Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran las actividades operativas que recomendamos que los equipos de operaciones de seguridad (SOC) y los administradores de seguridad planeen y ejecuten como parte de sus actividades de seguridad normales con Microsoft Sentinel. Para obtener más información sobre cómo administrar las operaciones de seguridad, consulte Introducción a las operaciones de seguridad.
Tareas diarias
Programe las siguientes actividades diariamente.
| Tarea | description |
|---|---|
| Evaluación e investigación de incidentes | Revise la página incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas de análisis configuradas actualmente y empiece a investigar los nuevos incidentes. Para más información, vea: |
| Exploración de consultas y marcadores de búsqueda | Explore los resultados de todas las consultas integradas y actualice los marcadores y consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para más información, vea: |
| Reglas de análisis | Revise y habilite las nuevas reglas de análisis según corresponda, incluidas las reglas recién publicadas o recién disponibles de las soluciones implementadas recientemente. Para más información, vea: Supervise el estado y optimice la ejecución de las reglas de análisis. Para más información, vea: |
| Conectores de datos | Revise el estado de mantenimiento de los conectores de datos para asegurarse de que los datos fluyen. Compruebe si hay nuevos conectores y revise la ingesta para asegurarse de que no se superen los límites establecidos. Para obtener más información, consulte Supervisión del estado de los conectores de datos. |
| agente de supervisión de Azure | Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y solucione los problemas y corrija las conexiones con errores. Para obtener más información, consulte Azure Información general del agente de Supervisión. |
| Errores del cuaderno de estrategias | Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, vea Tutorial: Responder a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel. |
Tareas semanales
Programe las siguientes actividades semanalmente.
| Tarea | description |
|---|---|
| Revisión de contenido de soluciones o contenido independiente | Obtenga las actualizaciones de contenido de las soluciones instaladas o el contenido independiente del centro de contenido. Revise nuevas soluciones o contenido independiente que pueda ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias. |
| auditoría de Microsoft Sentinel | Revise Microsoft Sentinel actividad para ver quién actualizó o eliminó recursos, como reglas de análisis, marcadores, etc. Para obtener más información, vea Auditar consultas y actividades de Microsoft Sentinel. |
Tareas mensuales
Programe las siguientes actividades mensualmente.
| Tarea | description |
|---|---|
| Revisión del acceso de usuario | Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para obtener más información, vea Permisos en Microsoft Sentinel. |
| Revisión del área de trabajo de Log Analytics | Revise que la directiva de retención de datos del área de trabajo de Log Analytics sigue alineada con la directiva de su organización. Para obtener más información, consulte Directiva de retención de datos e Integración de Azure Data Explorer para la retención de registros a largo plazo. |