Ejercicio: Consulta y visualización de datos con libros de Microsoft Sentinel

  • 10 minutos

Este ejercicio de consulta y visualización de datos es una unidad opcional. Si quiere realizar este ejercicio, debe tener acceso a una suscripción de Azure donde se puedan crear recursos de Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Nota:

Si decide realizar el ejercicio de este módulo, tenga en cuenta que pueden generarse costos en la suscripción de Azure. Para estimar el costo, vea Precios de Microsoft Sentinel.

Para implementar los requisitos previos del ejercicio, realice las siguientes tareas.

Tarea 1: Creación de recursos

  1. Seleccione el siguiente vínculo:

    Deploy To Azure.

    Se le pedirá que inicie sesión en Azure.

  2. En la página Implementación personalizada, proporcione la siguiente información:

    Nombre Descripción
    Suscripción Seleccione su suscripción a Azure.
    Resource group Seleccione Crear nuevo y proporcione un nombre para el grupo de recursos, como azure-sentinel-rg.
    Region En el menú desplegable, seleccione la ubicación donde quiera implementar Microsoft Sentinel.
    Nombre del área de trabajo Proporcione un nombre único para el área de trabajo de Microsoft Sentinel, como <suNombre>-sentinel.
    Location Acepte el valor predeterminado [resourceGroup().location].
    Simplevm Name (Nombre de simplevm) Acepte el valor predeterminado simple-vm.
    Simplevm Windows OS Version (Versión del SO Windows de simplevm) Acepte el valor predeterminado 2016-Datacenter.

  3. Seleccione Revisar y crear y, luego, Crear.

    Screenshot of the Custom Deployment page.

    Nota:

    Espere a que la implementación se complete. La implementación debe tardar menos de 5 minutos.

Tarea 2: Comprobación de los recursos creados

  1. En Azure Portal, busque los Grupos de recursos.

  2. Seleccione azure-sentinel-rg.

  3. Ordene la lista de recursos por Tipo.

  4. El grupo de recursos debe contener los recursos que se muestran en la tabla siguiente.

    Nombre Tipo Descripción
    <suNombre>-sentinel Área de trabajo de Log Analytics Área de trabajo de Log Analytics que usa Microsoft Sentinel, con el nombre del área de trabajo que ha elegido en la tarea anterior.
    simple-vmNetworkInterface Interfaz de red Interfaz de red para la máquina virtual (VM).
    SecurityInsights(<suNombre>-sentinel) Solución Información de seguridad para Microsoft Sentinel.
    st1xxxxx Cuenta de almacenamiento Cuenta de almacenamiento que la máquina virtual utiliza. La cadena aleatoria xxxxx crea un nombre de cuenta de almacenamiento único.
    simple-vm Máquina virtual Máquina virtual usada en la demostración
    vnet1 Virtual network Red virtual de la máquina virtual.

Nota:

Los recursos y la configuración de este ejercicio son necesarios en el ejercicio siguiente. Si tiene previsto realizar el ejercicio, no elimine estos recursos.

Tarea 3: Configuración de conectores de Microsoft Sentinel

En esta tarea, implementará un conector de Microsoft Sentinel en la actividad de Azure.

  1. En Azure Portal, busque y seleccione Microsoft Sentinel. Seleccione el área de trabajo de Microsoft Sentinel que ha creado en la tarea anterior.

  2. En la página de Microsoft Sentinel, en la barra de menús, en Configuración, seleccione Conectores de datos.

  3. En el panel Conectores de datos, busque y seleccione Actividad de Azure.

  4. En el panel de detalles, seleccione Abrir página del conector.

    Screenshot of the Microsoft Sentinel Data connectors page.

  5. En la pantalla Actividad de Azure, en Instrucciones, compruebe sus Requisitos previos y siga los pasos de Configuración.

  6. Cuando reciba un estado Conectado, cierre todos los paneles abiertos para volver al panel Microsoft Sentinel | Conector de datos.

Nota:

El conector de Actividad de Azure podría tardar 15 minutos en implementarse. Puede continuar con el resto de los pasos del ejercicio y con las unidades posteriores de este módulo.