Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los distintos componentes de una solución de Microsoft Sentinel y cómo pueden trabajar juntos para abordar escenarios de clientes importantes.
La plataforma Sentinel incluye un lago de datos, un gráfico, trabajos de cuadernos de Jupyter Notebook, un servidor de Protocolo de contexto de modelo (MCP) y datos de más de 300 conectores de Sentinel para ayudar a los clientes a centralizar y analizar sus datos de seguridad de forma rentable. Estas funcionalidades, además de Microsoft Security Copilot permiten a los clientes y asociados crear soluciones impactantes, que se pueden publicar a través de Microsoft Security Store.
Sentinel SIEM lo usan los equipos de operaciones de seguridad (SOC) para generar detecciones, investigar comportamientos malintencionados y corregir amenazas. Al crear conectores de Sentinel para incorporar nuevos datos y crear contenido como reglas de análisis, cuadernos de estrategias, consultas de búsqueda, analizadores y libros, los asociados pueden ayudar a los equipos de SOC a obtener información que necesitan para identificar amenazas y responder adecuadamente. Sentinel soluciones SIEM se publican a través del Centro de contenido de Sentinel.
Recolección de datos
Tanto si está creando una solución que usa componentes de plataforma como si tiene como destino una integración siem de Sentinel, es fundamental tener los datos adecuados para su escenario.
Sentinel Connectors traen datos a Sentinel, que luego se pueden analizar en el lago mediante cuadernos y trabajos de Jupyter, o bien abordarse con Sentinel contenido SIEM, como reglas de análisis y consultas de búsqueda.
Esos datos pueden incluir los siguientes tipos:
| Tipo | Description |
|---|---|
| Datos sin procesar | Admite detecciones y procesos de búsqueda. Analice datos operativos sin procesar en los que pueda haber signos de actividad malintencionada. Traiga datos sin procesar a Microsoft Sentinel para usar las características integradas de búsqueda y detección de Microsoft Sentinel para identificar nuevas amenazas y mucho más. Ejemplos: datos de Syslog, datos cef a través de Syslog, aplicación, firewall, autenticación o registros de acceso, etc. |
| Conclusiones de seguridad | Crea la visibilidad de alertas y la oportunidad de correlación. Las alertas y detecciones son conclusiones que ya se han realizado sobre amenazas. Poner las detecciones en contexto con todas las actividades y otras detecciones visibles en las investigaciones Microsoft Sentinel, ahorra tiempo para los analistas y crea una imagen más completa de un incidente, lo que da lugar a una mejor priorización y mejores decisiones. Ejemplos: alertas antimalware, procesos sospechosos, comunicación con hosts incorrectos conocidos, tráfico de red bloqueado y por qué, inicios de sesión sospechosos, ataques de difusión de contraseña detectados, ataques de phishing identificados, eventos de filtración de datos, etc. |
| Datos de referencia | Crea contexto con entornos a los que se hace referencia, lo que ahorra esfuerzo de investigación y aumenta la eficacia. Ejemplos: CMDB, bases de datos de recursos de alto valor, bases de datos de dependencia de aplicaciones, registros de asignación de IP, colecciones de inteligencia sobre amenazas para el enriquecimiento, etc. |
| Inteligencia sobre amenazas | Potencia la detección de amenazas mediante la contribución de indicadores de amenazas conocidas. La inteligencia sobre amenazas puede incluir indicadores actuales que representan amenazas inmediatas o indicadores históricos que se mantienen para la prevención futura. Los conjuntos de datos históricos suelen ser grandes y se hace referencia mejor ad hoc, en lugar de importarlos directamente a Microsoft Sentinel. |
Analizadores
Los analizadores son funciones de KQL que transforman datos personalizados de productos de terceros en un esquema de ASIM normalizado. La normalización garantiza que los analistas de SOC no tengan que aprender detalles sobre los nuevos esquemas y, en su lugar, compilar reglas analíticas y consultas de búsqueda en el esquema normalizado con el que ya están familiarizados. Revise los esquemas de ASIM disponibles proporcionados por Microsoft Sentinel para identificar los esquemas ASIM pertinentes (uno o más) para los datos a fin de garantizar una incorporación más sencilla para los analistas de SOC y asegurarse de que el contenido de seguridad existente escrito para el esquema de ASIM es aplicable de forma inmediata para los datos del producto. Para obtener más información sobre los esquemas de ASIM disponibles, vea Esquemas del modelo de información de seguridad avanzada (ASIM).
