Editar

Compartir vía


Supervisión de la seguridad híbrida mediante Microsoft Defender for Cloud y Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

En esta arquitectura de referencia se muestra cómo usar Microsoft Defender for Cloud y Microsoft Sentinel para supervisar la configuración de seguridad y la telemetría de cargas de trabajo locales, de Azure y de Azure Stack.

Architecture

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Descargue un archivo Visio de esta arquitectura.

Flujo de trabajo

  • Microsoft Defender para la nube. Se trata de una plataforma de administración de seguridad unificada y avanzada que Microsoft ofrece a todos los suscriptores de Azure. Defender para la nube se segmenta como una administración de la posición de seguridad en la nube (CSPM) y como plataforma de protección de cargas de trabajo en la nube (CWPP). CWPP se define mediante soluciones de protección de seguridad centradas en la carga de trabajo, que suelen estar basadas en agentes. Microsoft Defender para la nube proporciona protección contra amenazas para las cargas de trabajo de Azure, tanto en el entorno local como en otras nubes, incluidas las máquinas virtuales (VM) Windows y Linux, los contenedores, las bases de datos e Internet de las cosas (IoT). Cuando se activa, el agente de Log Analytics se implementa automáticamente en Azure Virtual Machines. En el caso de servidores y máquinas virtuales Windows y Linux locales, puede implementar manualmente el agente, usar la herramienta de implementación de su organización, como Microsoft Endpoint Protection Manager, o bien usar métodos de implementación con scripts. Defender para la nube comienza a evaluar el estado de la seguridad de todas las máquinas virtuales, redes, aplicaciones y datos.
  • Microsoft Sentinel. Es una solución nativa de la nube de administración de eventos e información de seguridad (SIEM) y de respuesta automatizada de orquestación de seguridad (SOAR) que usa el análisis de seguridad y la inteligencia artificial avanzada para ayudarle a detectar, buscar, prevenir y responder a amenazas en toda la empresa.
  • Azure Stack . Es una cartera de productos que amplían los servicios y las capacidades de Azure para el entorno de su elección, incluido el centro de datos, las ubicaciones perimetrales y oficinas remotas. Las implementaciones de Azure Stack suelen usar bastidores de cuatro a dieciséis servidores, creados por asociados de hardware de confianza y entregados a su centro de datos.
  • Azure Monitor. Recopila la telemetría de supervisión de una variedad de orígenes locales y de Azure. Las herramientas de administración, como las de Microsoft Defender para la nube y Azure Automation, también envían cambios de datos de registro a Azure Monitor.
  • Área de trabajo de Log Analytics. Azure Monitor almacena los datos de registro en un área de trabajo de Log Analytics, que es un contenedor que incluye información de configuración y datos.
  • Agente de Log Analytics. El agente de Log Analytics recopila datos de supervisión del sistema operativo invitado y de las cargas de trabajo de máquinas virtuales de Azure, otros proveedores de nube y el entorno local. El agente de Log Analytics admite la configuración de proxy y, normalmente en este escenario, una puerta de enlace Microsoft Operations Management Suite (OMS) actúa como proxy.
  • Red local. Es el firewall configurado para admitir la salida HTTPS de los sistemas definidos.
  • Sistemas Windows y Linux locales. Sistemas con el agente de Log Analytics instalado.
  • Máquinas virtuales de Azure Windows y Linux. Sistemas en los que está instalado el agente de supervisión de Microsoft Defender para la nube.

Componentes

Detalles del escenario

Posibles casos de uso

Los usos habituales de esta arquitectura incluyen:

  • Procedimientos recomendados para la integración de la supervisión de la seguridad local y la telemetría con las cargas de trabajo basadas en Azure
  • Integración de Microsoft Defender for Cloud con Azure Stack
  • Integración de Microsoft Defender for Cloud con Microsoft Sentinel

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Actualización de Microsoft Defender para la nube

En esta arquitectura de referencia se usa Microsoft Defender para la nube para supervisar sistemas locales, máquinas virtuales de Azure, recursos de Azure Monitor e incluso máquinas virtuales hospedadas por otros proveedores de nube. Aquí puede encontrar más información sobre precios y facturación de Microsoft Defender para la nube.

