Guía de implementación de Microsoft Sentinel
En este artículo se presentan las actividades que le ayudan a planear, implementar y ajustar la implementación de Microsoft Sentinel.
Descripción general de la planificación y la preparación
En esta sección se presentan las actividades y los requisitos previos que le ayudan a planear y preparar antes de implementar Microsoft Sentinel.
Normalmente, el plan y la fase de preparación se realizan mediante un arquitecto de SOC o roles relacionados.
Step | Detalles |
---|---|
1. Descripción general y requisitos previos de la planificación y la preparación | Revise los requisitos previos del inquilino de Azure. |
2. Planificación de la arquitectura del área de trabajo | Diseñe el área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Tenga en cuenta parámetros como los siguientes: - Si va a usar un solo inquilino o varios inquilinos - Cualquier requisito de cumplimiento que tenga para la recopilación y el almacenamiento de datos - Control del acceso a los datos de Microsoft Sentinel Revise estos artículos: 1. Arquitectura del área de trabajo diseño 3. Revisión de las muestras de los diseños del área de trabajo 4. Preparación para varias áreas de trabajo |
3. Priorización de los conectores de datos | Determine qué orígenes de datos necesita y los requisitos de tamaño de datos como ayuda para proyectar con precisión el presupuesto y la escala de tiempo de la implementación. Puede determinar esta información durante la revisión del caso de uso empresarial o mediante la evaluación de una solución de SIEM actual que ya tenga en funcionamiento. Si ya tiene una solución de SIEM en funcionamiento, analice los datos para comprender qué orígenes de datos proporcionan el máximo valor y se deben incluir en Microsoft Sentinel. |
4. Planificación de los roles y los permisos | Utilice el control de acceso basado en rol de Azure (RBAC) para crear y asignar roles dentro del equipo de operaciones de seguridad para conceder el acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control exhaustivo sobre lo que los usuarios de Microsoft Sentinel pueden ver y hacer. Los roles de Azure se pueden asignar directamente en el área de trabajo o en una suscripción o grupo de recursos al que pertenece el área de trabajo, a la que hereda Microsoft Sentinel. |
5. Planificación de costes | Empiece a planear el presupuesto, teniendo en cuenta las implicaciones de costes para cada escenario planeado. Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etcétera. |
Introducción a la implementación
Normalmente, la fase de implementación se realiza mediante un analista de SOC o roles relacionados.
Step | Detalles |
---|---|
1. Habilitación de Microsoft Sentinel, mantenimiento y auditoría, y contenido | Habilite Microsoft Sentinel, habilite la característica de mantenimiento y auditoría y habilite las soluciones y el contenido que ha identificado según las necesidades de la organización. Para incorporarse a Microsoft Sentinel mediante la API, consulte la versión más reciente compatible de los estados de incorporación de Sentinel. |
2. Configuración del contenido | Configure los diferentes tipos de contenido de seguridad de Microsoft Sentinel, que le permiten detectar, supervisar y responder a amenazas de seguridad en los sistemas: conectores de datos, reglas de análisis, reglas de automatización, cuadernos de estrategias, libros y listas de reproducción. |
3. Configuración de una arquitectura entre espacios de trabajo | Si el entorno requiere varias áreas de trabajo, ahora puede configurarlas como parte de la implementación. En este artículo, aprenderá a configurar Microsoft Sentinel para ampliar varias áreas de trabajo e inquilinos. |
4. Habilitación del análisis del comportamiento de usuarios y entidades (UEBA) | Habilite y use la característica UEBA para agilizar el proceso de análisis. |
5. Configuración de la retención de datos interactiva y a largo plazo | Configure la retención de datos interactiva y a largo plazo para asegurarse de que su organización conserva los datos importantes a largo plazo. |
Ajuste y revisión: Lista de comprobación para la posterior implementación
Revise la lista de comprobación posterior a la implementación que le ayudará a asegurarse de que el proceso de implementación funciona según lo previsto y que el contenido de seguridad que implementó funciona y protege su organización según sus necesidades y casos de uso.
La fase de ajuste y revisión suele realizarse por un ingeniero de SOC o roles relacionados.
Paso | Acciones |
---|---|
✅Revisión de incidentes y proceso de incidentes | - Compruebe si los incidentes y el número de incidentes que ve reflejan lo que realmente sucede en su entorno. - Compruebe si el proceso de incidentes del SOC funciona para controlar incidentes de forma eficaz: ¿Ha asignado diferentes tipos de incidentes a diferentes capas o niveles del SOC? Obtenga más información sobre cómo navegar e investigar incidentes y cómo trabajar con tareas de incidentes. |
✅Revisión y ajuste de las reglas de análisis | - En función de la revisión de incidentes, compruebe si las reglas de análisis se desencadenan según lo previsto y si las reglas reflejan los tipos de incidentes que le interesan. - Maneje los falsos positivos, ya sea mediante la automatización o modificando las reglas de análisis programadas. - Microsoft Sentinel proporciona funcionalidades de ajuste fino integradas para ayudarle a analizar las reglas de análisis. Revise estos conocimientos integrados e implemente recomendaciones relevantes. |
✅Revisión de las reglas y cuadernos de estrategias de automatización | - De forma similar a las reglas de análisis, compruebe que las reglas de automatización funcionan según lo previsto y reflejen los incidentes que le interesan y estén interesados. - Compruebe si los cuadernos de estrategias responden a alertas e incidentes según lo previsto. |
✅Adición de datos a las listas de seguimiento | Compruebe que las listas de reproducción están actualizadas. Si se han producido cambios en su entorno, como nuevos usuarios o casos de uso, actualice las listas de seguimiento según corresponda. |
✅Revisión de los niveles de compromiso | Revise los niveles de compromiso que configuró inicialmente y compruebe que estos niveles reflejen la configuración actual. |
✅Realización del seguimiento de los costos de ingestión | Para realizar un seguimiento de los costos de ingesta, use uno de estos libros: - El libro sobre el informe de utilización del área de trabajoproporciona las estadísticas de consumo, costo y utilización de datos del área de trabajo. El libro proporciona el estado de ingesta de datos del área de trabajo y la cantidad de datos gratuitos y facturables. Puede usar la lógica del libro para supervisar los datos ingeridos y costos, y crear vistas personalizadas y alertas basadas en reglas. - El libro Costo de Microsoft Sentinel brinda una vista más enfocada de los costos de Microsoft Sentinel, incluidos datos de ingesta y retención, datos de ingesta para fuentes de datos elegibles, información de facturación de Logic Apps, etc. |
✅Ajuste de las reglas de recopilación de datos (DCRs) | - Compruebe que los DCR reflejen las necesidades de ingesta de datos y casos de uso. - Si es necesario, implemente la transformación del tiempo de ingesta para filtrar los datos irrelevantes incluso antes de que se almacenen por primera vez en el área de trabajo. |
✅Comprobación de las reglas de análisis en el marco MITRE | Compruebe la cobertura MITRE en la página MITRE de Microsoft Sentinel: observe las detecciones que ya están activas en el área de trabajo y aquellas disponibles para que las configure, para comprender la cobertura de seguridad de su organización, según las tácticas y técnicas del marco MITRE ATT&CK®. |
✅Búsqueda de actividad sospechosa | Asegúrese de que su SOC tenga un proceso implementado para la búsqueda proactiva de amenazas. La búsqueda es un proceso en el que los analistas de seguridad buscan amenazas no detectadas y comportamientos maliciosos. Mediante la creación de una hipótesis, la búsqueda a través de datos y la validación de esa hipótesis, determinan qué actuar. Las acciones pueden incluir la creación de nuevas detecciones, la nueva inteligencia sobre amenazas o la creación de un nuevo incidente. |
Artículos relacionados
En este artículo, ha revisado las actividades de cada una de las fases que le ayudan a implementar Microsoft Sentinel.
En función de la fase en la que esté, elija los pasos siguientes adecuados:
- Planeamiento y preparación: requisitos previos para implementar Azure Sentinel
- Implementación: habilitación de Microsoft Sentinel y las características iniciales y el contenido
- Ajuste y revisión : navegación e investigación de incidentes en Microsoft Sentinel
Cuando haya terminado con la implementación de Microsoft Sentinel, continúe explorando las funcionalidades de Microsoft Sentinel revisando los tutoriales que abarcan las tareas comunes:
- Reenvíe datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante el uso de Azure Monitor Agent
- Configuración de la directiva de retención de datos
- Detección de amenazas mediante reglas de análisis
- Compruebe y registre automáticamente la información de reputación de la dirección IP en incidentes
- Respuesta a amenazas mediante automatización
- Extraiga entidades incidentes con acción no nativa
- Investigación con UEBA
- Compilación y supervisión de Confianza cero
Revise la guía operativa de Microsoft Sentinel para las actividades normales de SOC que se recomienda realizar diaria, semanal y mensualmente.