Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este inicio rápido, habilitará Microsoft Sentinel e instalará una solución desde el centro de contenido. A continuación, configurará un conector de datos para empezar a ingerir datos en Microsoft Sentinel.
Microsoft Sentinel incluye muchos conectores de datos para productos de Microsoft, como el conector de servicio a servicio de Microsoft Defender XDR. También puede habilitar conectores integrados para productos que no son de Microsoft, como Syslog o Common Event Format (CEF). Para este inicio rápido, usará el conector de datos de actividad de Azure que está disponible en la solución de actividad de Azure para Microsoft Sentinel.
Para incorporarse a Microsoft Sentinel mediante la API, consulte la versión compatible más reciente de Sentinel Onboarding States.
Requisitos previos
Suscripción Azure activa. Si no tiene una, cree una cuenta gratuita antes de empezar.
Permisos:
Para habilitar Microsoft Sentinel, necesita permisos de colaborador para la suscripción en la que reside el área de trabajo de Microsoft Sentinel.
Para usar Microsoft Sentinel, necesita permisos de colaborador Microsoft Sentinel o lector de Microsoft Sentinel en el grupo de recursos al que pertenece el área de trabajo.
Para instalar o administrar soluciones en el centro de contenido, necesita el rol colaborador de Microsoft Sentinel en el grupo de recursos al que pertenece el área de trabajo.
Si es un nuevo Microsoft Sentinel cliente y tiene permisos de propietario de la suscripción o administrador de acceso de usuario, el área de trabajo se incorpora automáticamente al portal de Defender. Los usuarios de estas áreas de trabajo usan Microsoft Sentinel solo en el portal de Defender.
Microsoft Sentinel es un servicio de pago. Revise las opciones de precios y la página de precios de Microsoft Sentinel.
Antes de implementar Microsoft Sentinel en un entorno de producción, revise las actividades previas a la implementación y los requisitos previos para implementar Microsoft Sentinel.
Creación de un área de trabajo de Log Analytics
Microsoft Sentinel debe agregarse a un área de trabajo. Si ya tiene un área de trabajo de Log Analytics, vaya a agregar Microsoft Sentinel al área de trabajo de Log Analytics. Si aún no tiene un área de trabajo de Log Analytics, puede crear una con las instrucciones siguientes o, para obtener una explicación más detallada, vaya a Creación de un área de trabajo de Log Analytics. Para obtener más información sobre las áreas de trabajo de Log Analytics, consulte Diseño de la implementación de registros de Azure Monitor.
Es posible que tenga una retención predeterminada de 30 días en el área de trabajo de Log Analytics que se usa para Microsoft Sentinel. Para asegurarse de que puede usar todas las funciones y características Microsoft Sentinel, aumente la retención a 90 días. Configure las directivas de retención y archivo de datos en los registros de Azure Monitor.
Inicie sesión en el portal de Azure.
Busque y seleccione Microsoft Sentinel.
Seleccione Crear.
Seleccione Crear un área de trabajo.
EnGrupo de recursos desuscripción>, seleccione Crear nuevo. Escriba un nombre para el grupo de recursos y seleccione Aceptar.
Asigne un nombre al área de trabajo y seleccione una región y, a continuación, seleccione Revisar y crear. (Vea en qué regiones está disponible Log Analytics).
Una vez superada la validación, seleccione Crear. Espere hasta que se complete la implementación.
Adición de Microsoft Sentinel al área de trabajo de Log Analytics
En el Azure Portal, busque y seleccione Microsoft Sentinel.
Seleccione Crear.
Seleccione el área de trabajo que desea usar y seleccione Agregar. Puede ejecutar Microsoft Sentinel en más de un área de trabajo, pero los datos están aislados en una sola área de trabajo.
- Las áreas de trabajo predeterminadas creadas por Microsoft Defender for Cloud no se muestran en la lista. No puede instalar Microsoft Sentinel en estas áreas de trabajo.
- Una vez implementado en un área de trabajo, Microsoft Sentinel no admite el traslado del área de trabajo a otro grupo de recursos o suscripción.
Nota:
Si el área de trabajo no se incorpora automáticamente al portal de Defender, se recomienda la incorporación para una experiencia unificada en la administración de operaciones de seguridad (SecOps) tanto en Microsoft Sentinel como en otros servicios de seguridad de Microsoft. Para obtener más información, consulte Incorporación de Microsoft Sentinel al portal de Defender.
Si el área de trabajo se incorpora automáticamente o si decide incorporar el área de trabajo ahora, puede continuar con los procedimientos de este artículo desde el portal de Defender. Si es la primera vez que usa el portal de Defender, habrá un retraso de unos minutos mientras se completa el proceso.
Acceso a Microsoft Sentinel en el portal de Defender
Para acceder a Microsoft Sentinel en el portal de Defender:
Inicie sesión en el portal de Defender.
