Conectar Microsoft Sentinel a Microsoft Defender XDR (versión preliminar)
Microsoft Sentinel está disponible como parte de la versión preliminar pública para la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. Al incorporar Microsoft Sentinel al portal de Microsoft Defender, unifica funcionalidades con Microsoft Defender XDR como la administración de incidentes y la búsqueda avanzada. Reduzca el cambio de herramientas y cree una investigación más centrada en el contexto que agilice la respuesta a incidentes y detenga las infracciones más rápido. Para obtener más información, consulte:
- Microsoft Sentinel en el portal de Microsoft Defender
- Plataforma unificada de operaciones de seguridad con Microsoft Sentinel y Defender XDR
Importante
La información de este artículo se refiere a un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Requisitos previos
Antes de empezar, revise la documentación de características para comprender los cambios y limitaciones del producto:
- Microsoft Sentinel en el portal de Microsoft Defender
- Búsqueda avanzada de amenazas en el portal de Microsoft Defender
- Automatización con la plataforma de operaciones de seguridad unificadas
El portal de Microsoft Defender admite un único inquilino Microsoft Entra y la conexión a un área de trabajo a la vez. En el contexto de este artículo, un área de trabajo es un área de trabajo de Log Analytics con Microsoft Sentinel habilitado.
Para incorporar y usar Microsoft Sentinel en el portal de Microsoft Defender, debe tener los siguientes recursos y acceso:
Un área de trabajo de Log Analytics que tiene Habilitado Microsoft Sentinel
El conector de datos para Microsoft Defender XDR (anteriormente denominado Microsoft 365 Defender) habilitado en Microsoft Sentinel para incidentes y alertas
Acceso a Microsoft Defender XDR en el portal de Defender
Microsoft Defender XDR incorporado al inquilino de Microsoft Entra
Una cuenta de Azure con los roles adecuados para incorporar, usar y crear solicitudes de soporte técnico para Microsoft Sentinel en el portal de Defender. En la tabla siguiente se resaltan algunos de los roles clave necesarios.
Tarea Se requiere un rol integrado de Azure Ámbito Conexión o desconexión de un área de trabajo con Microsoft Sentinel habilitado Propietario o administrador de acceso de usuario y colaborador de Microsoft Sentinel - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para colaborador de Microsoft Sentinel Visualización de Microsoft Sentinel en el portal de Defender Lector de Microsoft Sentinel Suscripción, grupo de recursos o recurso de área de trabajo Consulta de tablas de datos de Sentinel o visualización de incidentes Lector de Microsoft Sentinel o un rol con las siguientes acciones:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Suscripción, grupo de recursos o recurso de área de trabajo Realizar acciones de investigación sobre incidentes Colaborador de Microsoft Sentinel o un rol con las siguientes acciones:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Suscripción, grupo de recursos o recurso de área de trabajo Crear una solicitud de soporte técnico Propietario , colaborador o colaborador de la solicitud de soporte técnico o un rol personalizado con Microsoft.Support/* Suscripción Después de conectar Microsoft Sentinel al portal de Defender, los permisos de control de acceso basado en rol (RBAC) de Azure existentes le permiten trabajar con las características de Microsoft Sentinel a las que tiene acceso. Siga administrando roles y permisos para los usuarios de Microsoft Sentinel desde el Azure Portal. Los cambios de RBAC de Azure se reflejan en el portal de Defender. Para obtener más información sobre los permisos de Microsoft Sentinel, consulte Roles y permisos en Microsoft Sentinel | Microsoft Learn y Administrar el acceso a los datos de Microsoft Sentinel por recurso | Microsoft Learn.
Incorporación de Microsoft Sentinel
Para conectar un área de trabajo con Microsoft Sentinel habilitado para Defender XDR, siga estos pasos:
Vaya al portal de Microsoft Defender e inicie sesión.
En Microsoft Defender XDR, seleccione Información general.
Seleccione Conectar un área de trabajo.
Elija el área de trabajo que desea conectar y seleccione Siguiente.
Lea y comprenda los cambios de producto asociados a la conexión del área de trabajo. Estos cambios incluyen:
- Las tablas de registro, las consultas y las funciones del área de trabajo de Microsoft Sentinel también están disponibles en la búsqueda avanzada dentro de Defender XDR.