Visualización
Puede incluir visualizaciones para ayudar a los clientes a administrar y comprender los datos, incluyendo vistas gráficas de cómo fluyen los datos en Microsoft Sentinel y con qué eficacia contribuye a las detecciones.
Puede incluir visualizaciones para ayudar a los clientes a administrar y comprender los datos, incluyendo vistas gráficas de cómo fluyen los datos en Microsoft Sentinel y con qué eficacia contribuye a las detecciones.
Supervisión y detección
las características de supervisión y detección de Sentinel crean detecciones automatizadas para ayudar a los clientes a escalar la experiencia de su equipo de SOC.
En las secciones siguientes se describen los elementos de supervisión y detección que puede incluir en la solución.
agentes de Security Copilot
Security Copilot agentes automatizan tareas repetitivas y reducen las cargas de trabajo manuales. Mejoran la seguridad y las operaciones de TI en la nube, la seguridad y la privacidad de los datos, la identidad y la seguridad de red. Por Sentinel, los agentes pueden consultar siem o lago de datos y llamar a las API para enriquecer Microsoft Sentinel datos. Pueden usar trabajos de cuadernos para el procesamiento o análisis intensivo de datos y usar cualquier número de complementos.
Trabajos de Jupyter Notebook
Los trabajos de Jupyter Notebook proporcionan herramientas eficaces para realizar transformaciones de datos complejas y ejecutar modelos de aprendizaje automático mediante trabajos de Spark en Sentinel Data lake. Los agentes de Security Copilot pueden usarlos para proporcionar un medio determinista y eficaz de realizar análisis y resumen de datos y ejecutarse de forma continuada. Los trabajos de cuaderno pueden escribir tablas de datos personalizadas en el nivel analítico y el lago de datos que usarán los componentes de nivel inferior, como agentes, libros, consultas de búsqueda y otros.
Reglas de análisis
Las reglas de análisis son detecciones sofisticadas que pueden crear alertas precisas y significativas.
Agregue reglas de análisis a la solución para ayudar a los clientes a beneficiarse de los datos del sistema en Microsoft Sentinel. Por ejemplo, las reglas de análisis pueden ayudar a proporcionar experiencia e información sobre las actividades que se pueden detectar en los datos que ofrece la integración.
Pueden generar alertas (eventos importantes), incidentes (unidades de investigación) o cuadernos de estrategias de automatización de desencadenadores.
Puede agregar reglas de análisis incluyéndolas en una solución y a través de la comunidad Microsoft Sentinel ThreatHunters. Contribuir a través de la comunidad para fomentar la creatividad de la comunidad sobre los datos de origen de asociados, ayudando a los clientes con detecciones más confiables y eficaces.
Consultas de búsqueda
Las consultas de búsqueda permiten a los analistas de SOC buscar de forma proactiva nuevas anomalías que no se detectan en las reglas de análisis programadas actualmente. Las consultas de búsqueda guían a los analistas de SOC para formular las preguntas adecuadas para encontrar problemas de los datos que ya están disponibles en Microsoft Sentinel y les ayuda a identificar posibles escenarios de amenazas. Al incluir consultas de búsqueda, puede ayudar a los clientes a encontrar amenazas desconocidas en los datos que proporciona.
Libros
Los libros proporcionan informes interactivos y paneles que ayudan a los usuarios a visualizar los datos de seguridad e identificar patrones dentro de los datos. La necesidad de libros depende del caso de uso específico. A medida que diseñe la solución, piense en escenarios que podrían explicarse mejor visualmente, especialmente en escenarios para realizar un seguimiento del rendimiento.
Investigación
El gráfico de investigación de Sentinel proporciona a los investigadores datos pertinentes cuando los necesitan, lo que proporciona visibilidad sobre los incidentes de seguridad y las alertas a través de entidades conectadas. Los investigadores pueden usar el gráfico de investigación para encontrar eventos relevantes o relacionados que contribuyan a la amenaza que se está investigando.
Los asociados pueden contribuir al gráfico de investigación proporcionando lo siguiente:
- Microsoft Sentinel alertas e incidentes, creados a través de reglas de análisis en soluciones de asociados.
- Consultas de exploración personalizadas para los datos proporcionados por el asociado. Las consultas de exploración personalizadas proporcionan una exploración y conectividad enriquecidas entre los datos y la información para los investigadores de seguridad.