Área de trabajo personalizada de Log Analytics

Microsoft Sentinel necesita acceder a un área de trabajo de Log Analytics. En este escenario, no se puede usar el área de trabajo predeterminada de Log Analytics de Defender para la nube con Microsoft Sentinel. En su lugar, creará un área de trabajo personalizada. La retención de datos de un área de trabajo personalizada se basa en el plan de tarifa del área de trabajo y puede buscar modelos de precios para los registros de Monitor aquí.

Nota

Microsoft Sentinel se puede ejecutar en áreas de trabajo de cualquier región con disponibilidad general (GA) de Log Analytics, excepto en las regiones de China y Alemania (soberana). Los datos que genera Microsoft Sentinel, como incidentes, marcadores y reglas de alertas, que pueden contener algunos datos de clientes procedentes de estas áreas de trabajo, se guardan en Europa (para las áreas de trabajo basadas en Europa), en Australia (para las áreas de trabajo basadas en Australia) o en el Este de EE. UU. (para todas las áreas de trabajo ubicadas en cualquier otra región).

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Una directiva de seguridad define el conjunto de controles recomendados para los recursos de una suscripción específica. En Microsoft Defender for Cloud, se definen las directivas para las suscripciones de Azure de acuerdo con los requisitos de seguridad de la empresa y el tipo de aplicaciones o la confidencialidad de los datos de cada suscripción.

Las directivas de seguridad que habilita en Microsoft Defender para la nube impulsan la supervisión y las recomendaciones de seguridad. Para obtener más información sobre las directivas de seguridad, consulte Reforzar la directiva de seguridad con Microsoft Defender para la nube.Puede asignar directivas de seguridad en Microsoft Defender para la nube solo en los niveles de grupo de administración o suscripción.

Nota

En la parte uno de la arquitectura de referencia se detalla cómo habilitar Microsoft Defender para la nube para supervisar los recursos de Azure, los sistemas locales y los sistemas de Azure Stack.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Como se ha descrito anteriormente, los costos más allá de su suscripción de Azure pueden incluir:

  1. Costos de Microsoft Defender for Cloud. Para obtener más información, consulte los precios de Microsoft Defender para la nube.
  2. El área de trabajo de Azure Monitor ofrece granularidad de facturación. Para más información, consulte Administrar el uso y los costos con los registros de Azure Monitor.
  3. Microsoft Sentinel es un servicio de pago. Para obtener más información, consulte Precios de Microsoft Sentinel.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Microsoft Defender para roles de nube

Defender for Cloud evalúa la configuración de los recursos para identificar los problemas y las vulnerabilidades de seguridad, y muestra la información relacionada con un recurso cuando se le asigna el rol de propietario, colaborador o lector de la suscripción o el grupo de recursos al que pertenece un recurso.

Además de estos roles, hay dos roles específicos de Defender for Cloud:

  • Lector de seguridad. Un usuario que pertenece a este rol tiene derechos de solo lectura en Defender para la nube. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.

  • Administrador de seguridad. Un usuario que pertenece a este rol tiene los mismos derechos que el lector de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones. Normalmente, se trata de usuarios que administran la carga de trabajo.

  • Los roles de seguridad, Lector de seguridad y Administrador de seguridad, solo tienen acceso en Defender para la nube. Los roles de seguridad no tienen acceso a otras áreas de servicio de Azure, como almacenamiento, web, móvil o Internet de las cosas.

Suscripción a Microsoft Sentinel

  • Para habilitar Microsoft Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel.
  • Para usar Microsoft Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.
  • Microsoft Sentinel es un servicio de pago. Para obtener más información, consulte Precios de Microsoft Sentinel.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad que tiene la carga de trabajo de reducirse horizontalmente de manera eficiente para satisfacer las demandas que los usuarios hayan realizado sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

El agente de Log Analytics para Windows y Linux está diseñado para tener un impacto mínimo en el rendimiento de las máquinas virtuales o los sistemas físicos.

El proceso operativo de Microsoft Defender para la nube no interferirá con los procedimientos operativos normales. En su lugar, supervisa de forma pasiva las implementaciones y proporciona recomendaciones basadas en las directivas de seguridad que habilite.

Implementación de este escenario

Creación de un área de trabajo de Log Analytics en Azure Portal

  1. Inicie sesión en Azure Portal como usuario con privilegios de administrador de seguridad.
  2. En Azure Portal, seleccione Todos los servicios. En la lista de recursos, escriba Log Analytics. Cuando comience a escribir, la lista se filtrará en función de la entrada. Seleccione Áreas de trabajo de Log Analytics.
  3. Seleccione Agregar en la página de Log Analytics.
  4. Proporcione un nombre para la nueva área de trabajo de Log Analytics como, por ejemplo, Defender para la nube: SentinelWorkspace. Este nombre debe ser único globalmente en todas las suscripciones de Azure Monitor.
  5. Seleccione una suscripción en la lista desplegable si la opción predeterminada seleccionada no es adecuada.
  6. Como Grupo de recursos puede usar un grupo de recursos existente o crear uno nuevo.
  7. En Ubicación, seleccione una geolocalización disponible.
  8. Haga clic en Aceptar para completar la configuración. New Workspace created for the architecture

Habilitar Defender para la nube

Cuando aún esté conectado a Azure Portal como usuario con privilegios de administrador de seguridad, seleccione Defender para la nube en el panel. Se abre la ventana Defender para la nube: Descripción general:

Defender for Cloud Overview dashboard blade opens

Defender para la nube habilita automáticamente el nivel Gratis para cualquiera de las suscripciones de Azure que usted ni otro usuario de la suscripción haya incorporado previamente.

Actualización de Microsoft Defender for Cloud

  1. En el menú principal de Defender para la nube, seleccione Introducción.
  2. Seleccione el botón Actualizar ahora. En Defender for Cloud se enumeran las suscripciones y las áreas de trabajo que se pueden usar.
  3. Puede seleccionar las áreas de trabajo y las suscripciones aptas para iniciar la versión de prueba. Seleccione en el menú desplegable el área de trabajo creada anteriormente, ASC-SentinelWorkspace.
  4. En el menú principal de Defender para la nube, seleccione Iniciar prueba.
  5. Debe aparecer el cuadro de diálogo Instalar agentes.
  6. Seleccione el botón Instalar agentes. Se muestra la hoja Defender for Cloud: cobertura. Fíjese en la suscripción seleccionada. Security Coverage blade showing your subscriptions should be open

Ahora ha habilitado el aprovisionamiento automático y Defender para la nube instalará el agente de Log Analytics para Windows (HealthService.exe) y omsagent para Linux en todas las máquinas virtuales de Azure admitidas y en las nuevas que cree. Puede desactivar esta directiva y administrarla manualmente, aunque se recomienda encarecidamente el aprovisionamiento automático.

Para obtener más información acerca de las características específicas de Defender para la nube que están disponibles en Windows y Linux, consulte Cobertura de características para máquinas.

Habilitación de Microsoft Defender para la supervisión en la nube de equipos Windows locales

  1. En Azure Portal, en la hoja Defender for Cloud: información general, seleccione la pestaña Introducción.
  2. Seleccione Configurar en Agregar nuevos equipos que no son de Azure. Se muestra una lista de sus áreas de trabajo de Log Analytics muestra y debe incluir Defender for Cloud-SentinelWorkspace.
  3. Seleccione esta área de trabajo. Se abre la hoja Agente directo con un vínculo para descargar un agente de Windows y las claves de su identificador de área de trabajo (id.) que usará al configurar el agente.
  4. Seleccione el vínculo Descargar Agente para Windows correspondiente a su tipo de procesador del equipo para descargar el archivo del programa de instalación.
  5. A la derecha de Id. del área de trabajo, seleccione Copiar y, a continuación, pegue el id. en el Bloc de notas.
  6. A la derecha de Clave principal, seleccione Copiar y, a continuación, pegue la clave en el Bloc de notas.

Instalación del agente de Windows

Para instalar el agente en los equipos de destino, siga estos pasos.

  1. Copie el archivo en el equipo de destino y luego debe Ejecutar la configuración.
  2. En la página principal, seleccione Siguiente.
  3. En la página Términos de licencia, lea la licencia y seleccione Acepto.
  4. En la página Carpeta de destino, cambie o mantenga la carpeta de instalación predeterminada y seleccione Siguiente.
  5. En la página Opciones de instalación del agente, elija la opción para conectar el agente a Azure Log Analytics y, luego, seleccione Siguiente.
  6. En la página Azure Log Analytics, pegue el identificador del área de trabajo y la clave del área de trabajo (clave principal) que copió en el Bloc de notas en el procedimiento anterior.
  7. Si el equipo tiene que notificar a un área de trabajo de Log Analytics en Azure Government Cloud, seleccione Azure US Gov desde la lista desplegable Azure Cloud. Si el equipo necesita comunicarse a través de un servidor proxy con el servicio de Log Analytics, seleccione Avanzado y proporcione la dirección URL y el número de puerto del servidor proxy.
  8. Después de proporcionar los valores de configuración necesarios, seleccione Siguiente. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. En la página Listo para instalar, revise las opciones elegidas y seleccione Instalar.
  10. En la página Configuración completada correctamente, seleccione Finalizar.

Cuando se complete, el agente de Log Analytics aparecerá en el panel de control de Windows y puede revisar la configuración y comprobar que el agente esté conectado.

Para más información acerca de la instalación y configuración del agente, consulte Instalación del agente de Log Analytics en equipos Windows.

El servicio del agente de Log Analytics recopila datos de eventos y de rendimiento, ejecuta tareas y otros flujos de trabajo definidos en un módulo de administración. Defender for Cloud amplía sus plataformas de protección de cargas de trabajo en la nube mediante la integración con Microsoft Defender para servidores. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión.

Para más información sobre Microsoft Defender para servidores, consulte el artículo sobre la incorporación de servidores al servicio Microsoft Defender para servidores.

Habilitación de Microsoft Defender para la supervisión en la nube de equipos Linux locales

  1. Vuelva a la pestaña Introducción como se describió anteriormente.
  2. Seleccione Configurar en Agregar nuevos equipos que no son de Azure. Aparece una lista de las áreas de trabajo de Log Analytics. La lista debe incluir el área de trabajo Defender for Cloud-SentinelWorkspace que creó.
  3. En la hoja Agente Directo, en DESCARGAR E INCORPORAR EL AGENTE PARA LINUX, seleccione el botón Copiar para copiar el comando wget.
  4. Abra el Bloc de notas y pegue este comando. Guarde este archivo en una ubicación a la que pueda acceder desde el equipo Linux.

Nota

En los sistemas operativos Unix y Linux, wget es una herramienta para la descarga de archivos no interactivos desde la web. Admite HTTPS, FTP y proxies.

El agente de Linux usa el marco del demonio de auditoría de Linux. Defender para la nube integra funcionalidades de este marco en el agente de Log Analytics, lo que permite recopilar, enriquecer y agregar registros de auditoría a los eventos mediante el agente de Log Analytics para Linux. Defender for Cloud agrega continuamente análisis nuevos que usan señales de Linux para detectar comportamientos malintencionados en máquinas Linux locales y en la nube.

Para una lista de las alertas de Linux, consulte la Tabla de referencia de alertas.

Instalación del agente de Linux

Para instalar el agente en los equipos Linux de destino, siga estos pasos:

  1. En el equipo Linux, abra el archivo que guardó anteriormente. Seleccione y copie todo el contenido, abra una consola de terminal y luego pegue el comando.
  2. Una vez finalizada la instalación, puede validar que omsagent está instalado mediante la ejecución del comando pgrep. El comando devolverá el id. de proceso (PID) de omsagent. Puede encontrar los registros del agente en: /var/opt/microsoft/omsagent/"id. de área de trabajo"/log/ .

El nuevo equipo Linux puede tardar hasta 30 minutos en mostrarse en Defender para la nube.

Habilitación de Microsoft Defender para la supervisión en la nube de máquinas virtuales en Azure Stack

Después de incorporar la suscripción de Azure, puede habilitar Defender para la nube para proteger las máquinas virtuales que se ejecutan en Azure Stack mediante la adición de la extensión de máquina virtual de Azure Monitor, Update and Configuration Management desde el marketplace de Azure Stack. Para ello, siga estos pasos:

  1. Vuelva a la pestaña Introducción como se describió anteriormente.
  2. Seleccione Configurar en Agregar nuevos equipos que no son de Azure. Se muestra lista de sus áreas de trabajo de Log Analytics y debe incluir el área de trabajo Defender for Cloud-SentinelWorkspace que creó.
  3. En la hoja Agente Directo hay un vínculo para descargar el agente y las claves del id. de área de trabajo que se deben usar durante la configuración del agente. No es preciso descargar al agente manualmente. Se instalará como una extensión de máquina virtual en los pasos siguientes.
  4. A la derecha de Id. del área de trabajo, seleccione Copiar y, a continuación, pegue el id. en el Bloc de notas.
  5. A la derecha de Clave principal, seleccione Copiar y, a continuación, pegue la clave en el Bloc de notas.

Habilitación de Defender para la supervisión en la nube de máquinas virtuales en Azure Stack

Microsoft Defender para la nube usa la extensión de máquina virtual Azure Monitor, Update and Configuration Management empaquetada con Azure Stack. Para habilitar la extensión Azure Monitor, Update and Configuration Management, siga estos pasos:

  1. En una nueva pestaña del explorador, inicie sesión en el portal de Azure Stack.
  2. Consulte la página Máquinas virtuales y, a continuación, seleccione la máquina virtual que quiere proteger con Defender para la nube.
  3. Seleccione Extensiones. Se muestra la lista de extensiones de máquina virtual instaladas en esta máquina virtual.
  4. Seleccione la pestaña Agregar. Se abre la hoja del menú Nuevo recurso y muestra la lista de extensiones de máquina virtual disponibles.
  5. Seleccione la extensión Azure Monitor, Update and Configuration Management y luego seleccione Crear. Se abre la hoja de configuración Instalar extensión.
  6. En la hoja de configuración Instalar extensión, pegue el identificador del área de trabajo y la clave del área de trabajo (clave principal) que copió en el Bloc de notas en el procedimiento anterior.
  7. Cuando haya terminado de especificar los valores de configuración necesarios, seleccione Aceptar.
  8. Una vez que se complete la instalación de la extensión, su estado se mostrará como Aprovisionamiento realizado correctamente. La máquina virtual puede tardar hasta una hora en aparecer en el portal de Defender para la nube.

Para obtener más información acerca de la instalación y configuración del agente para Windows, consulte Instalación del agente con el asistente para instalación.

Para solucionar problemas relacionados con el agente de Linux, consulte Cómo solucionar problemas relacionados con el agente de Log Analytics para Linux.

Ahora puede supervisar las máquinas virtuales de Azure y los equipos que no son de Azure en un único lugar. Azure Compute le proporciona información general de todas las máquinas virtuales y los equipos junto con recomendaciones. Cada columna representa un conjunto de recomendaciones y el color representa las máquinas virtuales o los equipos, así como el estado de seguridad actual de esa recomendación. Defender para la nube también proporciona todas las detecciones de estos equipos en las alertas de seguridad. Defender for Cloud list of systems monitored on the Compute blade

Hay dos tipos de iconos representados en la hoja Compute:

Purple computer icon that represents a non-azure monitored computer por Azure

Blue terminal icon that represents an Azure monitored computer proceso de Azure

Nota:

La segunda parte de la arquitectura de referencia conectará las alertas de Microsoft Defender para la nube y las transmitirá a Microsoft Sentinel.

