Inicio rápido: Incorporación a Microsoft Sentinel

En este inicio rápido, habilitará Microsoft Sentinel y configurará conectores de datos para supervisar y proteger su entorno. Después de conectar los orígenes de datos mediante los conectores de datos, puede elegir de una galería de libros creados de forma experta que exponen información basada en los datos. Estos libros se pueden personalizar fácilmente en función de sus necesidades.

Microsoft Sentinel incluye muchos conectores para productos de Microsoft, por ejemplo, el conector de servicio a servicio de Microsoft 365 Defender. También puede habilitar conectores integrados para productos que no son de Microsoft, por ejemplo, Syslog o Formato de evento común (CEF). Obtenga más información sobre los conectores de datos.

Importante

Revise la información de precios de Microsoft Sentinel y costos y facturación de Microsoft Sentinel.

Requisitos previos globales

• Suscripción activa a Azure. Si no tiene una, cree una cuenta gratuita antes de empezar.

• Área de trabajo de Log Analytics. Aprenda a crear un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de su implementación de Azure Monitor Logs.

  Puede tener una retención de 30 días predeterminada en el área de trabajo de Log Analytics que se usa para Microsoft Sentinel. Para asegurarse de que puede usar todas las funciones y características de Microsoft Sentinel, aumente la retención a 90 días. Configuración de directivas de archivo y retención de datos en los registros de Azure Monitor.

• Permisos:

  • Para habilitar Microsoft Sentinel, necesita permisos de colaborador en la suscripción en la que reside el área de trabajo de Microsoft Sentinel.

  • Para usar Microsoft Sentinel, necesita permisos de colaborador o lector en el grupo de recursos al que pertenece el área de trabajo.

  • Es posible que necesite otros permisos para conectarse a orígenes de datos específicos.

• Microsoft Sentinel es un servicio de pago. Revise las opciones de precios y la página de precios de Microsoft Sentinel.

• Revise todas las actividades previas a la implementación y los requisitos previos para implementar Microsoft Sentinel.

Habilitar Microsoft Sentinel

1. Inicie sesión en Azure Portal. Asegúrese de que la suscripción en la que se crea Microsoft Sentinel está seleccionada.

2. Busque y seleccione Sentinel.

   

3. Seleccione Agregar.

4. Seleccione el área de trabajo que quiere usar o cree una nueva. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos se aíslan en un área de trabajo única. Tenga en cuenta que las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no se muestran en la lista. No se puede instalar Microsoft Sentinel en estas áreas de trabajo.

   

   Importante

   • Una vez que se implementa en un área de trabajo, Microsoft Sentinel no admite actualmente el movimiento de esa área de trabajo a otros grupos de recursos o suscripciones.

     Si ya ha movido el área de trabajo, deshabilite todas las reglas activas en Análisis y vuelva a habilitarlas después de cinco minutos. Esto debe ser efectivo en la mayoría de los casos; sin embargo, cabe reiterar que no se admite y se realiza bajo su responsabilidad.

5. Seleccione Add Microsoft Sentinel (Agregar Microsoft Sentinel).

Configuración de los conectores de datos

Microsoft Sentinel ingiere datos de servicios y aplicaciones mediante la conexión y el reenvío de los eventos y registros a Microsoft Sentinel.

• Tanto en las máquinas físicas como en las virtuales, puede instalar el agente de Log Analytics que recopila los registros y los reenvía a Microsoft Sentinel.
• En el caso de los firewalls y servidores proxy, Microsoft Sentinel instala el agente de Log Analytics en un servidor de Syslog de Linux, desde el que el agente recopila los archivos de registro y los reenvía a Microsoft Sentinel.

1. En el menú principal, seleccione Data connectors (Conectores de datos). Se abre la galería de conectores de datos.

2. Seleccione un conector de datos y, después, seleccione el botón Open connector page (Abrir página del conector).

3. En la página del conector encontrará instrucciones para configurar el conector, así como otras instrucciones adicionales que pueda necesitar.

   Por ejemplo, si selecciona el conector de datos Azure Active Directory, que permite transmitir registros de Azure AD a Microsoft Sentinel, puede seleccionar el tipo de registros que desea obtener (registros de inicio de sesión o registros de auditoría).
   Siga las instrucciones de instalación. Para obtener más información, lea la guía de conexión pertinente o obtenga información sobre los conectores de datos de Microsoft Sentinel.

4. En la pestaña Pasos siguientes de la página del conector se muestran los libros integrados, las consultas de ejemplo y las plantillas de reglas de análisis pertinentes que acompañan al conector de datos. Puede usarlos tal cual o modificarlos (de cualquiera de las dos formas puede obtener información interesante en los datos).

Cuando haya configurado los conectores de datos, los datos comienzan a transmitirse a Microsoft Sentinel y podrá comenzar a trabajar con ellos. Puede ver los registros en los libros integrados y comenzar a crear consultas en Log Analytics para investigar los datos.

Revise los procedimientos recomendados para la recopilación de datos.

Pasos siguientes

Para más información, consulte:

• Opciones alternativas de implementación y administración:

  • Implementación de Microsoft Sentinel mediante una plantilla de ARM
  • Administración de Microsoft Sentinel mediante API
  • Administración de Microsoft Sentinel mediante PowerShell

• Introducción:

  • Introducción a Microsoft Azure Sentinel
  • Creación de reglas de análisis personalizadas para detectar amenazas
  • Conexión de su solución externa con Common Event Format