Respuesta
Los cuadernos de estrategias admiten flujos de trabajo con una automatización enriquecida y la ejecución de tareas relacionadas con la seguridad en entornos de cliente. Son fundamentales para asegurarse de que los analistas de SOC no están sobrecargados por elementos tácticos y pueden centrarse en la causa principal más estratégica y más profunda de las vulnerabilidades. Por ejemplo, si se detecta una alerta de gravedad alta, un cuaderno de estrategias puede iniciar automáticamente una serie de acciones, como notificar al equipo de seguridad, aislar los sistemas afectados y recopilar registros pertinentes para un análisis posterior.
Por ejemplo, los cuadernos de estrategias pueden ayudar de cualquiera de las siguientes maneras, y mucho más:
- Ayudar a los clientes a configurar directivas de seguridad en productos asociados
- Recopilación de datos adicionales para informar sobre las decisiones de investigación
- Vinculación de incidentes Microsoft Sentinel a sistemas de administración externos
- Integración de la administración del ciclo de vida de alertas en las soluciones de asociados
A medida que diseñe la solución, piense en las acciones automatizadas que se pueden realizar para resolver incidentes creados por las reglas de análisis definidas en la solución.
ejemplos de escenarios siem de Sentinel
En las secciones siguientes se describen escenarios comunes de asociados y recomendaciones sobre lo que se debe incluir en una solución para cada escenario.
El producto genera datos que son importantes para las investigaciones de seguridad
Escenario: el producto genera datos que pueden informar a las investigaciones de seguridad.
Ejemplo: Los productos que proporcionan algún tipo de datos de registro incluyen firewalls, agentes de seguridad de aplicaciones en la nube, sistemas de acceso físico, salida de Syslog, aplicaciones LOB disponibles comercialmente y creadas por la empresa, servidores, metadatos de red, cualquier cosa que se pueda entregar a través de Syslog en formato Syslog o CEF, o a través de la API REST en formato JSON.
Cómo usar los datos en Microsoft Sentinel: importe los datos del producto en Microsoft Sentinel a través de un conector de datos para proporcionar análisis, búsqueda, investigaciones, visualizaciones, etc.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se van a incluir |
|---|---|
| Required | - Un conector de datos Microsoft Sentinel para entregar los datos y vincular otras personalizaciones en el portal. Consultas de datos de ejemplo |
| Recomendada | - Libros - Reglas de análisis para crear detecciones basadas en los datos en Microsoft Sentinel |
| Optional | - Consultas de búsqueda, para proporcionar a los cazadores consultas integradas que se usarán al buscar - Cuadernos, para ofrecer una experiencia de búsqueda totalmente guiada y repetible |
El producto proporciona detecciones
Escenario: el producto proporciona detecciones que complementan alertas e incidentes de otros sistemas
Ejemplos: antimalware, soluciones de detección y respuesta empresariales, soluciones de detección y respuesta de red, soluciones de seguridad de correo como productos anti-phishing, análisis de vulnerabilidades, soluciones de administración de dispositivos móviles, soluciones UEBA, servicios de protección de la información, etc.
Cómo usar los datos en Microsoft Sentinel: haga que las detecciones, alertas o incidentes estén disponibles en Microsoft Sentinel para mostrarlos en contexto con otras alertas e incidentes que puedan estar ocurriendo en los entornos de los clientes. Considere también la posibilidad de entregar los registros y metadatos que alimentan las detecciones, como contexto adicional para las investigaciones.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se van a incluir |
|---|---|
| Required | Un conector de datos Microsoft Sentinel para entregar los datos y vincular otras personalizaciones en el portal. |
| Recomendada | Reglas de análisis para crear Microsoft Sentinel incidentes a partir de las detecciones que resultan útiles en las investigaciones |
El producto proporciona indicadores de inteligencia sobre amenazas
Escenario: el producto proporciona indicadores de inteligencia sobre amenazas que pueden proporcionar contexto para los eventos de seguridad que se producen en los entornos de los clientes.
Ejemplos: plataformas TIP, colecciones STIX/TAXII y orígenes de inteligencia sobre amenazas públicos o con licencia. Datos de referencia, como WhoIS, GeoIP o dominios recién observados.
Cómo usar los datos en Microsoft Sentinel: entregue los indicadores actuales para Microsoft Sentinel para su uso en las plataformas de detección de Microsoft. Use conjuntos de datos históricos o a gran escala para escenarios de enriquecimiento, a través del acceso remoto.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se van a incluir |
|---|---|
| Inteligencia sobre amenazas actual | Cree un conector de datos GSAPI para insertar indicadores en Microsoft Sentinel. Proporcione un servidor TAXII STIX 2.0 o 2.1 que los clientes puedan usar con el conector de datos TAXII integrado. |
| Indicadores históricos o conjuntos de datos de referencia | Proporcione un conector de aplicación lógica para acceder a los datos y a un cuaderno de estrategias de flujo de trabajo de enriquecimiento que dirija los datos a los lugares correctos. |
El producto proporciona contexto adicional para las investigaciones.
