el portal de Defender.
- Cuando sea pertinente, los requisitos previos detallados se encuentran en los artículos vinculados de cada paso.
- Algunas características de Microsoft Sentinel tienen nuevas ubicaciones en el portal de Defender. Para obtener más información, consulte Referencia rápida.
Planeamiento y configuración del entorno de transición
Audiencia: arquitectos de seguridad
Vídeos:
- Incorporación de un área de trabajo de Microsoft Sentinel en Microsoft Defender
- Administración de RBAC unificado en Microsoft Defender
Revisión de la guía de planeación, requisitos previos completos e incorporación
Revise todas las instrucciones de planeación y finalice todos los requisitos previos antes de incorporar el área de trabajo al portal de Defender. Para obtener más información, consulte los artículos siguientes:
Planear las operaciones de seguridad unificadas en el portal de Defender
Implemente operaciones de seguridad unificadas en el portal de Defender. Aunque este artículo es para clientes nuevos que aún no tienen un área de trabajo para Microsoft Sentinel u otros servicios incorporados al portal de Defender, úselo como referencia si va a pasar al portal de Defender.
Conecte Microsoft Sentinel al portal de Defender. En este artículo se enumeran los requisitos previos para incorporar el área de trabajo al portal de Defender. Si tiene previsto usar Microsoft Sentinel sin XDR de Defender, debe realizar un paso adicional para desencadenar la conexión entre Microsoft Sentinel y el portal de Defender.
Revisión de las diferencias para el almacenamiento de datos y la privacidad
Al usar Azure Portal, se aplican las directivas de Microsoft Sentinel para el almacenamiento de datos, el proceso, la retención y el uso compartido. Al usar el portal de Defender, las directivas XDR de Microsoft Defender se aplican en su lugar, incluso cuando se trabaja con datos de Microsoft Sentinel.
En la tabla siguiente se proporcionan detalles y vínculos adicionales para poder comparar experiencias en los portales de Azure y Defender.
| Área de soporte técnico | Portal de Azure | Portal de Defender |
|---|---|---|
| BCDR | Los clientes son responsables de replicar sus datos | Microsoft Defender usa la automatización para BCDR en paneles de control. |
| Procesamiento y almacenamiento de datos |
-
Ubicación de almacenamiento de datos - Regiones admitidas |
Ubicación de almacenamiento de datos |
| Retención de datos | Retención de datos | Retención de datos |
| Uso compartido de datos | Uso compartido de datos | Uso compartido de datos |
Para obtener más información, consulte:
- Disponibilidad geográfica y residencia de datos en Microsoft Sentinel
- Seguridad y retención de datos en XDR de Microsoft Defender
Configuración de varias áreas de trabajo y administración multiinquilino
Defender admite uno o más espacios de trabajo en múltiples inquilinos a través del portal multiinquilino, que actúa como un lugar centralizado para gestionar de forma centralizada incidentes y alertas, buscar amenazas entre inquilinos y permitir que los proveedores de servicios de seguridad gestionados (MSSP) visualicen los datos de todos los clientes.
En escenarios de varias áreas de trabajo, el portal multiinquilino le permite conectar un área de trabajo principal y varias áreas de trabajo secundarias por inquilino. Incorpore cada área de trabajo al portal de Defender por separado para cada cliente, tal como se hace con la incorporación de un solo cliente.
Para obtener más información, consulte:
Configuración de la administración multiinquilino de Microsoft Defender
Documentación de Azure Lighthouse. Azure Lighthouse permite usar datos de Microsoft Sentinel de otros arrendatarios en espacios de trabajo integrados. Por ejemplo, puede ejecutar consultas entre áreas de trabajo con el
workspace()operador en Reglas avanzadas de búsqueda y análisis.Microsoft Entra B2B. Microsoft Entra B2B le permite acceder a los datos entre inquilinos. GDAP no es compatible con los datos de Microsoft Sentinel.
Configuración y revisión de la configuración y el contenido
Audiencia: ingenieros de seguridad
Vídeo: Administración de conectores en Microsoft Defender
Confirmar y configurar la recopilación de datos
Cuando Microsoft Sentinel se integra con Microsoft Defender, la arquitectura fundamental de la recopilación de datos y el flujo de telemetría permanece intacto. Los conectores existentes que se configuraron en Microsoft Sentinel, ya sean para productos de Microsoft Defender u otros orígenes de datos, sigan funcionando sin interrupción.
