Procedimientos recomendados de Microsoft Sentinel

Esta colección de procedimientos recomendados proporciona instrucciones para implementar, administrar y usar Microsoft Sentinel, e incluye vínculos a otros artículos para obtener más información.

Importante

Antes de implementar Microsoft Sentinel, revise y complete las actividades previas a la implementación y los requisitos previos.

Referencias de procedimientos recomendados

La documentación de Microsoft Sentinel tiene instrucciones de procedimientos recomendados distribuidas por los artículos. Además del contenido que se proporciona en este artículo, consulte los siguientes para más información:

Para obtener más información, vea también nuestro vídeo: Architecting SecOps for Success: Best Practices for Deploying Azure Sentinel (Arquitectura de SecOps para el éxito: procedimientos recomendados de implementación de Microsoft Sentinel)

Actividades normales de SOC

Programe con regularidad las siguientes actividades de Microsoft Sentinel para garantizar los procedimientos recomendados de seguridad continuos:

Tareas diarias

Tareas semanales

  • Revisión de contenido de soluciones o contenido independiente. Obtenga las actualizaciones de contenido de las soluciones instaladas o contenido independiente del Centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias.

  • Auditoría de Microsoft Sentinel. Revise la actividad de Microsoft Sentinel para ver quién ha actualizado o eliminado recursos, como reglas analíticas y marcadores, entre otros. Para más información, consulte Auditoría de consultas y actividades de Microsoft Sentinel.

Tareas mensuales

Integración con servicios de seguridad de Microsoft

Microsoft Sentinel está potenciado por los componentes que envían datos al área de trabajo y se fortalece mediante integraciones con otras servicios Microsoft. Los registros ingeridos en productos como Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión y Microsoft Defender for Identity permiten a estos servicios crear detecciones y, a su vez, proporcionar esas detecciones a Microsoft Sentinel. Los registros también se pueden ingerir directamente en Microsoft Sentinel para proporcionar una imagen más completa de eventos e incidentes.

Por ejemplo, en la imagen siguiente se muestra cómo Microsoft Sentinel ingiere datos de otros servicios de Microsoft y varias nubes y plataformas asociadas para proporcionar cobertura para su entorno:

Integración de Microsoft Sentinel con otros servicios de Microsoft y asociados

Además de ingerir alertas y registros de otros orígenes, Microsoft Sentinel también:

  • Usa la información que ingiere con aprendizaje automático que permite una mejor correlación de eventos, agregación de alertas, detección de anomalías, etc.
  • Compila y presenta objetos visuales interactivos a través de libros que muestran tendencias, información relacionada y datos clave usados para tareas de administración e investigaciones.
  • Ejecuta cuadernos de estrategias para actuar sobre las alertas recopilando información, realizando acciones sobre los elementos y enviando notificaciones a distintas plataformas.
  • Se integra con plataformas de asociados, como ServiceNow y Jira, para proporcionar servicios esenciales a los equipos de SOC.
  • Ingiere y recupera datos de fuentes de enriquecimiento de las plataformas de inteligencia sobre amenazas para aportar datos valiosos de investigación.

Administración de incidentes y respuesta a los mismos

En la imagen siguiente se muestran los pasos recomendados en un proceso de administración de incidentes y respuesta a los mismos.

Proceso de administración de incidentes: Evaluación de errores. Preparación. Corrección. Erradicación. Actividades posteriores al incidente.

En las secciones siguientes se proporcionan descripciones detalladas sobre cómo usar las funciones de Microsoft Sentinel para administrar y dar respuesta a incidentes a lo largo del proceso. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.

Uso de la página Incidentes y del gráfico Investigación

Inicie cualquier proceso de evaluación de prioridades para nuevos incidentes en la página Incidentes de Microsoft Sentinel y el grafo de investigación.

Detecte entidades clave, como cuentas, direcciones URL, direcciones IP, nombres de host, actividades, escala de tiempo, etc. Use estos datos para saber si hay un falso positivo, en cuyo caso puede cerrar el incidente directamente.

Los incidentes generados se muestran en la página Incidentes, que actúa como ubicación central para la evaluación de prioridades e investigación temprana. En la página Incidentes se enumera el título, la gravedad y las alertas relacionadas, los registros y cualquier entidad de interés. Los incidentes también proporcionan un salto rápido a los registros recopilados y a cualquier herramienta relacionada con el incidente.

La página Incidentes funciona junto con el Gráfico de investigación, una herramienta interactiva que permite a los usuarios explorar y profundizar en una alerta para mostrar el alcance completo de un ataque. A continuación, los usuarios pueden construir una escala de tiempo de eventos y detectar la extensión de una cadena de amenazas.

Si descubre que el incidente es un verdadero positivo, actúe directamente desde la página Incidentes para investigar los registros y las entidades y explorar la cadena de amenazas. Después de identificar la amenaza y crear un plan de acción, use otras herramientas de Microsoft Sentinel y otros servicios de seguridad de Microsoft para continuar investigando.

Control de incidentes con libros

Además de visualizar y mostrar información y tendencias, los libros de Azure Sentinel son valiosas herramientas de investigación.

Por ejemplo, use el libro Investigation Insights (Ideas de investigación) para investigar incidentes específicos junto con las entidades y alertas asociadas. Este libro le permite profundizar más en las entidades mediante la presentación de registros, acciones y alertas relacionados.

Control de incidentes con la búsqueda de amenazas

Al investigar y buscar las causas principales, ejecute consultas de búsqueda de amenazas integradas y compruebe los resultados de los indicadores de riesgo.

Durante una investigación, o después de haber tomado medidas para corregir y eliminar la amenaza, use Live Stream para supervisar, en tiempo real, si hay eventos malintencionados persistentes o si los eventos malintencionados continúan.

Control de incidentes con comportamiento de entidad

El comportamiento de la entidad en Microsoft Sentinel permite a los usuarios revisar e investigar acciones y alertas para entidades específicas, como investigar en cuentas y nombres de host. Para más información, consulte:

Control de incidentes con listas de reproducción e inteligencia sobre amenazas

Para maximizar las detecciones basadas en inteligencia sobre amenazas, asegúrese de usar conectores de datos de inteligencia sobre amenazas para ingerir indicadores de riesgo:

Use indicadores de riesgo en las reglas analíticas para buscar amenazas, investigar registros o generar más incidentes.

Use una lista de reproducción que combine datos de los datos ingeridos y los orígenes externos, por ejemplo, datos de enriquecimiento. Por ejemplo, cree listas de intervalos de direcciones IP usados por su organización o de empleados despedidos recientemente. Use listas de reproducción con cuadernos de estrategias para recopilar datos de enriquecimiento, como agregar direcciones IP malintencionadas a listas de reproducción para usarlas durante la detección, la búsqueda de amenazas y las investigaciones.

Durante un incidente, use las listas de reproducción para contener los datos de investigación y, a continuación, elimínelos cuando se realice la investigación para asegurarse de que los datos confidenciales permanezcan ocultos.

Pasos siguientes

Como introducción a Microsoft Sentinel, consulte: