Entrenamiento para mejorar aptitudes de Microsoft Sentinel
Este artículo le guiará en el entrenamiento de nivel 400 para ayudarle a mejorar sus aptitudes en Microsoft Sentinel. El entrenamiento comprende 21 módulos autodirigidos que presentan la documentación pertinente del producto, entradas de blog y otros recursos.
Los módulos que se enumeran aquí se dividen en cinco partes que siguen el ciclo de vida de un Centro de operaciones de seguridad (SOC):
- Módulo 0: Otras opciones de aprendizaje y soporte técnico
- Módulo 1: Introducción a Microsoft Sentinel
- Módulo 2: ¿Cómo se usa Microsoft Sentinel?
Parte 2: Diseño e implementación
- Módulo 3: Arquitectura del área de trabajo y del inquilino
- Módulo 4: Recopilación de datos
- Módulo 5: Administración de registros
- Módulo 6: Enriquecimiento: inteligencia sobre amenazas, listas de reproducción y mucho más
- Módulo 7: Transformación de registro
- Módulo 8: Migración
- Módulo 9: modelo de información de SIEM avanzado y normalización
Parte 3: Creación de contenido
- Módulo 10: Lenguaje de consulta Kusto
- Módulo 11: Análisis
- Módulo 12: Implementación de SOAR
- Módulo 13: Libros, informes y visualización
- Módulo 14: Cuadernos
- Módulo 15: Casos de uso y soluciones
- Módulo 16: Un día en la vida de un analista de SOC, administración de incidentes e investigación
- Módulo 17: Búsqueda
- Módulo 18: Análisis del comportamiento de usuarios y entidades (UEBA)
- Módulo 19: Supervisión del mantenimiento de Microsoft Sentinel
- Módulo 20: Ampliación e integración mediante las API de Microsoft Sentinel
- Módulo 21: Compilación de un modelo propio de aprendizaje automático
Parte 1: Información general
Módulo 0: Otras opciones de aprendizaje y soporte técnico
Este entrenamiento de mejora de aptitudes es de nivel 400 y se basa en la formación en Ninja de Microsoft Sentinel. Si no quiere profundizar tanto o tiene un problema específico que resolver, otros recursos pueden ser más adecuados:
- Aunque el entrenamiento de mejora de aptitudes es extenso, naturalmente tiene que seguir un script y no puede expandirse a todos los temas. Consulte la documentación a la que se hace referencia para obtener información sobre cada artículo.
- Ahora se puede certificar con la nueva certificación SC-200: Analista de operaciones de seguridad de Microsoft, que abarca Microsoft Sentinel. Para una visión más amplia y de nivel superior del conjunto de seguridad de Microsoft, también puede considerar SC-900: Aspectos básicos de seguridad, cumplimiento e identidad de Microsoft o AZ-500: Tecnologías de seguridad de Microsoft Azure.
- Si ya tiene competencias en Microsoft Sentinel, realice un seguimiento de las novedades o únase al programa Microsoft Cloud Security Private Community para obtener una vista anterior de las próximas versiones.
- ¿Tiene alguna idea de características que quiera compartir con nosotros? Háganoslo saber en la página Voz del usuario de Microsoft Sentinel.
- ¿Es un cliente Premier? Puede que sea conveniente completar el Taller de aspectos básicos de Microsoft Sentinel de cuatro días de forma remota o presencial. Póngase en contacto con su administrador de cuentas de éxito de cliente para más detalles.
- ¿Tiene un problema específico? Pregunte (o responda a otros) en la Comunidad tecnológica de Microsoft Sentinel. También puede enviarnos su pregunta por correo electrónico o dirigirse a nosotros en MicrosoftSentinel@microsoft.com.
Módulo 1: Introducción a Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de la nube. Use Microsoft Sentinel para proporcionar análisis de seguridad e inteligencia sobre amenazas a toda la empresa. Proporciona una única solución para la detección de alertas, la visibilidad de las amenazas, la búsqueda proactiva y la respuesta a las amenazas. Para obtener más información, consulte ¿Qué es Microsoft Sentinel?
Si quiere obtener una visión general inicial de las funcionalidades técnicas de Microsoft Sentinel, la presentación de Ignite más reciente es un buen punto de partida. También puede encontrar útil la Guía de inicio rápido para Microsoft Sentinel (es necesario registrarse en el sitio).
Encuentre información general más detallada en este seminario web de Microsoft Sentinel: YouTube, MP4 o presentación.
Por último, ¿quiere probarlo usted mismo? El Acelerador todo en uno de Microsoft Sentinel (blog, YouTube, MP4 o presentación) permite empezar con facilidad. Para obtener información sobre cómo empezar, revise la documentación de incorporación o vea el vídeo de instalación y configuración de Microsoft Sentinel de Insights.
Aprender de otros usuarios
Miles de organizaciones y proveedores de servicios usan Microsoft Sentinel. Como es habitual con los productos de seguridad, la mayoría de las organizaciones no lo hacen público. Aun así, estos son algunos que tienen que:
- Buscar casos de uso de clientes públicos.
- Stuart Gregg, director de operaciones de seguridad en ASOS, publicó una entrada de blog mucho más detallada sobre la experiencia con Microsoft Sentinel, centrándose en la búsqueda.
Aprenda de los analistas
- Azure Sentinel logra una posición de liderazgo en Forrester Wave, con una clasificación alta en estrategias
- Microsoft fue reconocido como visionario en el cuadrante mágico de Gartner de 2021 por SIEM para Microsoft Sentinel.
Módulo 2: ¿Cómo se usa Microsoft Sentinel?
Muchas organizaciones usan Microsoft Sentinel como su SIEM principal. La mayoría de los módulos de este curso abarcan este caso de uso. En este módulo, presentamos algunas maneras adicionales de usar Microsoft Sentinel.
Como parte de la pila de seguridad de Microsoft
Use Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft Defender XDR conjuntamente para proteger las cargas de trabajo de Microsoft, como Windows, Azure y Office:
- Obtenga más información sobre nuestra completa solución de SIEM+XDR que combina Microsoft Sentinel y Microsoft Defender XDR.
- Lea La brújula de seguridad de Azure (ahora Procedimientos recomendados de seguridad de Microsoft) para comprender el plano técnico de Microsoft para las operaciones de seguridad.
- Lea y vea cómo esta configuración ayuda a detectar y responder a un ataque de WebShell: blog o demostración en vídeo.
- Vea el seminario web de la serie Better Together titulado "Detección, investigación y respuesta en caso de ataques de OT y IOT".
Para supervisar las cargas de trabajo de varias nubes
La nube (todavía) es nueva y a menudo no se supervisa tan extensamente como las cargas de trabajo locales. Lea esta presentación para obtener información sobre cómo Microsoft Sentinel puede ayudarle a cerrar la brecha de supervisión en las nubes.
En paralelo con su SIEM existente
Para un período de transición o un plazo más largo, si usa Microsoft Sentinel para las cargas de trabajo en la nube, es posible que use Microsoft Sentinel junto con su SIEM existente. También puede usar ambos con un sistema de vales, como Service Now.
Para obtener más información sobre la migración desde otra SIEM a Microsoft Sentinel, vea el seminario web de migración: YouTube, MP4 o presentación.
Hay tres escenarios comunes para la implementación en paralelo:
Si tiene un sistema de vales en su SOC, un procedimiento recomendado es enviar alertas o incidentes de ambos sistemas SIEM a un sistema de vales como Service Now. Un ejemplo incluye usar la sincronización bidireccional de incidentes de Microsoft Sentinel con ServiceNow o el envío de alertas enriquecidas con eventos auxiliares de Microsoft Sentinel a SIEM de terceros.
Al menos inicialmente, muchos usuarios envían alertas de Microsoft Sentinel a su SIEM local. Para saber cómo hacerlo, vea Envío de alertas enriquecidas con eventos auxiliares de Microsoft Sentinel a SIEM de terceros.
Con el tiempo, a medida que Microsoft Sentinel abarca más cargas de trabajo, normalmente podría invertir la dirección y enviar alertas del SIEM local a Microsoft Sentinel. Para ello:
- Para Splunk, vea Envío de datos y eventos importantes de Splunk a Microsoft Sentinel.
- Para QRadar, vea Envío de delitos de QRadar a Microsoft Sentinel.
- Para ArcSight, vea Reenvío con formato de evento común (CEF).
También puede enviar las alertas de Microsoft Sentinel a su sistema de vales o SIEM de terceros mediante la API de seguridad de Graph. Este enfoque es más sencillo, pero no permite enviar otros datos.
Para MSSP
Dado que elimina el costo de configuración y es independiente de la ubicación, Microsoft Sentinel es una opción popular para proporcionar SIEM como servicio. Encuentre una lista de proveedores de servicios de seguridad administrados por miembros (MSSP) de MISA (Asociación de seguridad inteligente de Microsoft) que usan Microsoft Sentinel. Muchos otros MSSP, especialmente regionales y más pequeños, usan Microsoft Sentinel, pero no son miembros de MISA.
Para iniciar el recorrido como MSSP, lea los Cuadernos de estrategias técnicos de Microsoft Sentinel para MSSP. Se incluye más información sobre la compatibilidad con MSSP en el módulo siguiente, que abarca la arquitectura en la nube y la compatibilidad con varios inquilinos.
Parte 2: Diseño e implementación
Aunque la "Parte 1: Información general" ofrece opciones para empezar a usar Microsoft Sentinel en cuestión de minutos, antes de iniciar una implementación de producción, es importante crear un plan.
En esta sección se describen las áreas que debe tener en cuenta al diseñar la solución y se proporcionan instrucciones sobre cómo implementar el diseño:
- Arquitectura del área de trabajo y del inquilino
- Recopilación de datos
- Administración de registros
- Adquisición de inteligencia sobre amenazas
Módulo 3: Arquitectura del área de trabajo y del inquilino
Una instancia de Microsoft Sentinel se denomina área de trabajo. El área de trabajo es la misma que un área de trabajo de Log Analytics y admite cualquier funcionalidad de Log Analytics. Puede considerar Microsoft Sentinel como una solución que agrega características de SIEM basadas en un área de trabajo de Log Analytics.
A menudo, se necesitan varias áreas de trabajo y pueden actuar juntas como un único sistema de Microsoft Sentinel. Un caso de uso especial es cuando se proporciona un servicio mediante Microsoft Sentinel, por ejemplo, mediante un MSSP (proveedor de servicios de seguridad administrada) o mediante un SOC global, en una organización grande.
Para más información sobre el uso de varias áreas de trabajo como un sistema de Microsoft Sentinel, vea Extensión de Microsoft Sentinel entre áreas de trabajo e inquilinos o vea el seminario web: YouTube, MP4 o presentación.
Al usar varias áreas de trabajo, tenga en cuenta lo siguiente:
- Un controlador importante para usar varias áreas de trabajo es la residencia de datos. Para más información, consulte Residencia de datos de Microsoft Sentinel.
- Para implementar Microsoft Sentinel y administrar el contenido de forma eficaz en varias áreas de trabajo, podría administrar Microsoft Sentinel como código mediante la tecnología de integración continua/entrega continua (CI/CD). Un procedimiento recomendado para Microsoft Sentinel es habilitar la implementación continua. Para más información, vea Habilitación de la implementación continua de forma nativa con repositorios de Microsoft Sentinel.
- Al administrar varias áreas de trabajo como MSSP, es posible que quiera proteger la propiedad intelectual de MSSP en Microsoft Sentinel.
El Cuaderno de estrategias técnicas de Microsoft Sentinel para MSSP proporciona instrucciones detalladas para muchos de esos temas y es útil para las organizaciones de gran tamaño, no solo para los MSSP.
Módulo 4: Recopilación de datos
La base de un SIEM es recopilar telemetría: eventos, alertas e información de enriquecimiento contextual, como inteligencia sobre amenazas, datos de vulnerabilidad e información de recursos. Esta es una lista de orígenes a los que hacer referencia:
- Lea Conectores de datos de Microsoft Sentinel.
- Vaya a Búsqueda del conector de datos de Microsoft Sentinel para ver todos los conectores de datos compatibles y de serie. Encuentre vínculos a procedimientos de implementación genéricos y a pasos adicionales necesarios para conectores concretos.
- Escenarios de recopilación de datos: obtenga información sobre los métodos de recopilación, como Logstash/CEF/WEF. Otros escenarios comunes son restricciones de permisos para tablas, filtrado de registros, recopilación de registros de Amazon Web Services (AWS) o Google Cloud Platform (GCP), registros sin procesar de Microsoft 365, etc. Todos se pueden encontrar en el seminario web "Escenarios de recopilación de datos": YouTube, MP4 o presentación.
La primera información que aparece para cada conector es su método de ingesta de datos. El método que aparece tiene un vínculo a uno de los siguientes procedimientos de implementación genéricos, que contienen la mayor parte de la información necesaria para conectar los orígenes de datos a Microsoft Sentinel:
| Método de ingesta de datos | Artículo asociado |
|---|---|
| Integración entre servicios de Azure | Conexión a servicios de Azure, Windows, Microsoft y Amazon |
| Formato de evento común (CEF) sobre Syslog | Ingesta de mensajes de CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor |
| Data Collector API de Microsoft Azure Sentinel | Conexión del origen de datos a Data Collector API de Microsoft Sentinel para ingerir datos |
| Azure Functions y la API REST | Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos |
| Syslog | Ingesta de mensajes de CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor |
| Registros personalizados | Registros personalizados a través del conector de datos AMA: configuración de la ingesta de datos en Microsoft Sentinel desde aplicaciones específicas |
Si el origen no está disponible, puede crear un conector personalizado. Los conectores personalizados usan la API de ingesta y, por tanto, son similares a los orígenes directos. A menudo se implementan conectores personalizados mediante Azure Logic Apps, que ofrece una opción sin código, o Azure Functions.
Módulo 5: Administración de registros
La primera decisión de arquitectura que se debe tener en cuenta al configurar Microsoft Sentinel es el número de áreas de trabajo y cuáles se van a usar. Otras decisiones de arquitectura de administración de registros clave que se deben tener en cuenta son:
- Dónde y cuánto tiempo se deben conservar los datos
- Cómo administrar mejor el acceso a los datos y protegerlos
Ingesta, archivo, búsqueda y restauración de datos en Microsoft Sentinel
Para empezar, vea el seminario web "Administrar el ciclo de vida del registro con nuevos métodos para la ingesta, archivo, búsqueda y restauración".
Este conjunto de características contiene:
- Nivel de ingesta básico: un nuevo plan de tarifa para los registros de Azure Monitor que permite ingerir registros a un costo más bajo. Estos datos solo se conservan en el área de trabajo solo durante ocho días.
- Nivel de archivo: los registros de Azure Monitor han ampliado su capacidad de retención de dos a siete años. Con este nuevo nivel, puede conservar los datos durante un plazo máximo de siete años en un estado archivado a un costo bajo.
- Trabajos de búsqueda: las tareas de búsqueda que ejecutan un KQL limitado para buscar y devolver todos los registros pertinentes. Estos trabajos buscan datos en el nivel de análisis, el nivel básico y los datos archivados.
- Restauración de datos: una nueva característica que permite elegir una tabla de datos y un intervalo de tiempo para poder restaurar los datos en el área de trabajo a través de una tabla de restauración.
Para obtener más información sobre estas nuevas características, consulte Ingesta, archivo, búsqueda y restauración de datos en Microsoft Sentinel.
Opciones de retención alternativas fuera de la plataforma Microsoft Sentinel
Si quiere conservar los datos durante más de dos años o reducir el costo de retención, considere la posibilidad de utilizar Azure Data Explorer para la retención a largo plazo de los registros de Microsoft Sentinel. Consulte las diapositivas del seminario web, la grabación del seminario web o el blog.
¿Desea más información detallada? Vea el seminario web "Mejora de la amplitud y la cobertura de la búsqueda de amenazas con el soporte técnico de ADX, más tipos de entidad y la integración de MITRE actualizado".
Si prefiere otra solución de retención a largo plazo, vea Exportación desde Microsoft Sentinel o Log Analytics a Azure Storage y Event Hubs o Movimiento de los registros a un almacenamiento a largo plazo mediante Azure Logic Apps. La ventaja de usar Logic Apps es que puede exportar datos históricos.
Por último, puede establecer períodos de retención pormenorizados mediante la configuración de la retención de nivel de tabla. Para más información, consulte Configuración de directivas de archivo y retención de datos en los registros de Azure Monitor (versión preliminar).
Registro de seguridad
Use el control de acceso basado en rol de recursos (RBAC) o el RBAC de nivel de tabla para permitir que varios equipos usen una sola área de trabajo.
Si es necesario, elimine el contenido del cliente de las áreas de trabajo.
Obtenga información sobre cómo auditar las consultas del área de trabajo y el uso de Microsoft Sentinel mediante libros y consultas de alertas.
Use vínculos privados para asegurarse de que los registros nunca abandonan la red privada.
Clúster dedicado
Use un clúster de área de trabajo dedicado si la ingesta de datos proyectada es de aproximadamente 500 GB o más al día. Con un clúster dedicado, puede proteger los recursos de los datos de Microsoft Sentinel, lo que permite un mejor rendimiento de las consultas para grandes conjuntos de datos.
Módulo 6: Enriquecimiento: inteligencia sobre amenazas, listas de reproducción y mucho más
Una de las funciones importantes de un SIEM es aplicar información contextual al flujo de eventos, lo que habilita la detección, la priorización de alertas y la investigación de incidentes. La información contextual incluye, por ejemplo, inteligencia sobre amenazas, inteligencia de IP, información de host y usuario y listas de reproducción.
Microsoft Sentinel proporciona herramientas completas para importar, administrar y usar inteligencia sobre amenazas. Para otros tipos de información contextual, Microsoft Sentinel proporciona listas de reproducción y otras soluciones alternativas.
Información sobre amenazas
La inteligencia sobre amenazas es un bloque de creación importante de un SIEM. Vea el seminario web "Exploración de la eficacia de la inteligencia sobre amenazas en Microsoft Sentinel".
En Microsoft Sentinel, puede integrar la inteligencia sobre amenazas mediante los conectores integrados de TAXII (Intercambio de confianza de información sobre indicadores automatizados) o mediante la API de seguridad de Microsoft Graph. Para más información, consulte Integración de inteligencia sobre amenazas en Microsoft Sentinel. Para obtener más información sobre cómo importar la inteligencia sobre amenazas, consulte las secciones del Módulo 4: Recopilación de datos.
Una vez importada, la inteligencia sobre amenazas se usa ampliamente en Microsoft Sentinel. Las siguientes características se centran en el uso de la inteligencia sobre amenazas:
Vea y administre la inteligencia sobre amenazas importada en Registros en la nueva área Inteligencia sobre amenazas de Microsoft Sentinel.
Use las plantillas de reglas de análisis integradas de inteligencia sobre amenazas para generar alertas e incidentes de seguridad mediante la inteligencia sobre amenazas importada.
Visualización de información clave acerca de la inteligencia sobre amenazas en Microsoft Sentinel con el libro Inteligencia sobre amenazas.
Vea el seminario web "Automatización de los esfuerzos de evaluación de prioridades de Microsoft Sentinel con la inteligencia sobre amenazas RiskIQ": YouTube o presentación.
¿Dispone de poco tiempo? Vea la sesión de Ignite (28 minutos).
¿Desea más información detallada? Vea el seminario web "Profundización en la inteligencia sobre amenazas": YouTube, MP4 o presentación.
Listas de reproducción y otros mecanismos de búsqueda
Para importar y administrar cualquier tipo de información contextual, Microsoft Sentinel proporciona listas de reproducción. Con las listas de reproducción, puede cargar tablas de datos en formato CSV y usarlas en las consultas KQL. Para obtener más información, consulte Usar listas de reproducción en Microsoft Sentinel o vea el seminario web "Usar listas de reproducción para administrar alertas, reducir la fatiga de alertas y mejorar la eficiencia del SOC": YouTube o presentación.
Use las listas de seguimiento como ayuda en estos escenarios:
Investigación de amenazas y respuesta rápida a los incidentes: importe rápidamente direcciones IP, hashes de archivo y otros datos procedentes de archivos CSV. Una vez que importa los datos, puede usar los pares nombre-valor de las listas de seguimiento para combinaciones y filtros en reglas de alerta, búsqueda de amenazas, libros, cuadernos y consultas generales.
Importar datos empresariales como una lista de reproducción: por ejemplo, importe listas de usuarios con acceso privilegiado al sistema o empleados con el contrato finalizado. Luego, use la lista de seguimiento para crear listas de permitidos y listas de bloqueados para detectar o impedir que esos usuarios inicien sesión en la red.
Reducción de la fatiga por alerta: cree listas de permitidos para suprimir las alertas de un grupo de usuarios, como usuarios de direcciones IP autorizadas que realizan tareas que generalmente desencadenarían la alerta. Evite que los eventos benignos se conviertan en alertas.
Enriquecimiento de datos de eventos: use listas de seguimiento para enriquecer los datos de eventos con combinaciones de nombre-valor obtenidas de orígenes de datos externos.
Además de las listas de reproducción, puede usar el operador external-data de KQL, registros personalizados y funciones de KQL para administrar y consultar información de contexto. Cada uno de los cuatro métodos tiene sus ventajas y desventajas, y puede leer más sobre las comparaciones entre ellos en la entrada de blog "Implementación de búsquedas en Microsoft Sentinel". Aunque cada método es diferente, el uso de la información resultante en las consultas es similar y permite cambiar fácilmente entre ellos.
Para obtener ideas sobre el uso de listas de reproducción fuera de las reglas analíticas, vea "Uso de listas de reproducción para impulsar la eficiencia durante las investigaciones de Microsoft Sentinel".
Vea el seminario web "Uso de listas de reproducción para administrar alertas, reducir la fatiga de alertas y mejorar la eficacia de SOC": YouTube o presentación.
Módulo 7: Transformación de registro
Microsoft Sentinel admite dos características nuevas para la ingesta y transformación de datos. Estas características, proporcionadas por Log Analytics, actúan sobre los datos incluso antes de que se almacenen en el área de trabajo. Las características son:
API de ingesta de registros: úsela para enviar registros con formato personalizado desde cualquier origen de datos a un área de trabajo de Log Analytics y almacenarlos en determinadas tablas estándar concretas o en tablas con un formato personalizado que se creen para tal fin. Puede realizar la ingesta real de estos registros mediante llamadas API directas. Puede usar las reglas de recopilación de datos de Azure Monitor para definir y configurar estos flujos de trabajo.
Transformaciones de datos del área de trabajo para registros estándar: usa reglas de recopilación de datos para filtrar datos irrelevantes, enriquecer o etiquetar los datos u ocultar información confidencial o personal. Puede configurar la transformación de datos en el momento de la ingesta para los siguientes tipos de conectores de datos integrados:
- Conectores de datos basados en agente de Azure Monitor (AMA) (Syslog y CEF | DNS de Windows | Personalizar)
- Conectores de datos que usan la configuración de diagnóstico
- Conectores de datos de servicio a servicio
Para más información, consulte:
- Transformación o personalización de datos en tiempo de ingesta en Microsoft Sentinel
- Búsqueda del conector de datos de Microsoft Sentinel
Módulo 8: Migración
En muchos casos (si no la mayoría), ya se tiene una SIEM y se necesita migrar a Microsoft Sentinel. Aunque puede ser un buen momento para empezar de nuevo y replantear la implementación de SIEM, tiene sentido usar algunos de los recursos que ya ha creado en la implementación actual. Vea el seminario web "Procedimientos recomendados para convertir reglas de detección" (de Splunk, QRadar y ArcSight a Azure Microsoft Sentinel): YouTube, MP4, presentación o blog.
Puede que también esté interesado en los siguientes recursos:
- Lenguaje de procesamiento de búsqueda de Splunk (SPL) para asignaciones de KQL
- Ejemplos de asignación de reglas de ArcSight y QRadar
Módulo 9: modelo de información de SIEM avanzado y normalización
Trabajar al mismo tiempo con varios tipos de datos y tablas puede presentar dificultades. Debe estar familiarizado con esos tipos de datos y esquemas a medida que escribe y usa un conjunto único de reglas de análisis, libros y consultas de búsqueda. También puede resultar difícil realizar una correlación entre los distintos tipos de datos necesarios para la investigación y la búsqueda.