Desde una perspectiva de Log Analytics, la integración de Microsoft Sentinel en Microsoft Defender no presenta ningún cambio en la canalización de ingesta subyacente o el esquema de datos. A pesar de la unificación de front-end, el back-end de Microsoft Sentinel permanece totalmente integrado con Log Analytics para el almacenamiento de datos, la búsqueda y la correlación.
Integración con Microsoft Defender for Cloud
- Si usa el conector de datos basado en inquilinos para Defender for Cloud, asegúrese de tomar medidas para evitar eventos y alertas duplicados.
- Si usa el conector heredado basado en suscripciones, asegúrese de no sincronizar incidentes y alertas con Microsoft Defender.
Para obtener más información, consulte Alertas e incidentes en Microsoft Defender.
Visibilidad del conector de datos en el portal de Defender
Después de incorporar el área de trabajo a Defender, los siguientes conectores de datos se usan para operaciones de seguridad unificadas y no se muestran en la página Conectores de datos del portal de Defender:
- Microsoft Defender para aplicaciones en la nube
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity
- Microsoft Defender para Office 365 (versión preliminar)
- Microsoft Defender XDR
- Microsoft Defender for Cloud basado en suscripciones (heredado)
- Microsoft Defender for Cloud basado en inquilinos (versión preliminar)
Estos conectores de datos siguen apareciendo en Microsoft Sentinel en Azure Portal.
Configuración del ecosistema
Aunque el Administrador de áreas de trabajo de Microsoft Sentinel no está disponible en el portal de Defender, use una de las siguientes funcionalidades alternativas para distribuir contenido como código entre áreas de trabajo:
Implemente contenido como código desde el repositorio (versión preliminar pública). Use archivos YAML o JSON en GitHub o Azure DevOps para administrar e implementar configuraciones en Microsoft Sentinel y Defender mediante flujos de trabajo unificados de CI/CD.
Portal multiinquilino. El portal multiinquilino de Microsoft Defender admite la administración y distribución de contenido entre varios inquilinos.
De lo contrario, siga implementando paquetes de solución que incluyan varios tipos de contenido de seguridad desde el centro de contenido en el portal de Defender. Para obtener más información, consulte Detección y administración del contenido preconfigurado de Microsoft Sentinel.
Configuración de reglas de análisis
Las reglas de análisis de Microsoft Sentinel están disponibles en el portal de Defender para la detección, la configuración y la administración. Las funcionalidades de las reglas de análisis siguen siendo las mismas, incluida la creación, actualización y administración a través del asistente, repositorios y la API de Microsoft Sentinel. La correlación de incidentes y la detección de ataques de varias fases también siguen funcionando en el portal de Defender. La funcionalidad de correlación de alertas administrada por la regla de análisis de Fusion en Azure Portal se controla mediante el motor XDR de Defender en el portal de Defender, que consolida todas las señales en un solo lugar.
Al pasar al portal de Defender, es importante tener en cuenta los siguientes cambios:
| Característica | Descripción |
|---|---|
| Reglas de detección personalizada | Si tiene casos de uso de detección que implican datos de Defender XDR y Microsoft Sentinel, donde no es necesario conservar los datos de XDR de Defender durante más de 30 días, se recomienda crear reglas de detección personalizadas que consulten datos de tablas XDR de Microsoft Sentinel y Defender. Esto es compatible sin necesidad de incorporar datos de Defender XDR en Microsoft Sentinel. Para obtener más información, consulte Uso de funciones personalizadas de Microsoft Sentinel en búsqueda avanzada en Microsoft Defender. |
| Correlación de alertas | En el portal de Defender, las correlaciones se aplican automáticamente a las alertas contra los datos de Microsoft Defender y los datos de terceros ingeridos desde Microsoft Sentinel, independientemente de los escenarios de alerta. Los criterios que se usan para correlacionar las alertas en un único incidente forman parte de la lógica de correlación interna propietaria del portal de Defender. Para obtener más información, consulte Correlación de alertas y combinación de incidentes en el portal de Defender. |
