Inicio rápido: Incorporación a Microsoft Sentinel

  • Artículo

En este inicio rápido, habilitará Microsoft Sentinel e instalará una solución desde el centro de contenido. A continuación, configurará un conector de datos para empezar a ingerir datos en Microsoft Sentinel.

Microsoft Sentinel incluye muchos conectores de datos para productos de Microsoft, como el conector de servicio a servicio de XDR de Microsoft Defender. También puede habilitar conectores integrados para productos que no son de Microsoft, como Syslog o Formato de evento común (CEF). En este inicio rápido, usará el conector de datos de actividad de Azure que está disponible en la solución Actividad de Azure para Microsoft Sentinel.

Requisitos previos

Habilitar Microsoft Sentinel

Para empezar, agregue Microsoft Sentinel a un área de trabajo existente o cree una nueva.

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Sentinel.

    Captura de pantalla de la búsqueda de un servicio mientras se habilita Microsoft Sentinel.

  3. Seleccione Crear.

  4. Seleccione el área de trabajo que quiere usar o cree una nueva. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo única.

    Captura de pantalla de la elección de un área de trabajo mientras se habilita Microsoft Sentinel.

    • Las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no se muestran en la lista. No se puede instalar Microsoft Sentinel en estas áreas de trabajo.
    • Una vez implementado en un área de trabajo, Microsoft Sentinel no admite mover esa área de trabajo a otro grupo de recursos o suscripción.

  5. Seleccione Agregar.

Como alternativa al uso del portal, puede incorporarse a Microsoft Sentinel mediante una solicitud de API mediante una llamada a la API de ARM OnboardingStates.

Instalar una solución desde el centro de contenido

El centro de contenido de Microsoft Sentinel es la ubicación centralizada para detectar y administrar contenido predefinido, incluidos los conectores de datos. Para este inicio rápido, instale la solución para la Actividad de Azure.

  1. En Microsoft Sentinel, seleccione Centro de contenido.

  2. Busque y seleccione la solución Actividad de Azure.

    Captura de pantalla del centro de contenidos con la solución de Actividad de Azure seleccionada.

  3. En la barra de herramientas de la parte superior de la página, seleccione Instalar/Actualizar.

Configuración del conector de datos

Microsoft Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Microsoft Sentinel. Para este inicio rápido, instale el conector de datos para reenviar datos de Actividad de Azure a Microsoft Sentinel.

  1. En Microsoft Sentinel, seleccione Conectores de datos.

  2. Busque y seleccione el conector de datos de Actividad de Azure.

  3. En el panel de detalles del conector, seleccione Abrir página del conector.

  4. Revise las instrucciones para configurar el conector.

  5. Seleccione Iniciar el asistente para configurar asignaciones de Azure Policy.

  6. En la pestaña Aspectos básicos, establezca el Ámbito en la suscripción y el grupo de recursos que tiene actividad para enviar a Microsoft Sentinel. Por ejemplo, seleccione la suscripción que contiene la instancia de Microsoft Sentinel.

  7. Seleccione la pestaña Parámetros .

  8. Establezca el área de trabajo de Log Analytics principal. Debe ser el área de trabajo donde está instalado Microsoft Sentinel.

  9. Seleccione Revisar y crear y Crear.

Generación de datos de actividad

Vamos a generar algunos datos de actividad habilitando una regla que se incluyó en la solución de Actividad de Azure para Microsoft Sentinel. En este paso también se muestra cómo administrar el contenido en el centro de contenido.

  1. En Microsoft Sentinel, seleccione Centro de contenido.

  2. Busque y seleccione la solución Actividad de Azure.

  3. En el panel derecho, seleccione Administrar.

  4. Busque y seleccione la plantilla de regla Implementación de recursos sospechosos.

  5. Seleccione Configuración.

  6. Seleccione la regla y Crear regla.

  7. En la pestaña General, cambie el Estado a habilitado. Deje el resto de valores predeterminados.

  8. Acepte los valores predeterminados en las demás pestañas.

  9. En la pestaña Revisar y crear, seleccione Crear.

Ver datos ingeridos en Microsoft Sentinel

Ahora que ha habilitado el conector de datos de Actividad de Azure y ha generado algunos datos de actividad, vamos a ver los datos de actividad agregados al área de trabajo.

  1. En Microsoft Sentinel, seleccione Conectores de datos.

  2. Busque y seleccione el conector de datos de Actividad de Azure.

  3. En el panel de detalles del conector, seleccione Abrir página del conector.

  4. Revise el Estado del conector de datos. Debe ser Conectado.

    Captura de pantalla del conector de datos para Actividad de Azure con el estado mostrado como conectado.

  5. En el panel izquierdo sobre el gráfico, seleccione Ir a análisis de registros.

  6. En la parte superior del panel, junto a la pestaña Nueva consulta 1, seleccione + para agregar una nueva pestaña de consulta.

  7. En el panel de consulta, ejecute la siguiente consulta para ver la fecha de actividad ingerida en el área de trabajo.

     AzureActivity

    Captura de pantalla de la ventana de consulta de registro con los resultados devueltos para la consulta de Actividad de Azure.

Pasos siguientes

En este inicio rápido, habilitó Microsoft Sentinel e instaló una solución desde el centro de contenido. A continuación, configuró un conector de datos para empezar a ingerir datos en Microsoft Sentinel. También ha comprobado que los datos se ingieren viendo los datos en el área de trabajo.