Escenario: el producto proporciona datos contextuales adicionales para las investigaciones basadas en Microsoft Sentinel.
Ejemplos: CMDB de contexto adicional, bases de datos de activos de alto valor, bases de datos VIP, bases de datos de dependencia de aplicaciones, sistemas de administración de incidentes, sistemas de vales
Cómo usar los datos en Microsoft Sentinel: use los datos de Microsoft Sentinel para enriquecer alertas e incidentes.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
- Un conector de aplicación lógica
- Cuaderno de estrategias de flujo de trabajo de enriquecimiento
- Un flujo de trabajo de administración del ciclo de vida de incidentes externo (opcional)
El producto puede implementar directivas de seguridad
Escenario: el producto puede implementar directivas de seguridad en Azure Policy y otros sistemas
Ejemplos: Firewalls, NDR, EDR, MDM, soluciones de identidad, soluciones de acceso condicional, soluciones de acceso físico u otros productos que admiten directivas de seguridad de bloques o permitidos u otras directivas de seguridad accionables
Cómo usar los datos en Microsoft Sentinel: Microsoft Sentinel acciones y flujos de trabajo que permiten correcciones y respuestas a amenazas
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
- Un conector de aplicación lógica
- Cuaderno de estrategias de flujo de trabajo de acciones
Referencias para empezar
Todas las integraciones Microsoft Sentinel SIEM comienzan con el repositorio de GitHub Microsoft Sentinel y la guía de contribución.
Cuando esté listo para empezar a trabajar en la solución de Microsoft Sentinel, busque instrucciones para enviar, empaquetar y publicar en la Guía para compilar soluciones de Microsoft Sentinel.
Comercialización
Microsoft ofrece los programas para ayudar a los asociados a acercarse a los clientes de Microsoft:
Microsoft Partner Network (MPN). El programa principal para asociarse con Microsoft es Microsoft Partner Network. La pertenencia a MPN es necesaria para convertirse en un publicador Azure Marketplace, que es donde se publican todas las soluciones de Microsoft Sentinel.
Azure Marketplace. Microsoft Sentinel soluciones se entregan a través de Azure Marketplace, que es donde los clientes van a detectar e implementar integraciones de Azure generales proporcionadas por Microsoft y los asociados.
Microsoft Sentinel soluciones son uno de los muchos tipos de ofertas que se encuentran en Marketplace. También puede encontrar las ofertas de soluciones incrustadas en el centro de contenido de Microsoft Sentinel
Asociación de seguridad inteligente de Microsoft (MISA). MISA proporciona a los asociados de seguridad de Microsoft ayuda para crear conocimientos sobre las integraciones creadas por asociados con los clientes de Microsoft y ayuda a proporcionar detectabilidad para las integraciones de productos de Seguridad de Microsoft.
Unirse al programa MISA requiere una nominación de un equipo de producto de seguridad de Microsoft participante. La creación de cualquiera de las siguientes integraciones puede calificar a los asociados para la nominación:
- Un conector de datos Microsoft Sentinel y contenido asociado, como libros, consultas de ejemplo y reglas de análisis
- Conector de Logic Apps publicado y cuadernos de estrategias de Microsoft Sentinel
- Integraciones de API, caso por caso
Para solicitar una revisión de nominación misa o para preguntas, póngase en contacto con AzureSentinelPartner@microsoft.com.
Siguientes pasos
Para más información, vea:
Recopilación de datos:
- Procedimientos recomendados de recopilación de datos
- conectores de datos Microsoft Sentinel
- Búsqueda del conector de datos de Microsoft Sentinel
- Descripción de la inteligencia sobre amenazas en Microsoft Sentinel
Detección de amenazas:
- Automatización del control de incidentes en Microsoft Sentinel con reglas de automatización
- Investigación de incidentes con Microsoft Sentinel
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
Búsqueda y cuadernos:
- Búsqueda de amenazas con Microsoft Sentinel
- Administración de consultas de búsqueda en Microsoft Sentinel mediante la API REST
- Uso de cuadernos de Jupyter Notebook para buscar amenazas de seguridad
Visualización: visualización de los datos recopilados.
Investigación: investigue los incidentes con Microsoft Sentinel.
Respuesta: