Oharra
Orrialde honetara sartzeak baimena behar du. Saioa hasteko edo direktorioak aldatzen saia zaitezke.
Orrialde honetara sartzeak baimena behar du. Direktorioak aldatzen saia zaitezke.
En este artículo se enumeran las actividades operativas que recomendamos a los equipos de operaciones de seguridad (SOC) y a los administradores de seguridad planear y ejecutar como parte de sus actividades de seguridad periódicas con Microsoft Sentinel. Para obtener más información sobre cómo administrar las operaciones de seguridad, consulte Introducción a las operaciones de seguridad.
Tareas diarias
Programe las siguientes actividades diarias.
| Tarea | descripción |
|---|---|
| Evaluación de prioridades e investigación de incidentes | Revise la página Incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas de análisis configuradas actualmente y empezar a investigar los nuevos incidentes. Para más información, vea: |
| Exploración de consultas y marcadores de búsqueda | Explore los resultados de todas las consultas integradas y actualice los marcadores y las consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para más información, vea: |
| Reglas de análisis | Revise y habilite las nuevas reglas de análisis según corresponda, incluidas las reglas recién publicadas o recién disponibles de las soluciones implementadas recientemente. Para más información, vea: Supervise el estado y optimice la ejecución de las reglas de análisis. Para más información, vea: |
| Conectores de datos | Revise el estado de mantenimiento de los conectores de datos para asegurarse de que fluyen los datos. Compruebe si hay nuevos conectores y revise la ingesta para asegurarse de que no se superan los límites establecidos. Para más información, consulte Supervisión del estado de los conectores de datos. |
| Agente de Azure Monitor | Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y corrija las conexiones fallidas. Para más información, consulte Introducción al agente de Azure Monitor. |
| Errores del cuaderno de estrategias | Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, consulte Tutorial: Respuesta a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel. |
Tareas semanales
Programe las actividades siguientes semanalmente.
| Tarea | descripción |
|---|---|
| Revisión de contenido de soluciones o contenido independiente | Obtenga las actualizaciones de contenido de las soluciones instaladas o el contenido independiente del centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias. |
| Auditoría de Microsoft Sentinel | Revise la actividad de Microsoft Sentinel para ver quién actualizó o eliminó los recursos, como reglas de análisis, marcadores, etc. Para obtener más información, consulte Auditar las consultas y actividades de Microsoft Sentinel. |
Tareas mensuales
Programe las actividades siguientes mensualmente.
| Tarea | descripción |
|---|---|
| Revisión del acceso de usuario | Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para obtener más información, consulte Permisos en Microsoft Sentinel. |
| Revisión del área de trabajo de Log Analytics | Revise que la directiva de retención de datos del área de trabajo de Log Analytics se sigue ajustando a la directiva de su organización. Para más información, consulte Directiva de retención de datos e Integración de Azure Data Explorer para la retención de registros a largo plazo. |