El modelo de información avanzado de SIEM (ASIM) proporciona una experiencia perfecta a la hora de gestionar orígenes diversos en vistas uniformes y normalizadas. ASIM se alinea con el modelo de información común de metadatos de eventos de seguridad de código abierto (OSSEM), lo que promueve la normalización independiente del proveedor en todo el sector. Vea el seminario web "Modelo de información avanzado de SIEM (ASIM): ahora integrado en Microsoft Sentinel": YouTube o presentación.
La implementación actual se basa en la normalización del tiempo de consulta, que usa funciones KQL:
- Esquemas normalizados: abarcan los conjuntos estándar de tipos de eventos predecibles con los que es fácil trabajar y en los que se pueden crear funcionalidades unificadas. El esquema define los campos que deben representar un evento, una convención normalizada de nomenclatura de columnas y un formato estándar para los valores de campo.
- Vea el seminario web "Descripción de la normalización en Microsoft Sentinel": YouTube o presentación.
- Vea el seminario web "Profundización en los analizadores de normalización de Microsoft Sentinel y contenido normalizado": YouTube, MP3 o presentación.
Los analizadores asignan los datos existentes a los esquemas normalizados. Los analizadores se implementan mediante funciones KQL. Vea el seminario web "Extensión y administración de ASIM: desarrollo, prueba e implementación de analizadores": YouTube o presentación.
El contenido de cada esquema normalizado incluye reglas de análisis, libros y consultas de búsqueda. Este contenido funciona en los datos normalizados de cualquier tipo sin necesidad de crear contenido específico del origen.
Usar ASIM brinda las ventajas siguientes:
Detección entre orígenes: las reglas de análisis normalizadas funcionan en orígenes locales y en la nube. Las reglas detectan ataques, como fuerza bruta, o bien sistemas imposibles de atravesar, como Okta, AWS y Azure.
Permitir contenido independiente de origen: la cobertura del contenido integrado y personalizado mediante ASIM se expande automáticamente a cualquier origen que admita ASIM, incluso si el origen se agregó después de crear el contenido. Por ejemplo, el análisis de eventos de proceso admite cualquier origen que un cliente pueda usar para traer los datos, entre ellos, Microsoft Defender para punto de conexión, eventos de Windows y Sysmon. Estamos listos para agregar Sysmon para Linux y WEF cuando se haya publicado.
Compatibilidad con los orígenes personalizados en el análisis integrado
Facilidad de uso: a los analistas que aprenden ASIM les resulta mucho más fácil de escribir consultas porque los nombres de campo siempre son los mismos.
Más información sobre ASIM
Saque partido de estos recursos:
Vea el seminario web de información general "Descripción de la normalización en Microsoft Sentinel": YouTube o presentación.
Vea el seminario web "Profundización en los analizadores de normalización de Microsoft Sentinel y contenido normalizado": YouTube, MP3 o presentación.
Vea el seminario web "Turboalimentación de ASIM: asegurarse de que la normalización ayuda al rendimiento en lugar de afectarle negativamente": YouTube, MP4 o presentación.
Lea la documentación de ASIM.
Implementación de ASIM
Implemente los analizadores de las carpetas que empiezan por "ASIM*" en la carpeta parsers de GitHub.
Active las reglas analíticas que usan ASIM. Busque normal en la galería de plantillas para encontrar algunas de ellas. Para obtener la lista completa, use esta búsqueda de GitHub.
Uso de ASIM
Use consultas de ASIM al usar KQL en la pantalla de registro.
Escriba sus propias reglas de análisis mediante ASIM o convierta las existentes.
Escriba analizadores para los orígenes personalizados para que sean compatibles con ASIM y participen en el análisis integrado.
Parte 3: Creación de contenido
¿Cuál es el contenido de Microsoft Sentinel?
El valor de la seguridad de Microsoft Sentinel es una combinación de sus funcionalidades integradas y su capacidad para crear funcionalidades personalizadas y personalizar las integradas. Entre las funcionalidades integradas, hay análisis de comportamiento de usuarios y entidades (UEBA), aprendizaje automático o reglas de análisis integradas. Las funcionalidades personalizadas a menudo se conocen como "contenido" e incluyen reglas analíticas, consultas de búsqueda, libros, cuadernos de estrategias, etc.
En esta sección, hemos agrupado los módulos que le pueden ayudar a aprender a crear este contenido o a modificar el contenido integrado según sus necesidades. Comenzamos con KQL, la lingua franca de Microsoft Sentinel. En los módulos siguientes se describe uno de los bloques de creación de contenido, como reglas, cuadernos de estrategias y libros. Para terminar, se describen los casos de uso, que abarcan elementos de diferentes tipos para abordar objetivos de seguridad específicos, como la detección de amenazas, la búsqueda o la gobernanza.
Módulo 10: Lenguaje de consulta Kusto
La mayoría de las funcionalidades de Microsoft Sentinel usan el Lenguaje de consulta Kusto (KQL). Cuando se busca en los registros, se escriben reglas, se crean consultas de búsqueda o se diseñan libros, se usa KQL.
En la sección siguiente sobre la escritura de reglas se explica cómo usar KQL en el contexto específico de las reglas de SIEM.
Recorrido recomendado para el aprendizaje de KQL para Microsoft Sentinel
Curso de KQL de Pluralsight: presenta los conceptos básicos
Must Learn KQL: una serie de KQL de 20 partes que le guiará por los conceptos básicos de la creación de su primera regla de análisis (incluye una evaluación y un certificado).
Laboratorio de KQL para Microsoft Sentinel: un laboratorio interactivo que enseña KQL con un enfoque en lo que se necesita para Microsoft Sentinel:
- Módulo de aprendizaje (SC-200, parte 4)
- Presentación o dirección URL del laboratorio
- Una versión de Jupyter Notebooks, que le permite probar las consultas dentro del cuaderno
- Seminario web de aprendizaje: YouTube o MP4
- Seminario web de revisión de soluciones de laboratorio: YouTube o MP4
Seminario web "Optimización del rendimiento de las consultas KQL para Microsoft Sentinel": YouTube, MP4 o presentación
"Uso de ASIM en las consultas de KQL": YouTube o presentación
Seminario web "Marco de KQL para Microsoft Sentinel: le permite convertirse en experto en KQL": YouTube o presentación
A medida que aprende KQL, también puede encontrar las siguientes referencias útiles:
Módulo 11: Análisis
Escritura de reglas de análisis programadas
Con Microsoft Sentinel, puede usar plantillas de reglas integradas, personalizar las plantillas para su entorno o crear reglas personalizadas. El núcleo de las reglas es una consulta KQL; sin embargo, se puede configurar mucho más en una regla.
Para obtener información sobre el procedimiento para crear reglas, consulte Creación de reglas de análisis personalizadas para detectar amenazas. Para aprender a escribir reglas, es decir, lo que debe contener una regla, centrándose en KQL para reglas, vea el seminario web: YouTube, MP4 o presentación.
Las reglas de análisis de SIEM tienen patrones específicos. Obtenga información sobre cómo implementar reglas y escribir KQL para esos patrones:
Reglas de correlación: vea Uso de listas y del operador "in" o Uso del operador "join"
Agregación: consulte Uso de listas y del operador "in" o Ventanas deslizantes de control de patrones más avanzados
Búsquedas: búsquedas normales, o aproximadas, parciales y combinadas
Control de falsos positivos
Eventos retrasados: un hecho real en cualquier SIEM y son difíciles de abordar. Microsoft Sentinel puede ayudarle a mitigar los retrasos en las reglas.
Uso de funciones de KQL como bloques de creación: enriquecimiento de eventos de seguridad de Windows con funciones parametrizadas.
La entrada de blog "Investigaciones del almacenamiento de blobs y archivos" proporciona un ejemplo paso a paso de la escritura de una regla analítica útil.
Uso del análisis integrados
Antes de empezar a escribir sus propias reglas, debe pensar en la posibilidad de sacar provecho de las funcionalidades del análisis integrado. No piden mucho al usuario, pero vale la pena conocerlas:
Use las plantillas de reglas programadas integradas. Puede ajustar esas plantillas modificándolas de la misma manera que para editar cualquier regla programada. Asegúrese de implementar las plantillas para los conectores de datos que conecta, que se enumeran en la pestaña Pasos siguientes del conector de datos.
Obtenga más información sobre las funcionalidades de aprendizaje automático de Microsoft Sentinel: MP4, YouTube o presentación.
Obtenga la lista de detecciones avanzadas de ataques en varias fases ("Fusion") de Microsoft Sentinel, que están habilitadas de forma predeterminada.
Vea el seminario web "Detecciones de aprendizaje automático de Fusion con reglas de análisis programadas": YouTube, MP4 o presentación.
Obtenga más información sobre las anomalías de aprendizaje automático en SOC integradas en Microsoft Sentinel.
Vea el seminario web "Anomalías personalizadas de aprendizaje automático en SOC y cómo usarlas": YouTube, MP4 o presentación.
Vea el seminario web "Detecciones de aprendizaje automático de Fusion para la interfaz de usuario de configuración y las amenazas emergentes": YouTube o presentación.
Módulo 12: Implementación de SOAR
En las SIEM modernas, como Microsoft Sentinel, SOAR constituye todo el proceso desde el momento en que se desencadena un incidente hasta que se resuelve. Este proceso comienza por una investigación de incidentes y continúa con una respuesta automatizada. La entrada de blog "Procedimientos para usar Microsoft Sentinel para la respuesta a incidentes, la orquestación y la automatización" proporciona información general sobre los casos de uso comunes para SOAR.
Las reglas de automatización son el punto de partida para la automatización de Microsoft Sentinel. Proporcionan un método ligero para el control automatizado y centralizado de incidentes, incluida la supresión, el control de falsos positivos y la asignación automática.
Para proporcionar funcionalidades eficaces de automatización basadas en flujos de trabajo, las reglas de automatización usan cuadernos de estrategias de Logic Apps. Para obtener más información:
Vea el seminario web "Despliegue de trucos Jedi de automatización y creación de cuadernos de estrategias de Logic Apps como un jefe": YouTube, MP4 o presentación.
Obtenga información sobre Logic Apps, que es la tecnología principal en la que se basan los cuadernos de estrategias de Microsoft Sentinel.
Consulte El conector de Logic Apps de Microsoft Sentinel, el vínculo entre Logic Apps y Microsoft Sentinel.
Encuentre docenas de cuadernos de estrategias útiles en la carpeta Playbooks en el sitio de GitHub para Microsoft Sentinel o leer Un cuaderno de estrategias que usa una lista de reproducción para informar al propietario de una suscripción sobre una alerta para un tutorial de cuadernos de estrategias.
Módulo 13: Libros, informes y visualización
Workbooks
Como centro neurálgico de su SOC, necesita Microsoft Sentinel para visualizar la información que recopila y genera. Use libros para visualizar datos en Microsoft Sentinel.
Para obtener información sobre cómo crear libros, lea la documentación sobre los libros de Azure o vea el Entrenamiento de libros de Billy York (y el texto complementario).
Los recursos mencionados no son específicos de Microsoft Sentinel. Se aplican a los libros en general. Para más información sobre los libros en Microsoft Sentinel, consulte el seminario web: YouTube, MP4 o presentación. Lea la documentación.
Los libros pueden ser interactivos y permiten mucho más que simplemente la elaboración de gráficos. Con los libros, puede crear aplicaciones o módulos de extensión para Microsoft Sentinel a fin de complementar su funcionalidad integrada. También puede usar libros para ampliar las características de Microsoft Sentinel. Estos son algunos ejemplos de esas aplicaciones:
En el Libro de información de investigación se proporciona un enfoque alternativo para investigar incidentes.
La Visualización de grafos de las colaboraciones externas de Teams permite buscar el uso de Teams de riesgo.
El libro de mapa de viajes de los usuarios permite investigar alertas de ubicación geográfica.
El libro de protocolos no seguros de Microsoft Sentinel (guía de implementación, mejoras recientes y vídeo de información general) le ayuda a identificar el uso de protocolos no seguros en la red.
Por último, aprenda a integrar información de cualquier origen mediante llamadas API en un libro.
Encontrará docenas de libros en la carpeta Workbooks en el GitHub de Microsoft Sentinel. Algunos de ellos también están disponibles en la galería de libros de Microsoft Sentinel.
Informes y otras opciones de visualización
Los libros pueden servir para generar informes. Para las funcionalidades más avanzadas de la generación de informes, como la programación y la distribución de informes o las tablas dinámicas, puede que quiera usar:
Power BI, que se integra de forma nativa con los registros de Azure Monitor y Microsoft Sentinel.
Excel, que puede usar registros de Azure Monitor y Microsoft Sentinel como origen de datos, y el vídeo "Integración de registros de Azure Monitor y Excel con Azure Monitor".
Los cuadernos de Jupyter Notebook, un tema que se trata más adelante en el módulo de búsqueda, también son una excelente herramienta de visualización.
Módulo 14: Cuadernos
Los cuadernos de Jupyter Notebook están totalmente integrados con Microsoft Sentinel. Aunque se considera una herramienta importante en la caja de herramientas del buscador y se describe en los seminarios web de la sección de búsqueda, su valor es mucho más amplio. Los cuadernos pueden servir para la visualización avanzada, como una guía de investigación, y para una automatización sofisticada.
Para comprenderlos mejor los cuadernos, vea el vídeo de introducción a los cuadernos. Empiece por el seminario web Cuadernos (YouTube, MP4 o presentación) o lea la documentación. La serie Ninja de los cuadernos de Microsoft Sentinel es una serie de entrenamiento en curso para mejorar las aptitudes al usar los cuadernos.
MSTICPY implementa una parte importante de la integración, que es una biblioteca de Python desarrollada por nuestro equipo de investigación para su uso con cuadernos de Jupyter Notebook. Agrega interfaces de Microsoft Sentinel y funcionalidades de seguridad sofisticadas a los cuadernos.
Aspectos básicos de MSTICPy para crear sus propios cuadernos
Nivel intermedio de MSTICPy para compilar sus propios cuadernos
Módulo 15: Casos de uso y soluciones
Con los conectores, las reglas, los cuadernos de estrategias y los libros, puede implementar casos de uso, que es el término de SIEM para un paquete de contenido destinado a detectar y responder a una amenaza. Puede implementar casos de uso integrados de Microsoft Sentinel mediante la activación de las reglas sugeridas al conectar cada conector. Una solución es un grupo de casos de uso que abordan un dominio de amenaza específico.
El seminario web "Abordar la identidad" (YouTube, MP4 o presentación) explica qué es un caso de uso, cómo abordar su diseño y presenta varios casos de uso que abarcan colectivamente las amenazas de identidad.
Otra área de solución relevante es proteger el trabajo remoto. Vea nuestra sesión de Ignite sobre la protección del trabajo remoto y lea más sobre los casos de uso específicos siguientes:
Casos de uso de búsqueda de Microsoft Teams y Visualización de grafos de colaboraciones externas de Microsoft Teams
Supervisión de Zoom con Microsoft Sentinel: conectores personalizados, reglas analíticas y consultas de búsqueda.
Supervisión de Azure Virtual Desktop con Microsoft Sentinel: use eventos de seguridad de Windows, registros de inicio de sesión de Microsoft Entra, Microsoft Defender XDR para puntos de conexión y registros de diagnóstico de Azure Virtual Desktop para detectar y buscar amenazas de Azure Virtual Desktop.
Supervise Microsoft Intune mediante consultas y libros de trabajo.
Y, por último, centrándose en ataques recientes, aprenda a supervisar la cadena de suministro de software con Microsoft Sentinel.
Las soluciones de Microsoft Sentinel proporcionan detectabilidad en el producto, implementación en un solo paso y habilitación de escenarios de productos, dominios o verticales de un extremo a otro en Microsoft Sentinel. Para obtener más información, consulte Acerca del contenido y las soluciones de Microsoft Sentinel y vea el seminario web "Crear sus propias soluciones de Microsoft Sentinel": YouTube o presentación.
Parte 4: Funcionamiento
Módulo 16: Control de incidentes
Después de compilar el SOC, debe empezar a usarlo. El seminario web "un día en la vida del analista de SOC" (YouTube, MP4 o presentación) le guía en el uso de Microsoft Sentinel en el SOC para evaluar las prioridades, investigar y responder a incidentes.
Para ayudar a los equipos a colaborar sin problemas en toda la organización y con partes interesadas externas, vea Integración con Microsoft Teams directamente desde Microsoft Sentinel. Además, vea el seminario web "Reducción del MTTR (tiempo medio de respuesta) de SOC mediante la integración de Microsoft Sentinel con Microsoft Teams".
También puede leer el artículo de documentación sobre la investigación de incidentes. Como parte de la investigación, también usará las páginas de entidad para obtener más información sobre las entidades relacionadas con el incidente o identificadas como parte de la investigación.
La investigación de incidentes en Microsoft Sentinel se extiende más allá de la funcionalidad principal de investigación de incidentes. Puede crear más herramientas de investigación mediante libros y cuadernos; los cuadernos se describen en la sección siguiente, Módulo 17: Búsqueda. También puede crear más herramientas de investigación o modificar algunas existentes según sus necesidades específicas. Entre los ejemplos se incluyen:
En el Libro de información de investigación se proporciona un enfoque alternativo para investigar incidentes.
Los cuadernos mejoran la experiencia de investigación. Lea ¿Por qué usar Jupyter para investigaciones de seguridad? y aprenda a investigar con Microsoft Sentinel y Jupyter Notebook:
Módulo 17: Búsqueda
Aunque la mayor parte de la explicación hasta ahora se ha centrado en la detección y la administración de incidentes, la búsqueda es otro caso de uso importante para Microsoft Sentinel. La búsqueda es una búsqueda proactiva de amenazas en lugar de una respuesta reactiva a las alertas.
El panel de búsqueda se actualiza constantemente. Muestra todas las consultas escritas por el equipo de analistas de seguridad de Microsoft y las consultas adicionales que ha creado o modificado. En cada consulta se proporciona una descripción de lo que se busca y en qué tipo de datos se ejecuta. Estas plantillas se agrupan según sus diversas tácticas. Los iconos de la derecha clasifican el tipo de amenaza, como el acceso inicial, la persistencia y la filtración. Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.
