Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este inicio rápido, habilitará Microsoft Sentinel e instalará una solución desde el centro de contenido. A continuación, configurará un conector de datos para empezar a ingerir datos en Microsoft Sentinel.
Microsoft Sentinel incluye muchos conectores de datos para productos de Microsoft, como el conector de servicio a servicio de XDR de Microsoft Defender. También puede habilitar conectores integrados para productos que no son de Microsoft, como Syslog o Formato de evento común (CEF). En este inicio rápido, usará el conector de datos de actividad de Azure que está disponible en la solución Actividad de Azure para Microsoft Sentinel.
Para incorporarse a Microsoft Sentinel mediante la API, consulte la versión más reciente compatible de Los estados de incorporación de Sentinel.
Requisitos previos
Suscripción de Azure activa. Si no tiene una, cree una cuenta gratuita antes de comenzar.
Permisos:
Para habilitar Microsoft Sentinel, necesita permisos de colaborador para la suscripción en la que reside el área de trabajo de Microsoft Sentinel.
Para usar Microsoft Sentinel, necesita permisos colaborador de Microsoft Sentinel o lector de Microsoft Sentinel en el grupo de recursos al que pertenece el área de trabajo.
Para instalar o administrar soluciones en el centro de contenido, necesita el rol Colaborador de Microsoft Sentinel en el grupo de recursos al que pertenece el área de trabajo.
Si es un nuevo cliente de Microsoft Sentinel y tiene permisos de propietario de una suscripción o un administrador de acceso de usuario, el área de trabajo se incorporará automáticamente al portal de Defender. Los usuarios de estas áreas de trabajo solo usan Microsoft Sentinel en el portal de Defender .
Microsoft Sentinel es un servicio de pago. Revise las opciones de precios y la página de precios de Microsoft Sentinel.
Antes de implementar Microsoft Sentinel en un entorno de producción, revise las actividades de implementación previa y los requisitos previos para implementar Microsoft Sentinel.
Creación de un área de trabajo de Log Analytics
Microsoft Sentinel debe agregarse a un área de trabajo. Si ya tiene un área de trabajo de Log Analytics, vaya a agregar Microsoft Sentinel al área de trabajo de Log Analytics. Si aún no tiene un área de trabajo de Log Analytics, puede crear una mediante las instrucciones siguientes o, para obtener una explicación más detallada, vaya a Creación de un área de trabajo de Log Analytics. Para obtener más información acerca de las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.
Es posible que tenga una retención predeterminada de 30 días en el área de trabajo de Log Analytics que se usa para Microsoft Sentinel. Para asegurarse de que puede usar todas las funciones y características de Microsoft Sentinel, aumente la retención a 90 días. Configure directivas de almacenamiento y retención de datos en los registros de Azure Monitor.
Inicie sesión en Azure Portal.
Busque y seleccione Microsoft Sentinel.
Seleccione Crear.
Seleccione Crear un área de trabajo.
En Suscripción>Grupo de recursos, seleccione Crear nuevo. Escriba un nombre para el grupo de recursos y seleccione Aceptar.
Asigne un nombre al área de trabajo y seleccione una región y, a continuación, seleccione Revisar y crear. (Consulte las regiones en las que Log Analytics está disponible).
Una vez superada la validación, seleccione Crear. Espere hasta que se complete la implementación.
Incorporación de Microsoft Sentinel al área de trabajo de Log Analytics
En Azure Portal, busque y seleccione Microsoft Sentinel.
Seleccione Crear.
Seleccione el área de trabajo que desea usar y seleccione Agregar. Puede ejecutar Microsoft Sentinel en más de una área de trabajo, pero los datos están aislados en una sola área de trabajo.
- Las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no se muestran en la lista. No se puede instalar Microsoft Sentinel en estas áreas de trabajo.
- Una vez implementado en un área de trabajo, Microsoft Sentinel no admite el traslado de esa área de trabajo a otro grupo de recursos o suscripción.
Nota:
Si el área de trabajo no se incorpora automáticamente al portal de Defender, se recomienda la incorporación para una experiencia unificada en la administración de operaciones de seguridad (SecOps) en Microsoft Sentinel y en otros servicios de seguridad de Microsoft. Para obtener más información, consulte Incorporación de Microsoft Sentinel al portal de Defender.
Si su área de trabajo se asigna automáticamente o decide asignar su área de trabajo ahora, puede seguir los pasos descritos en este artículo desde el portal de Defender. Si esta es la primera vez que usa el portal de Defender, habrá un retraso de unos minutos mientras se completa el proceso.
Acceso a Microsoft Sentinel en el portal de Defender
Para acceder a Microsoft Sentinel en el portal de Defender:
Inicie sesión en el portal de Defender.
La primera vez que acceda al portal de Defender, tardará algún tiempo en aprovisionar el inquilino.
Una vez aprovisionado, verá Microsoft Sentinel disponible en el panel de navegación, con nodos de Microsoft Sentinel anidados dentro. Por ejemplo:
Desplácese hacia abajo en el panel de navegación y seleccione Configuración Áreas > de trabajo de Microsoft Sentinel > para ver las áreas de trabajo incorporadas al portal de Defender y disponibles para usted.
El portal de Defender admite varias áreas de trabajo, con una que actúa como área de trabajo principal por inquilino. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender y la administración multiinquilino de Microsoft Defender.
Instalar una solución desde el centro de contenido
El centro de contenido de Microsoft Sentinel es la ubicación centralizada para detectar y administrar contenido predefinido, incluidos los conectores de datos. Para este inicio rápido, instale la solución para la Actividad de Azure.
En Microsoft Sentinel, vaya a la página Centro de contenido y busque y seleccione la solución Actividad de Azure .
En el panel de detalles de la solución, seleccione Instalar.
Configuración del conector de datos
Microsoft Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Microsoft Sentinel. Para este inicio rápido, instale el conector de datos para reenviar datos de Actividad de Azure a Microsoft Sentinel.
En Microsoft Sentinel, seleccione Configuración>Conectores de datos y busque y seleccione el conector de datos Actividad de Azure.
En el panel de detalles del conector, seleccione Abrir página del conector. Use las instrucciones de la página del conector Actividad de Azure para configurar el conector de datos.
Seleccione Launch Azure Policy Assignment Wizard (Iniciar asistente para asignación de Azure Policy).
En la pestaña Aspectos básicos, establezca el Ámbito en la suscripción y el grupo de recursos que tiene actividad para enviar a Microsoft Sentinel. Por ejemplo, seleccione la suscripción que contiene la instancia de Microsoft Sentinel.
Seleccione la pestaña Parámetros y establezca el área de trabajo de Log Analytics principal. Debe ser el área de trabajo donde está instalado Microsoft Sentinel.
Seleccione Revisar y crear y Crear.
Generación de datos de actividad
Vamos a generar algunos datos de actividad habilitando una regla que se incluyó en la solución de Actividad de Azure para Microsoft Sentinel. En este paso también se muestra cómo administrar el contenido en el centro de contenido.
En Microsoft Sentinel, seleccione Centro de contenido y busque y seleccione la plantilla de regla de implementación de recursos sospechosos en la solución de Actividad de Azure.
En el panel de detalles, seleccione Crear regla para crear una nueva regla mediante el Asistente para reglas de Análisis.
En el Asistente para reglas de Análisis: cree una nueva regla programada, cambie el Estado a Habilitado.
En esta pestaña y en todas las demás pestañas del asistente, deje los valores predeterminados tal como están.
En la pestaña Revisar y crear , seleccione Crear.
Ver datos ingeridos en Microsoft Sentinel
Ahora que ha habilitado el conector de datos de Actividad de Azure y ha generado algunos datos de actividad, vamos a ver los datos de actividad agregados al área de trabajo.
En Microsoft Sentinel, seleccione Configuración>Conectores de datos y busque y seleccione el conector de datos Actividad de Azure.
En el panel de detalles del conector, seleccione Abrir página del conector.
Revise el estado del conector de datos. Debe estar conectado.
Seleccione una pestaña para continuar, en función del portal que use:
Seleccione Ir a Log Analytics para abrir la página Búsqueda avanzada .
En la parte superior del panel, junto a la pestaña Nueva consulta, seleccione el + para agregar una nueva pestaña de consulta.
Ejecute la consulta siguiente para ver la fecha de actividad ingerida en el área de trabajo:
AzureActivity
Por ejemplo:
Pasos siguientes
En este inicio rápido, habilitó Microsoft Sentinel e instaló una solución desde el centro de contenido. A continuación, configuró un conector de datos para empezar a ingerir datos en Microsoft Sentinel. También ha comprobado que los datos se ingieren viendo los datos en el área de trabajo.
Si es un nuevo cliente que se ha incorporado automáticamente al portal de Defender, los usuarios solo tendrán acceso a Microsoft Sentinel en el portal de Defender. Al usar la documentación de Microsoft Sentinel, asegúrese de seleccionar la versión del portal de Defender de la documentación.
- Para visualizar los datos recopilados mediante los paneles y libros, consulte Visualización de datos recopilados.
- Para detectar amenazas mediante reglas de análisis, consulte Tutorial: Detección de amenazas mediante reglas de análisis en Microsoft Sentinel.