| Agrupación de alertas y combinación de incidentes | Aunque seguirá viendo la configuración de agrupación de alertas en reglas de Análisis, el motor de correlación XDR de Defender controla completamente la agrupación de alertas y la combinación de incidentes cuando sea necesario en el portal de Defender. Esto garantiza una visión completa de la historia de ataque mediante la integración de alertas pertinentes para ataques multinivel. Por ejemplo, varias reglas de análisis individuales configuradas para generar un incidente para cada alerta pueden dar lugar a incidentes combinados si coinciden con la lógica de correlación de XDR de Defender. |
| Visibilidad de alertas | Si solo tiene reglas de análisis de Microsoft Sentinel configuradas para desencadenar alertas, con la creación de incidentes desactivada, estas alertas no son visibles en el portal de Defender. Sin embargo, aunque el editor de consultas de búsqueda avanzada no reconoce el SecurityAlerts esquema de tabla, todavía puede usar la tabla en consultas y reglas de análisis. |
| Optimización de alertas | Una vez que el área de trabajo de Microsoft Sentinel se incorpora a Defender, todos los incidentes, incluidos los de las reglas de análisis de Microsoft Sentinel, los genera el motor XDR de Defender. Como resultado, las funcionalidades de optimización de alertas en el portal de Defender, que anteriormente solo estaban disponibles para las alertas de XDR de Defender, ahora se pueden aplicar a las alertas de Microsoft Sentinel. Esta característica le permite simplificar la respuesta a incidentes mediante la automatización de la resolución de alertas comunes, la reducción de falsos positivos y la minimización del ruido, por lo que los analistas pueden priorizar incidentes de seguridad significativos. |
| Fusión: detección avanzada de ataques de múltiples estados | La regla de análisis de Fusion, que en Azure Portal, crea incidentes basados en correlaciones de alertas realizadas por el motor de correlación de Fusion, se deshabilita al incorporar Microsoft Sentinel al portal de Defender. No se pierde la funcionalidad de correlación de alertas porque el portal de Defender usa las funcionalidades de creación y correlación de incidentes de Microsoft Defender XDR para reemplazar las del motor de Fusion. Para obtener más información, consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel |
Configuración de reglas de automatización y cuadernos de estrategias
En Microsoft Sentinel, los cuadernos de estrategias se basan en flujos de trabajo integrados en Azure Logic Apps, un servicio en la nube que le ayuda a programar, automatizar y organizar tareas y flujos de trabajo en todos los sistemas de toda la empresa.
Las siguientes limitaciones se aplican a las reglas y cuadernos de estrategias de automatización de Microsoft Sentinel al trabajar en el portal de Defender. Es posible que tenga que realizar algunos cambios en el entorno al realizar la transición.
| Funcionalidad | Descripción |
|---|---|
| Reglas de automatización con desencadenadores de alertas | En el portal de Defender, las reglas de automatización con desencadenadores de alerta solo actúan en alertas de Microsoft Sentinel. Para obtener más información, consulte Desencadenador de creación de alertas. |
| Reglas de automatización con desencadenadores de incidentes | Tanto en Azure Portal como en el portal de Defender, se quita la propiedad de condición del proveedor de incidentes, ya que todos los incidentes tienen Microsoft XDR como proveedor de incidentes (el valor en el campo ProviderName ). En ese punto, las reglas de automatización existentes se ejecutan tanto en incidentes de Microsoft Sentinel como de XDR de Microsoft Defender, incluidos aquellos en los que la condición del proveedor de incidentes se establece en solo Microsoft Sentinel o Microsoft 365 Defender. Sin embargo, las reglas de automatización que especifican un nombre de regla de análisis específico solo se ejecutan en incidentes que contienen alertas creadas por la regla de análisis especificada. Esto significa que puede definir la propiedad de condición de nombre de regla analítica en una regla de análisis que solo existe en Microsoft Sentinel para limitar la regla a ejecutarse solo en incidentes en Microsoft Sentinel. Para obtener más información, consulte Condiciones del desencadenador de incidentes. |
| Latencia en desencadenadores de cuadernos de estrategias | Los incidentes de Microsoft Defender pueden tardar hasta 5 minutos en aparecer en Microsoft Sentinel. Si se presenta este retraso, también se retrasará el desencadenador del cuaderno de estrategias. |
| Cambios en los nombres de incidentes existentes | El portal de Defender usa un motor único para correlacionar incidentes y alertas. Al incorporar el área de trabajo al portal de Defender, es posible que se cambien los nombres de incidentes existentes si se aplica la correlación. Para asegurarse de que las reglas de automatización siempre se ejecutan correctamente, se recomienda evitar usar títulos de incidentes como criterios de condición en las reglas de automatización y sugerir en su lugar que usen el nombre de cualquier regla de análisis que haya creado alertas incluidas en el incidente y etiquetas si se requiere más especificidad. |
