Ejercicio: conexión de datos de Microsoft Entra ID a Microsoft Sentinel
¿Qué es Microsoft Sentinel?
Una administración de eventos e información de seguridad (SIEM) agrega y analiza la actividad. Una herramienta de automatización y corrección de orquestaciones de seguridad (SOAR) recopila datos sobre amenazas de seguridad y responde a ellas. Microsoft Sentinel es una solución SIEM y SOAR escalable y nativa de nube. Microsoft Azure Sentinel permite obtener una vista general de toda la empresa, lo que suaviza la tensión de ataques cada vez más sofisticados, volúmenes de alertas cada vez mayores y plazos de resolución largos.
- Recopile datos a escala de nube de todos los usuarios, dispositivos, aplicaciones y de toda la infraestructura, tanto en el entorno local como en diversas nubes.
- Detecte amenazas que antes no se detectaban y minimice los falsos positivos mediante el análisis y la inteligencia sobre amenazas sin precedentes de Microsoft.
- Investigue amenazas con inteligencia artificial y busque actividades sospechosas a escala, aprovechando el trabajo de ciberseguridad que ha llevado a cabo Microsoft durante décadas.
- Responda a los incidentes con rapidez con la orquestación y la automatización de tareas comunes integradas.
Requisitos previos
- Se requiere una licencia P1 o P2 de Microsoft Entra ID para ingerir registros de inicio de sesión en Microsoft Sentinel. Cualquier licencia de Microsoft Entra ID (Gratis/O365/P1 o P2) es suficiente para ingerir los otros tipos de registro. Se pueden aplicar cargos adicionales por gigabyte en el caso de Azure Monitor (Log Analytics) y Microsoft Sentinel.
- Su usuario debe tener asignado el rol "Colaborador de Microsoft Sentinel" en el área de trabajo.
- El usuario debe tener asignados los roles Administrador global o Administrador de seguridad en el inquilino desde el que quiere transmitir los registros.
- El usuario debe tener permisos de lectura y escritura en la configuración de diagnóstico de Microsoft Entra para poder ver el estado de la conexión.
Creación e incorporación de un área de trabajo de Microsoft Sentinel
Si aún no tiene un área de trabajo disponible para Microsoft Sentinel, siga estas instrucciones.
Inicie sesión en Azure Portal como administrador de inquilinos.
Busque y seleccione Sentinel.
En la pantalla Áreas de trabajo de Microsoft Sentinel, en el menú, seleccione + Agregar. Si ya tiene un área de trabajo de Microsoft Sentinel, puede seleccionarla y continuar con la siguiente tarea.
En la pantalla Agregar Microsoft Sentinel a un área de trabajo, seleccione Crear un área de trabajo nueva.
Para crear un área de trabajo de Log Analytics, use la información siguiente:
Configuración Valor Subscription Use la suscripción actual. Resource group Use un grupo de recursos existente o cree uno. Nombre Lab-workspace-yourinitialsanddate. El área de trabajo debe ser un valor único global. Plan de tarifa Pago por uso Cuando haya terminado, seleccione el área de trabajo nueva y, después, seleccione Agregar para agregar el área de trabajo a Microsoft Sentinel.
Conectar a Microsoft Entra ID
Puede usar el conector integrado de Microsoft Sentinel para recopilar datos de Microsoft Entra ID y transmitirlos a Microsoft Sentinel. El conector permite transmitir registros de inicio de sesión y registros de auditoría.
En Microsoft Sentinel, en el menú de navegación de la izquierda, en Configuración, seleccione Conectores de datos.
En la lista Conectores de datos, seleccione Microsoft Entra ID y luego Abrir página del conector.
En Configuración, active las casillas de verificación Registros de inicio de sesión de Microsoft Entra y Registros de auditoría y, a continuación, seleccione Aplicar cambios.
Cierre la página del conector de Microsoft Entra ID.