- El rol Colaborador de Microsoft Sentinel se asigna a las aplicaciones Microsoft Threat Protection y WindowsDefenderATP dentro de la suscripción.
- Las reglas activas de creación de incidentes de seguridad de Microsoft se desactivan para evitar incidentes duplicados. Este cambio solo se aplica a las reglas de creación de incidentes para las alertas de Microsoft y no a otras reglas de análisis.
- Todas las alertas relacionadas con Defender XDR productos se transmiten directamente desde el conector de datos principal Defender XDR para garantizar la coherencia. Asegúrese de que tiene incidentes y alertas de este conector activados en el área de trabajo.
Seleccione Conectar.
Una vez conectado el área de trabajo, el banner de la página Información general muestra que la información de seguridad unificada y la administración de eventos (SIEM) y la detección y respuesta extendidas (XDR) están listos. La página Información general se actualiza con nuevas secciones que incluyen métricas de Microsoft Sentinel, como el número de conectores de datos y las reglas de automatización.
Exploración de las características de Microsoft Sentinel en el portal de Defender
Después de conectar el área de trabajo al portal de Defender, Microsoft Sentinel se encuentra en el panel de navegación izquierdo. Páginas como Información general, Incidentes y Búsqueda avanzada tienen datos unificados de Microsoft Sentinel y Defender XDR. Para obtener más información sobre las funcionalidades unificadas y las diferencias entre los portales, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Muchas de las características existentes de Microsoft Sentinel se integran en el portal de Defender. Para estas características, observe que la experiencia entre Microsoft Sentinel en el portal de Azure Portal y Defender es similar. Use los artículos siguientes para ayudarle a empezar a trabajar con Microsoft Sentinel en el portal de Defender. Al usar estos artículos, tenga en cuenta que el punto de partida en este contexto es el portal de Defender en lugar de la Azure Portal.
- Búsqueda
- Administración de amenazas
- Visualización y supervisión de los datos mediante libros
- Realización de búsqueda de amenazas de un extremo a otro con cazas
- Uso de marcadores de búsqueda para investigaciones de datos
- Uso de livestream de búsqueda en Microsoft Sentinel para detectar amenazas
- Búsqueda de amenazas de seguridad con cuadernos de Jupyter Notebook
- Adición masiva de indicadores a la inteligencia sobre amenazas de Microsoft Sentinel desde un archivo CSV o JSON
- Trabajar con indicadores de amenazas en Microsoft Sentinel
- Descripción de la cobertura de seguridad por parte del marco de trabajo de MITRE ATT&CK
- Administración de contenido
- Configuración
- Búsqueda del conector de datos de Microsoft Sentinel
- Create reglas de análisis personalizadas para detectar amenazas
- Trabajar con reglas de análisis de detección casi en tiempo real (NRT) en Microsoft Sentinel
- Create listas de reproducción
- Administración de listas de reproducción en Microsoft Sentinel
- Create reglas de automatización
- Create y personalizar cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido
Busque la configuración de Microsoft Sentinel en el portal de Defender enConfiguración del>sistema>de Microsoft Sentinel.
Offboard Microsoft Sentinel
Solo puede tener un área de trabajo conectada al portal de Defender a la vez. Si desea conectarse a un área de trabajo diferente que tenga Habilitado Microsoft Sentinel, desconecte el área de trabajo actual y conecte la otra área de trabajo.
Vaya al portal de Microsoft Defender e inicie sesión.
En el portal de Defender, en Sistema, seleccione Configuración de>Microsoft Sentinel.
En la página Áreas de trabajo , seleccione el área de trabajo conectada y Desconectar área de trabajo.
Confirme la selección.
Cuando el área de trabajo está desconectada, la sección de Microsoft Sentinel se quita de la navegación del lado izquierdo del portal de Defender. Los datos de Microsoft Sentinel ya no se incluyen en la página Información general.
Si desea conectarse a un área de trabajo diferente, en la página Áreas de trabajo, seleccione el área de trabajo y Conectar un área de trabajo.
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de