| campo Actualizado por | Para obtener más información, consulte Desencadenador de actualización de incidentes. |
| Reglas de automatización que agregan tareas de incidentes | Si una regla de automatización agrega una tarea de incidentes, la tarea solo se muestra en Azure Portal. |
| Creación de reglas de automatización directamente desde un incidente | La creación de reglas de automatización directamente desde un incidente solo se admite en Azure Portal. Si está trabajando en el portal de Defender, cree las reglas de automatización desde cero en la página de Automatización. |
| Reglas de creación de incidentes de Microsoft | Las reglas de creación de incidentes de Microsoft no se admiten en el portal de Defender. Para obtener más información, consulte Incidentes de XDR de Microsoft Defender y reglas de creación de incidentes de Microsoft. |
| Ejecución de reglas de automatización desde el portal de Defender | Podrían pasar hasta 10 minutos desde el momento en que se desencadene una alerta y se cree o actualice un incidente en el portal de Defender hasta cuando se ejecute una regla de automatización. Este retraso temporal se debe a que el incidente se crea en el portal de Defender y, a continuación, se reenvía a Microsoft Sentinel para la regla de automatización. |
| Pestaña de cuadernos de estrategias activos | Después de la incorporación al portal de Defender, de forma predeterminada, la pestaña Cuadernos de estrategias activos muestra un filtro predefinido con la suscripción del área de trabajo incorporada. En Azure Portal, agregue datos para otras suscripciones mediante el filtro de suscripción. Para obtener más información, consulte Crear y personalizar playbooks de Microsoft Sentinel a partir de plantillas. |
| Ejecución manual de cuadernos de estrategias a petición | Actualmente no se admiten los procedimientos siguientes en el portal de Defender: |
| Ejecutar cuadernos de estrategias en incidentes requiere de la sincronización de Microsoft Sentinel | Si intenta ejecutar un cuaderno de estrategias en un incidente desde el portal de Defender y ve el mensaje "No se puede acceder a los datos relacionados con esta acción. Actualice la pantalla en unos minutos". El mensaje significa que el incidente aún no está sincronizado con Microsoft Sentinel. Actualice la página del incidente después de sincronizarlo para ejecutar el cuaderno de estrategias correctamente. |
|
Incidentes: Agregar alertas a incidentes/ Eliminación de alertas de incidentes |
Dado que no se admite la adición de alertas o la eliminación de alertas de incidentes después de incorporar el área de trabajo al portal de Defender, estas acciones tampoco se admiten desde los cuadernos de estrategias. Para obtener más información, consulte Descripción de cómo se correlacionan las alertas y los incidentes se combinan en el portal de Defender. |
| Integración de XDR de Microsoft Defender en varias áreas de trabajo | Si ha integrado datos de XDR con más de un área de trabajo en un único inquilino, ahora los datos solo se procesarán en el área de trabajo principal en el portal Defender. Transfiera reglas de automatización al área de trabajo pertinente para mantenerlos en ejecución. |
| Automatización y el motor de correlación | El motor de correlación puede combinar alertas de varias señales en un único incidente, lo que podría dar lugar a la automatización de la recepción de datos que no esperaba. Se recomienda revisar las reglas de automatización para asegurarse de que ve los resultados esperados. |
Configuración de las API
La experiencia unificada en el portal de Defender presenta cambios importantes en incidentes y alertas de las API. Admite llamadas API basadas en la API rest de Microsoft Graph v1.0, que se puede usar para la automatización relacionada con alertas, incidentes, búsqueda avanzada, etc.
La API de Microsoft Sentinel sigue admitiendo acciones en recursos de Microsoft Sentinel, como reglas de análisis, reglas de automatización y mucho más. Para interactuar con incidentes y alertas unificados, se recomienda usar la API rest de Microsoft Graph.
Si usa la API de Microsoft Sentinel SecurityInsights para interactuar con incidentes de Microsoft Sentinel, es posible que tenga que actualizar las condiciones de automatización y desencadenar criterios debido a cambios en el cuerpo de la respuesta.
En la tabla siguiente se enumeran los campos que son importantes en los fragmentos de código de respuesta y los compara en los portales de Azure y Defender:
| Funcionalidad | Portal de Azure | Portal de Defender |
|---|---|---|
| Vínculo al incidente |
incidentUrl: dirección URL directa al incidente en el portal de Microsoft Sentinel. |
providerIncidentUrl : este campo adicional proporciona un vínculo directo con el incidente, que se puede usar para sincronizar esta información con un sistema de gestión de tickets de terceros, como ServiceNow. incidentUrl sigue estando disponible, pero apunta al portal de Microsoft Sentinel. |
| Orígenes que desencadenaron la detección y publicaron la alerta | alertProductNames |
alertProductNames: requiere agregar ?$expand=alerts a GET. Por ejemplo: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Nombre del proveedor de alertas |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Servicio o producto que creó la alerta | No existe en Azure Portal | serviceSource Por ejemplo, "microsoftDefenderForCloudApps" |
| Tecnología o sensor de detección que identificó el componente o la actividad importantes | No existe en Azure Portal |
detectionSource Por ejemplo, "cloudAppSecurity" |
| Nombre del producto que publicó esta alerta | No existe en Azure Portal |
productName Por ejemplo, "Microsoft Defender for Cloud Apps" |
Ejecución de operaciones en el portal de Defender
Audiencia: Analistas de seguridad
Vídeos:
- Detección y administración del contenido y la inteligencia sobre amenazas de Microsoft Sentinel en Microsoft Defender
- Crear automatización y cuadernos en Microsoft Defender
- Correlación de alertas en Microsoft Defender
- Investigación de incidentes en Microsoft Defender
- Administración de casos en Microsft Defender
- Búsqueda avanzada en Microsoft Defender
- Optimizaciones de SOC en Microsoft Defender
Actualización de los procesos de evaluación de incidentes para el portal de Defender
Si ha usado Microsoft Sentinel en Azure Portal, observará importantes mejoras en la experiencia del usuario en el portal de Defender. Aunque es posible que tenga que actualizar los procesos de SOC y volver a entrenar a los analistas, el diseño consolida toda la información relevante en un solo lugar para proporcionar flujos de trabajo más optimizados y eficientes.
La cola de incidentes unificada en el portal de Defender consolida todos los incidentes en todos los productos en una sola vista, lo que afecta a cómo los analistas evalúan los incidentes que ahora contienen varias alertas de dominio entre seguridad. Por ejemplo:
- Tradicionalmente, los analistas clasifican los incidentes según dominios de seguridad o experiencia específicos, a menudo gestionando tickets por entidad, como un usuario o host. Este enfoque puede crear puntos ciegos, que la experiencia unificada pretende abordar.
- Cuando un atacante se mueve lateralmente, las alertas relacionadas podrían acabar en incidentes independientes debido a dominios de seguridad diferentes. La experiencia unificada elimina este problema al proporcionar una vista completa, lo que garantiza que todas las alertas relacionadas se correlacionan y administran de forma conjunta.
Los analistas también pueden ver los orígenes de detección y los nombres de producto en el portal de Defender, y aplicar y compartir filtros para evaluar incidentes y alertas más eficaces.
El proceso de evaluación unificada puede ayudar a reducir las cargas de trabajo de analista e incluso combinar potencialmente los roles de analistas de nivel 1 y 2. Sin embargo, el proceso de evaluación unificada de prioridades también puede requerir conocimientos más amplios y más profundos de analistas. Se recomienda entrenar en la nueva interfaz del portal para garantizar una transición sin problemas.
Para obtener más información, consulte Incidentes y alertas en el portal de Microsoft Defender.
Comprender cómo se correlacionan las alertas y los incidentes se combinan en el portal de Defender.
El motor de correlación de Defender combina incidentes cuando reconoce elementos comunes entre alertas en incidentes independientes. Cuando una nueva alerta cumple los criterios de correlación, Microsoft Defender agrega y la correlaciona con otras alertas relacionadas de todos los orígenes de detección en un nuevo incidente. Después de incorporar Microsoft Sentinel al portal de Defender, la cola de incidentes unificada revela un ataque más completo, lo que hace que los analistas sean más eficaces y proporcionen una historia de ataque completa.
En escenarios de varias áreas de trabajo, solo las alertas de un área de trabajo principal se correlacionan con los datos XDR de Microsoft Defender. También hay escenarios específicos en los que los incidentes no se combinan.
Después de incorporar Microsoft Sentinel al portal de Defender, los siguientes cambios se aplican a incidentes y alertas:
| Característica | Descripción |
|---|---|
| Retraso justo después de incorporar el área de trabajo | Los incidentes de Microsoft Defender pueden tardar hasta 5 minutos en integrarse completamente con Microsoft Sentinel. Esto no afecta a las características proporcionadas directamente por Microsoft Defender, como la interrupción automática de ataques. |
| Reglas de creación de incidentes de seguridad | Las reglas activas de creación de incidentes de seguridad de Microsoft se desactivan para evitar crear incidentes duplicados. La configuración de creación de incidentes en otros tipos de reglas de análisis permanecen tal como están y se pueden configurar en el portal de Defender. |
| Nombre del proveedor de incidentes | En el portal de Defender, el nombre del proveedor de incidentes siempre es Microsoft XDR. |
| Adición o eliminación de alertas de incidentes | La adición o eliminación de alertas de Microsoft Sentinel a incidentes o de incidentes solo se admite en el portal de Defender. Para quitar una alerta de un incidente en el portal de Defender, debe agregar la alerta a otro incidente. |
| Edición de comentarios | Agregue comentarios a incidentes en Defender o Azure Portal, pero no se admite la edición de comentarios existentes en el portal de Defender. Las modificaciones realizadas en los comentarios en Azure Portal no se sincronizan con el portal de Defender. |
| Creación programática y manual de incidentes | Los incidentes creados en Microsoft Sentinel a través de la API, mediante un cuaderno de estrategias de aplicación lógica o manualmente desde Azure Portal, no se sincronizan con el portal de Defender. Estos incidentes siguen siendo compatibles con Azure Portal y la API. Vea Creación manual de incidentes propios en Microsoft Sentinel. |
| Volver a abrir los incidentes cerrados | En el portal de Defender, no se puede establecer la agrupación de alertas en reglas de análisis de Microsoft Sentinel para volver a abrir incidentes cerrados si se agregan nuevas alertas. Los incidentes cerrados no se vuelven a abrir en este caso y las nuevas alertas desencadenan nuevos incidentes. |
| Tareas | Las tareas de incidente no están disponibles en el portal de Defender. Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel. |
Para obtener más información, consulte Incidentes y alertas en el portal de Microsoft Defender y Correlación de alertas y combinación de incidentes en el portal de Microsoft Defender.
Nota de los cambios para las investigaciones con búsqueda avanzada
Después de incorporar Microsoft Sentinel al portal de Defender, acceda y utilice todas las consultas y funciones existentes del Lenguaje de Consulta Kusto (KQL) en la página Búsqueda avanzada.
Existen algunas diferencias, como:
- Los marcadores no se admiten en la búsqueda avanzada. En su lugar, los marcadores se admiten en el portal de Defender bajo Microsoft Sentinel > Gestión de amenazas > Hunting.
- Aunque la tabla SecurityAlert no aparece en la lista de tablas Búsqueda avanzada de amenazas>Esquema, todavía se admite en las consultas.
Para obtener más información, consulte Búsqueda avanzada con datos de Microsoft Sentinel en Microsoft Defender, especialmente la lista de problemas conocidos y Seguimiento de los datos durante la búsqueda con Microsoft Sentinel.
Investigación con entidades en el portal de Defender
En el portal de Microsoft Defender, las entidades suelen ser activos, como cuentas, hosts o buzones, o evidencias, como direcciones IP, archivos o direcciones URL.
Después de incorporar Microsoft Sentinel al portal de Defender, las páginas de entidad de los usuarios, los dispositivos y las direcciones IP se consolidan en una sola vista con una vista completa de la actividad y el contexto de la entidad y los datos de Microsoft Sentinel y XDR de Microsoft Defender.
El portal de Defender también proporciona una barra de búsqueda global que centraliza los resultados de todas las entidades para que pueda buscar en SIEM y XDR.
Para obtener más información, consulte Páginas de entidades en Microsoft Sentinel.
Investigación con UEBA en el portal de Defender
La mayoría de las funcionalidades de Análisis de comportamiento de usuarios y entidades (UEBA) permanecen iguales en el portal de Defender que estaban en Azure Portal, con las siguientes excepciones:
La incorporación de entidades a la inteligencia de amenazas a partir de incidentes solo está disponible en el portal de Azure. Para obtener más información, consulte Agregar entidad a los indicadores de amenazas.
Después de incorporar Microsoft Sentinel al portal de Defender, la
IdentityInfotabla que se usa en el portal de Defender incluye campos unificados de Defender XDR y Microsoft Sentinel. Algunos campos que existían cuando se usaban en Azure Portal se cambian de nombre en el portal de Defender o no se admiten en absoluto. Recomendamos que compruebe si las consultas contienen referencias a estos campos y que las actualice según sea necesario. Para obtener más información, vea Tabla IdentityInfo.
Actualizar los procesos de investigación para usar la inteligencia sobre amenazas de Microsoft Defender
Para los clientes de Microsoft Sentinel que pasan de Azure Portal al portal de Defender, las características conocidas de inteligencia sobre amenazas se conservan en el portal de Defender en administración de Intel y se mejoran con otras características de inteligencia sobre amenazas disponibles en el portal de Defender. Las características admitidas dependen de las licencias que tenga, como:
| Característica | Descripción |
|---|---|
| Análisis de amenazas | Soportado para los clientes de Microsoft Defender XDR. Una solución en el producto proporcionada por los investigadores de seguridad de Microsoft, diseñada para ayudar a los equipos de seguridad ofreciendo información sobre las amenazas emergentes, las amenazas activas y sus impactos. Los datos se presentan en un panel intuitivo con tarjetas, filas de datos, filtros y mucho más. |
| Perfiles de Intel | Compatible con los clientes de Inteligencia sobre amenazas de Microsoft Defender . Clasifique amenazas y comportamientos por un perfil de actor de amenazas, lo que facilita el seguimiento y la correlación. Estos perfiles incluyen cualquier indicador de riesgo (IoC) relacionado con tácticas, técnicas y herramientas usadas en ataques. |
| Explorador intel | Compatible con los clientes de Inteligencia sobre amenazas de Microsoft Defender . Consolida las IoCs disponibles y proporciona artículos relacionados con amenazas a medida que se publican, lo que permite a los equipos de seguridad mantenerse actualizados sobre las amenazas emergentes. |
| Proyectos de Intel | Compatible con los clientes de Inteligencia sobre amenazas de Microsoft Defender . Permite a los equipos consolidar la inteligencia sobre amenazas en un "proyecto" para revisar todos los artefactos relacionados con un escenario específico de interés. |
En el portal de Defender, use ThreatIntelOjbects y ThreatIntelIndicators junto con Indicadores de Compromiso para la búsqueda de amenazas, la respuesta a incidentes, Copilot, los informes y para crear gráficos relacionales que muestren conexiones entre indicadores y entidades.
Para los clientes que usan la fuente de Inteligencia sobre amenazas de Microsoft Defender (MDTI), hay disponible una versión gratuita a través del conector de datos de Microsoft Sentinel para MDTI. Los usuarios con licencias de MDTI también pueden ingerir datos MDTI y usar Security Copilot para el análisis de amenazas, la revisión activa de amenazas y la investigación sobre actores de amenazas.
Para obtener más información, consulte:
- Administración de amenazas
- Análisis de amenazas en XDR de Microsoft Defender
- Uso de proyectos
- Inteligencia sobre amenazas en Microsoft Sentinel
Usar libros de trabajo para visualizar e informar sobre los datos de Microsoft Defender
Los workbooks de Azure siguen siendo la herramienta principal para la visualización e interacción de datos en el portal de Defender, funcionando como lo hacían en el portal de Azure.
Para usar libros con datos de búsqueda avanzada, asegúrese de ingerir registros en Microsoft Sentinel. Mientras que los libros de trabajo le mantienen en el portal de Defender, los botones o vínculos programados para abrir páginas o recursos en el portal de Azure continúan abriéndose en una pestaña independiente para dicho portal.
Para obtener más información, consulte Visualizar y supervisar sus datos usando libros de trabajo en Microsoft Sentinel.
Contenido relacionado
- Lo mejor de Microsoft Sentinel: ahora en Microsoft Defender (blog)
- Vea el seminario web: Transición a la plataforma de SOC unificada: análisis profundo e interactivo de Q&A para profesionales de SOC.
- Consulte las preguntas más frecuentes en el blog de TechCommunity o en el Centro de comunidad de Microsoft.