Para obtener más información sobre en qué consiste la búsqueda y cómo se admite en Microsoft Sentinel, vea el seminario web de introducción "Búsqueda de amenazas": YouTube, MP4 o presentación. El seminario web comienza con una actualización de las nuevas características. Para información sobre la búsqueda, comience en la diapositiva 12. El vídeo de YouTube ya está configurado para empezar allí.
Aunque el seminario web de introducción se centra en las herramientas, la búsqueda se centra en la seguridad. Nuestro seminario web del equipo de investigación de seguridad (YouTube, MP4 o presentación) se centra en cómo buscar realmente.
El seminario web de continuación "Búsqueda de amenazas de AWS mediante Microsoft Sentinel" (YouTube, MP4 o presentación) explica este punto mostrando un escenario de búsqueda integral en un entorno de destino de alto valor.
Por último, puede aprender a realizar la búsqueda posterior a la puesta en peligro de SolarWinds con Microsoft Sentinel y la búsqueda de WebShell motivadas por las vulnerabilidades recientes en los servidores locales de Microsoft Exchange.
Módulo 18: Análisis del comportamiento de usuarios y entidades (UEBA)
El módulo Análisis de comportamiento de entidades y usuarios (UEBA) de Microsoft Sentinel recién presentado le permite identificar e investigar amenazas dentro de la organización y su posible impacto, independientemente de que provengan de una identidad en peligro o de un usuario malintencionado.
A medida que Microsoft Sentinel recopila registros y alertas de todos sus orígenes de datos conectados, los analiza y genera perfiles de comportamiento de base de referencia de las entidades de la organización (como usuarios, hosts, direcciones IP y aplicaciones) a través del tiempo y del horizonte del grupo del mismo nivel. Con diversas técnicas y funcionalidades de aprendizaje automático, Microsoft Sentinel puede identificar las actividades anómalas y ayudarle a determinar si un recurso está en peligro. No solo eso, sino que también puede averiguar la sensibilidad relativa de los recursos concretos, identificar los grupos de homólogos y evaluar el impacto potencial de cualquier recurso en peligro determinado (su "radio de la explosión"). Gracias a esta información, puede priorizar la investigación y el tratamiento de incidentes de manera eficaz.
Obtenga más información sobre UEBA en el seminario web (YouTube, MP4 o presentación) y lea sobre el uso de UEBA para investigaciones en su SOC.
Para obtener información sobre las actualizaciones más recientes, vea el seminario web "Futuro de los análisis de comportamiento de entidades de usuarios en Microsoft Sentinel".
Módulo 19: Supervisión del mantenimiento de Microsoft Sentinel
Parte del funcionamiento de un SIEM es asegurarse de que funciona sin problemas en un área en constante evolución de Microsoft Sentinel. Use lo siguiente para supervisar el mantenimiento de Microsoft Sentinel:
Mida la eficacia de las operaciones de seguridad (vídeo).
La tabla de datos de estado de Microsoft Sentinel proporciona conclusiones sobre los desfases de mantenimiento, como los eventos de error más recientes por conector, o los conectores con cambios de estados correctos a estados con error, que puede usar para crear alertas y otras acciones automatizadas. Para más información, consulte Supervisión del estado de los conectores de datos. Vea el vídeo "Libro de seguimiento de estado de conectores de datos". Además, obtenga notificaciones sobre anomalías.
Supervise los agentes que usan la solución de mantenimiento de los agentes (solo Windows) y la tabla Latido (Linux y Windows).
Supervise el área de trabajo de Log Analytics: YouTube, MP4 o presentación, incluida la ejecución de consultas y el mantenimiento de la ingesta.
La administración de costos también es un procedimiento operativo importante en el SOC. Use el Cuaderno de estrategias de alertas de costos de ingesta para asegurarse de estar siempre al tanto de cualquier aumento del costo.
Parte 5: Nivel avanzado
Módulo 20: Ampliación e integración mediante las API de Microsoft Sentinel
Como SIEM nativa de nube, Microsoft Sentinel es un sistema de API primero. Cada característica se puede configurar y usar a través de una API, lo que permite una fácil integración con otros sistemas y la extensión de Microsoft Sentinel con su propio código. Si escuchar la palabra API le intimida, no se preocupe. Todo lo que esté disponible mediante la API también está disponible mediante PowerShell.
Para más información sobre las API de Microsoft Sentinel, vea el breve vídeo introductorio y lea la entrada de blog. Para profundizar más, vea el seminario web "Extensión e integración de Sentinel (API)" (YouTube, MP4 o presentación) y lea la entrada de blog Extensión de Microsoft Sentinel: API, integración y automatización de la administración.
Módulo 21: Compilación de un modelo propio de aprendizaje automático
Microsoft Sentinel proporciona una excelente plataforma para implementar sus propios algoritmos de Machine Learning. Lo denominamos Compilación del propio modelo de Machine Learning o BYO ML. BYO ML está destinado a usuarios avanzados. Si busca un análisis integrado de comportamiento, use nuestras reglas de análisis de Machine Learning, el módulo UEBA o escriba sus propias reglas de análisis de comportamiento basadas en KQL.
Para empezar con la incorporación de su propio aprendizaje automático a Microsoft Sentinel, vea el vídeo "Compilación de su propio modelo de Machine Learning" y lea la entrada de blog Detecciones del modelo de compilación de un modelo propio de Machine Learning en el SIEM de Microsoft Sentinel inmerso en IA. También puede consultar la documentación de BYO ML.
Pasos siguientes
- Guía de implementación de Microsoft Sentinel
- Inicio rápido: Incorporación a Microsoft Sentinel
- Novedades de Microsoft Azure Sentinel
Contenido recomendado
- Procedimientos recomendados de Microsoft Sentinel
- Diseños de ejemplo de áreas de trabajo de Microsoft Sentinel
- Planear los costos y conocer los precios y la facturación de Microsoft Sentinel
- Roles y permisos en Microsoft Sentinel
- Implementación de Microsoft Sentinel en paralelo con un SIEM existente