El rol de Microsoft Sentinel es ingerir datos de distintos orígenes de datos y realizar la correlación de datos entre estos orígenes de datos. Microsoft Sentinel aprovecha el aprendizaje automático y la inteligencia artificial para que la búsqueda de amenazas, la detección de alertas y las respuestas a amenazas sean más inteligentes.

Para incorporar Microsoft Sentinel, debe habilitarlo y, después, conectar sus orígenes de datos. Microsoft Sentinel se suministra con varios conectores para soluciones de Microsoft, que están disponibles de inmediato y proporcionan integración en tiempo real, entre las que se incluyen Microsoft Defender for Cloud, soluciones de Protección contra amenazas de Microsoft, orígenes de Microsoft 365 (como Office 365), Microsoft Entra ID, Microsoft Defender para servidores, Microsoft Defender for Cloud Apps, etc. Además, hay conectores integrados para el amplio ecosistema de seguridad de soluciones que no son de Microsoft. También puede usar el formato de evento común, syslog o las API de Transferencia de estado representacional para conectar los orígenes de datos con Microsoft Sentinel.

Requisitos para integrar Microsoft Sentinel con Microsoft Defender para la nube

  1. Una suscripción de Microsoft Azure.
  2. Un área de trabajo de Log Analytics que no es el área de trabajo predeterminada creada al habilitar Microsoft Defender para la nube.
  3. Microsoft Defender for Cloud.

Los tres requisitos deben estar en vigor si ha realizado la sección anterior.

Requisitos previos globales

  • Para habilitar Microsoft Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel.
  • Para usar Microsoft Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.
  • Es posible que necesite permisos adicionales para conectarse a orígenes de datos específicos. No necesita permisos adicionales para conectarse a Defender para la nube.
  • Microsoft Sentinel es un servicio de pago. Para obtener más información, consulte Precios de Microsoft Sentinel.

Habilitación de Microsoft Sentinel

  1. Inicie sesión en Azure Portal con un usuario que tenga derechos de colaborador para Defender for Cloud-Sentinelworkspace.
  2. Busque y seleccione Sentinel. In the Azure portal search for the term
  3. Seleccione Agregar.
  4. En la hoja Microsoft Sentinel, seleccione Defender for Cloud-Sentinelworkspace.
  5. En Microsoft Sentinel, seleccione Conectores de datos en el menú de navegación.
  6. En la galería de conectores de datos, seleccione Microsoft Defender para la nube y, a continuación, seleccione el botón Abrir página del conector. In Microsoft Sentinel showing the open Collectors page
  7. En Configuración, seleccione Conectar junto a las suscripciones cuyas alertas quiere transmitir a Microsoft Sentinel. El botón Conectar solo estará disponible si tiene los permisos necesarios y la suscripción de Defender for Cloud.
  8. Ahora debería ver el Estado de conexión como Conectando. Después de la conexión, cambiará a Conectado.
  9. Después de confirmar la conectividad, puede cerrar la configuración del Conector de datos de Defende para la nube y actualizar la página para consultar las alertas en Microsoft Sentinel. Los registros pueden tardar algún tiempo en iniciar la sincronización con Microsoft Sentinel. Después de conectarse, verá un resumen de los datos en el gráfico de datos recibidos y el estado de conectividad de los tipos de datos.
  10. Puede seleccionar si quiere que las alertas de Microsoft Defender for Cloud generen incidentes automáticamente en Microsoft Sentinel. En Create incidents (Crear incidentes), seleccione Enabled (Habilitado) para activar la regla de análisis predeterminada que crea automáticamente incidentes a partir de alertas. Luego, puede editar esta regla en Análisis, en la pestaña Reglas activas.
  11. Para usar el esquema correspondiente en Log Analytics con las alertas de Microsoft Defender para la nube, busque SecurityAlert.

Una ventaja de usar Microsoft Sentinel como SIEM es que proporciona correlación de datos entre varios orígenes, lo que le permite tener una visibilidad de un extremo a otro de los eventos relacionados con la seguridad de su organización.

Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

Pasos siguientes

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack