Ejercicio: Detección de amenazas con análisis de Microsoft Sentinel

  • 20 minutos

El ejercicio Detección de amenazas con análisis de Microsoft Sentinel de este módulo es una unidad opcional. Sin embargo, si quiere completarlo, debe tener acceso a una suscripción de Azure donde se pueden crear recursos de Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Para implementar los requisitos previos del ejercicio, realice las siguientes tareas.

Nota:

Si decide realizar el ejercicio de este módulo, tenga en cuenta que pueden aplicarse costos en la suscripción de Azure. Para estimar el costo, vea Precios de Microsoft Sentinel.

Tarea 1: Implementación de Microsoft Sentinel mediante una plantilla de ARM

  1. Seleccione el siguiente vínculo:

    Deploy To Azure.

    Se le pedirá que inicie sesión en Azure. Aparece el panel Implementación personalizada.

  2. En la pestaña Aspectos básicos, escriba los valores siguientes para cada opción.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione Crear nuevo y escriba un nombre para el grupo de recursos, como azure-sentinel-rg.
    Detalles de instancia
    Region En la lista desplegable, seleccione la ubicación donde quiera implementar Microsoft Sentinel.
    Nombre del área de trabajo Proporcione un nombre único para el área de trabajo de Microsoft Sentinel, como <yourName>-sentinel, donde <suNombre> representa el nombre del área de trabajo que ha elegido en la tarea anterior.
    Location Acepte el valor predeterminado [resourceGroup().location].
    Simplevm Name (Nombre de simplevm) Acepte el valor predeterminado simple-vm.
    Simplevm Windows OS Version (Versión del SO Windows de simplevm) Acepte el valor predeterminado 2016-Datacenter.

  3. Seleccione Revisar y crear. Cuando se supera la validación, seleccione Crear.

    Screenshot of the Custom Deployment page.

    Nota:

    Espere a que la implementación se complete. La implementación debe tardar menos de cinco minutos.

Tarea 2: Comprobación de los recursos creados

  1. En Azure Portal, busque los Grupos de recursos.

  2. Seleccione azure-sentinel-rg.

  3. Ordene la lista de recursos por Tipo.

    El grupo de recursos debe contener los recursos que se muestran en la tabla siguiente.

    Nombre Type Descripción
    <yourName>-sentinel Área de trabajo de Log Analytics Área de trabajo de Log Analytics que usa Microsoft Sentinel, donde <yourName> representa el nombre del área de trabajo elegido en la tarea anterior.
    simple-vmNetworkInterface interfaz de red Interfaz de red de la VM.
    SecurityInsights(<yourName>-sentinel) Solución Información de seguridad para Microsoft Sentinel.
    simple-vm Máquina virtual Máquina virtual (VM) usada en la demostración.
    st1<xxxxx> Cuenta de almacenamiento Cuenta de almacenamiento usada por la máquina virtual, donde <xxxxx> representa una cadena aleatoria generada para crear un nombre de cuenta de almacenamiento único.
    vnet1 Virtual network Red virtual de la máquina virtual.

Nota:

Los recursos implementados y los pasos de configuración completados en este ejercicio son necesarios en el ejercicio siguiente. Si prevé completar el ejercicio siguiente, no elimine los recursos de este ejercicio.

Tarea 3: Configuración de conectores de datos de Microsoft Sentinel

En esta tarea, implementará un conector de datos de Microsoft Sentinel para detectar la actividad de Azure.

  1. En Azure Portal, seleccione Inicio y, luego, busque y seleccione Microsoft Sentinel.

  2. En la lista de nombres de áreas de trabajo de Sentinel, seleccione el área de trabajo de Microsoft Sentinel que ha creado en la tarea 2. Aparecerá el panel Información general de su área de trabajo de Sentinel.

  3. En el panel de menús, en Administración de contenido, seleccione Centro de contenido. Aparece el panel Centro de contenido.

  4. En el cuadro Buscar, busque y seleccione la solución Azure Activity. En el panel de detalles de Azure Activity, seleccione Instalar.

  5. Espere a que se complete la instalación y seleccione Administrar.

  6. En el cuadro Buscar, busque y seleccione el conector de datos de Azure Activity.

  7. En el panel de detalles de Azure Activity, seleccione Abrir página de conectores.

  8. En la pestaña Instrucciones, área Configuración, desplácese hacia abajo y, en "2. Conecte las suscripciones..." seleccione Asistente para configurar asignaciones de Azure Policy>.

  9. En la pestaña Aspectos básicos, seleccione el botón de puntos suspensivos (...) en Ámbito, elija la suscripción de Azure en la lista desplegable y seleccione Seleccionar.

  10. Seleccione la pestaña Parámetros y elija el área de trabajo yourName-sentinel en la lista desplegable Área de trabajo de Log Analytics.

  11. Seleccione la pestaña Corrección y active la casilla Crear una tarea de corrección. Esta acción aplica la configuración de la suscripción para enviar la información al área de trabajo de Log Analytics.

    Nota

    Para aplicar la directiva a los recursos existentes, debe crear una tarea de corrección.

  12. Seleccione el botón Revisar y crear para revisar la configuración.

  13. Seleccione Crear para finalizar.

  14. Una vez completada la implementación, verá el estado Conectado (barra verde) para el conector de Azure Activity en el panel Configuración o conectores de datos.

Screenshot of the Microsoft Sentinel connector.

Nota:

El conector de actividad de Azure puede tardar 15 minutos en mostrar Conectado en Microsoft Sentinel. Puede continuar con el resto de los pasos y con otras unidades de este módulo.