La primera vez que acceda al portal de Defender, el inquilino tardará algún tiempo en aprovisionarse.
Una vez aprovisionado, verá Microsoft Sentinel disponibles en el panel de navegación, con Microsoft Sentinel nodos anidados dentro. Por ejemplo:
Desplácese hacia abajo en el panel de navegación y seleccione Configuración > Microsoft Sentinel > áreas de trabajo para ver las áreas de trabajo incorporadas al portal de Defender y disponibles para usted.
El portal de Defender admite varias áreas de trabajo, con un área de trabajo que actúa como área de trabajo principal por inquilino. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender y Microsoft Defender administración multiinquilino.
Instalación de una solución desde el centro de contenido
El centro de contenido de Microsoft Sentinel es la ubicación centralizada para detectar y administrar contenido integrado, incluidos los conectores de datos. Para este inicio rápido, instale la solución para la actividad de Azure.
En Microsoft Sentinel, vaya a la página Centro de contenido y busque y seleccione la solución actividad de Azure.
En el panel de detalles de la solución en el lateral, seleccione Instalar.
Configuración del conector de datos
Microsoft Sentinel ingiere datos de servicios y aplicaciones al conectarse al servicio y reenviar los eventos y registros a Microsoft Sentinel. Para esta guía de inicio rápido, instale el conector de datos para reenviar los datos de Azure Activity a Microsoft Sentinel.
En Microsoft Sentinel, seleccioneConectores de datos de configuración> y busque y seleccione el conector de datos de actividad de Azure.
En el panel de detalles del conector, seleccione Abrir página del conector. Use las instrucciones de la página del conector de actividad de Azure para configurar el conector de datos.
Seleccione Iniciar Azure Policy Asistente para asignación.
En la pestaña Aspectos básicos, establezca ámbito en la suscripción y el grupo de recursos que tiene actividad que se va a enviar a Microsoft Sentinel. Por ejemplo, seleccione la suscripción que contiene la instancia de Microsoft Sentinel.
Seleccione la pestaña Parámetros y establezca el área de trabajo de Log Analytics principal. Debe ser el área de trabajo donde se instala Microsoft Sentinel.
Seleccione Revisar y crear y Crear.
Generación de datos de actividad
Vamos a generar algunos datos de actividad habilitando una regla que se incluyó en la solución de actividad de Azure para Microsoft Sentinel. En este paso también se muestra cómo administrar contenido en el centro de contenido.
En Microsoft Sentinel, seleccione Centro de contenido y busque y seleccione Plantilla de regla de implementación de recursos sospechosos en la solución actividad de Azure.
En el panel de detalles, seleccione Crear regla para crear una nueva regla mediante el Asistente para reglas de Analytics.
En la página Asistente para reglas de Analytics: Creación de una nueva regla programada , cambie el estado a Habilitado.
En esta pestaña y en todas las demás pestañas del asistente, deje los valores predeterminados tal y como están.
En la pestaña Revisar y crear , seleccione Crear.
Visualización de los datos ingeridos en Microsoft Sentinel
Ahora que ha habilitado el conector de datos de actividad de Azure y ha generado algunos datos de actividad, vamos a ver los datos de actividad agregados al área de trabajo.
En Microsoft Sentinel, seleccioneConectores de datos de configuración> y busque y seleccione el conector de datos de actividad de Azure.
En el panel de detalles del conector, seleccione Abrir página del conector.
Revise el estado del conector de datos. Debe estar conectado.
Seleccione una pestaña para continuar, en función del portal que use:
Seleccione Ir a Log Analytics para abrir la página Búsqueda avanzada .
En la parte superior del panel, junto a la pestaña Nueva consulta , seleccione para + agregar una nueva pestaña de consulta.
Ejecute la consulta siguiente para ver la fecha de actividad ingerida en el área de trabajo:
AzureActivity
Por ejemplo:
Pasos siguientes
En este inicio rápido, habilitó Microsoft Sentinel e instaló una solución desde el centro de contenido. A continuación, configure un conector de datos para empezar a ingerir datos en Microsoft Sentinel. También ha comprobado que los datos se ingieren mediante la visualización de los datos en el área de trabajo.
Si es un nuevo cliente que se ha incorporado automáticamente al portal de Defender, los usuarios solo accederán a Microsoft Sentinel en el portal de Defender. A medida que use la documentación de Microsoft Sentinel, asegúrese de seleccionar la versión del portal de Defender de la documentación.
- Para visualizar los datos que ha recopilado mediante los paneles y libros, consulte Visualización de los datos recopilados.
- Para detectar amenazas mediante reglas de análisis, consulte Tutorial: Detección de amenazas mediante reglas de análisis en Microsoft Sentinel.