Descubre y administra el contenido listo para usar de Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

El centro de contenidos de Microsoft Sentinel es la ubicación centralizada para detectar y administrar el contenido de serie (integrado). Allí encontrará soluciones empaquetadas para productos de un extremo a otro por dominio o sector. Tiene acceso al gran número de contribuciones independientes hospedadas en nuestro repositorio de GitHub y las hojas de características.

• Descubra soluciones y contenido independiente con un conjunto coherente de funcionalidades de filtrado basadas en el estado, el tipo de contenido, la compatibilidad, el proveedor y la categoría.

• Instale todo el contenido en el área de trabajo a la vez o de forma individual.

• Vea el contenido en una vista de lista y sepa rápidamente de qué soluciones se dispone de actualizaciones. Actualice las soluciones a la vez mientras el contenido independiente se actualiza automáticamente.

• Administre una solución para instalar sus tipos de contenido y obtenga los últimos cambios.

• Configure el contenido independiente para crear nuevos elementos activos en función de la plantilla más actualizada.

Si es un asociado y quiere crear una solución propia, consulte la guía de compilación de soluciones de Microsoft Sentinel para crear y publicar soluciones.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para instalar, actualizar y eliminar soluciones o contenido independiente en el centro de contenidos, se necesita el rol de Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.

Para más información sobre otros roles y permisos admitidos en Microsoft Sentinel, consulte Permisos en Microsoft Sentinel.

Descubrir contenido

El centro de contenido ofrece la mejor manera de encontrar contenido nuevo o administrar las soluciones que ya ha instalado.

1. Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.
   Para Microsoft Sentinel en Portal de Defender, seleccione Microsoft Sentinel>Administración de contenido>Centro de contenido.

   En la página Centro de contenido se muestra una cuadrícula o lista de soluciones y contenido independiente en la que se pueden hacer búsquedas.

2. Filtre la lista mostrada seleccionando valores específicos de los filtros o escribiendo una parte del nombre o la descripción de un contenido en el campo Buscar.

   Para más información, consulte Categrías para el contenido y las soluciones integradas de Microsoft Sentinel.

3. Seleccione la vista de Tarjeta para ver más información sobre una solución.

   Cada elemento del contenido muestra las categorías que se le aplican y las soluciones muestran los tipos de contenido que se incluyen. Por ejemplo, en la imagen siguiente, la solución Cisco Umbrella muestra una de sus categorías Security - Cloud Security, (Seguridad: Seguridad en la nube) e indica que incluye un conector de datos, reglas de análisis, búsqueda de consultas, cuadernos de estrategias, etc.

   Azure Portal

   

   Portal de Defender

   

Instalación o actualización de contenido

Instale contenido independiente y soluciones de forma individual o conjunta en masa. Para más información sobre las operaciones masivas, consulte Instalación y actualización de contenidos masiva en la sección siguiente.

Si una solución que implementó tiene actualizaciones desde la última vez que la implementó, la vista de lista muestra Actualizar en la columna de estado. La solución también se incluye en el recuento de Actualizaciones en la parte superior de la página.

Este es un ejemplo que muestra la instalación de una solución individual.

1. En centro de contenido, busque y seleccione la solución.

2. En el panel de detalles de las soluciones, en la parte inferior derecha, seleccione Ver detalles.

3. Seleccione Crear o Actualizar.

4. En la pestaña Datos básicos, escriba la suscripción, el grupo de recursos y el área de trabajo en el que se va a implementar la solución. Por ejemplo:

   

5. Seleccione Siguiente para pasar por las pestañas restantes para obtener información y, en algunos casos, configurar cada uno de los componentes de contenido.

   Las pestañas corresponden al contenido que ofrece la solución. Es posible que diferentes soluciones tengan diferentes tipos de contenido, por lo que es posible que no vea las mismas pestañas en cada solución.

   También puede que se le pida que escriba credenciales en un servicio de terceros para que Microsoft Sentinel pueda autenticarse en los sistemas. Por ejemplo, con cuadernos de estrategias, es posible que quiera realizar acciones de respuesta como se indica en el sistema.

6. En la pestaña Revisar y crear, espere al mensajeValidation Passed.

7. Seleccione Crear o Actualizar para implementar la solución. También puede seleccionar el vínculo Descargar una plantilla para la automatización para implementar la solución como código.

Cada tipo de contenido de la solución puede requerir más pasos para configurar. Si desea más información, consulte Habilitación de elementos de contenido en una solución.

Instalación y actualización de soluciones masiva

El centro de contenido admite una vista de lista además de la vista de tarjeta predeterminada. Seleccione la vista de lista para instalar varias soluciones y contenido independiente a la vez. El contenido independiente se mantiene actualizado automáticamente. Cualquier contenido activo o personalizado creado en función de soluciones o contenido independiente instalado desde el centro de contenido permanece intacto.

1. Para instalar o actualizar elementos de forma masiva, cambie a la vista de lista.

2. Busque o filtre para buscar el contenido que desea instalar o actualizar de forma masiva.

3. Active la casilla para cada solución o contenido independiente que quiera instalar o actualizar.

4. Seleccione el botón Instalar o actualizar.

   Si ya se ha instalado o actualizado una solución o contenido independiente seleccionado, no se realiza ninguna acción en ese elemento. No interfiere con la actualización e instalación de los demás elementos.

5. Seleccione Administrar para cada solución que haya instalado. Los tipos de contenido de la solución pueden requerir más información para configurar. Si desea más información, consulte Habilitación de elementos de contenido en una solución.

Habilitación de elementos de contenido en una solución

Administre de manera centralizada los elementos de contenido de una solución instalada del centro de contenido.

1. En el centro de contenido, seleccione una solución instalada en la que la versión es 2.0.0 o posterior.

2. En la página de detalles de la solución, seleccione Administrar.

   

3. Revise la lista de elementos de contenido.

   

4. Seleccione un elemento de contenido para empezar.

Administrar cada tipo de contenido

En las secciones siguientes se proporcionan algunas sugerencias sobre cómo trabajar con los distintos tipos de contenido a medida que administra una solución.

Conector de datos

Para conectar un conector de datos, complete los pasos de configuración.

1. Seleccione Open connector page (Abrir página del conector).

2. Complete los pasos de configuración del conector de datos.

   

   Después de configurar el conector de datos y los registros, el estado cambia a Conectado.

Regla de análisis

Cree una regla a partir de una plantilla o edite una regla existente.

1. Consulte la plantilla en la galería de plantillas de análisis.

2. Si aún no se usa la plantilla, seleccione Abrir>Crear regla y siga los pasos para habilitar la regla de análisis.

   Después de crear una regla, el número de reglas activas creadas a partir de la plantilla se muestra en la columna Contenido creado.

3. Seleccione el vínculo reglas activas para editar la regla existente. Por ejemplo, el vínculo de regla activa de la imagen siguiente se encuentra en Contenido creado y muestra 2 elementos.

   

Consultas de búsqueda

Ejecute la consulta de búsqueda proporcionada o personalícela.

1. Para empezar de forma inmediata la búsqueda, seleccione Ejecutar consulta en la página de detalles para obtener resultados rápidamente.

   

2. Para personalizar la consulta de búsqueda, seleccione el vínculo de la columna Nombre de contenido.

   Desde la galería de búsqueda, puede crear un clon de la plantilla de consulta de búsqueda de solo lectura si va al menú de puntos suspensivos. Las consultas de búsqueda creadas de esta manera se muestran como elementos en el centro de contenido en la columna Contenido creado.

Libro

Para personalizar un libro creado a partir de una plantilla, cree una instancia de un libro.

1. Seleccione Ver plantilla para abrir el libro y ver las visualizaciones.

2. Seleccione Guardar para crear una instancia de la plantilla de libro.

3. Puede ver el libro personalizable guardado al seleccionar Ver libro guardado.

4. Seleccione en el centro de contenido el vínculo 1 elemento de la columna Contenido creado para administrar el libro.

   

Analizador

Cuando se instala una solución, todos los analizadores incluidos se agregan como funciones del área de trabajo en Log Analytics.

1. Seleccione Cargar el código de la función para abrir Log Analytics y compruebe o ejecute el código de la función proporcionado.

2. Seleccione Usar en el editor para abrir Log Analytics con el nombre del analizador preparado para agregar a la consulta personalizada.

   

Guía

Cree un cuaderno de estrategias a partir de una plantilla.

1. Seleccione el vínculo Nombre de contenido del cuaderno de estrategias.

2. Elija la plantilla y seleccione Crear cuaderno de estrategias.

3. Una vez creado el cuaderno de estrategias, el cuaderno de estrategias activo se muestra en la columna contenido creado.

4. Seleccione el cuaderno de estrategias activo 1 elemento vínculo para administrar el cuaderno de estrategias.

   

Búsqueda del modelo de soporte técnico para su contenido

Cada solución y elemento de contenido independiente explica el modelo de soporte técnico en el panel de detalles correspondiente, en la casilla Soporte técnico, donde se muestra Microsoft o el nombre de un partner. Por ejemplo:

Al ponerse en contacto con el soporte técnico, es posible que necesite otros detalles sobre la solución, como un publicador, proveedor y valores de identificador de plan. Encuentre esta información en la página de detalles en la pestaña Información de uso y soporte técnico.

Pasos siguientes

En este documento ha aprendido a buscar e implementar soluciones y contenido independiente integrado de Microsoft Sentinel.

• Más información sobre las soluciones de Microsoft Sentinel.
• Consulte el catálogo de soluciones para Microsoft Sentinel en el Azure Marketplace.
• Busque soluciones específicos de dominio en el catálogo del centro de contenido de Microsoft Sentinel.
• Eliminar contenido y soluciones instalados de Microsoft Sentinel de fábrica.

Muchas soluciones incluyen conectores de datos que debe configurar para que pueda empezar a ingerir los datos en Microsoft Sentinel. Cada conector de datos tiene su propio conjunto de requisitos que se detallan en la página del conector de datos de Microsoft Sentinel.

Para obtener más información, vea Conexión del origen de datos.