Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se proporcionan instrucciones sobre procedimientos recomendados en toda la documentación técnica para Microsoft Sentinel. En este artículo se resaltan algunas instrucciones clave que se deben usar al implementar, administrar y usar Microsoft Sentinel.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Para empezar a trabajar con Microsoft Sentinel, consulte la guía de implementación, que describe los pasos de alto nivel para planear, implementar y ajustar la implementación de Microsoft Sentinel. En esa guía, seleccione los vínculos proporcionados para encontrar instrucciones detalladas para cada fase de la implementación.
Adopción de una arquitectura de plataforma única
Microsoft Sentinel se integra con un lago de datos moderno que ofrece almacenamiento asequible y a largo plazo que permite a los equipos simplificar la administración de datos, optimizar los costos y acelerar la adopción de la inteligencia artificial. El lago de datos Microsoft Sentinel permite una arquitectura de plataforma única para los datos de seguridad y proporciona a los analistas una experiencia de consulta unificada al tiempo que aprovechan el rico ecosistema de conectores de Microsoft Sentinel. Para obtener más información, vea Microsoft Sentinel data lake .
Incorporación de Microsoft Sentinel al portal de Microsoft Defender e integración con Microsoft Defender XDR
Considere la posibilidad de incorporar Microsoft Sentinel al portal de Microsoft Defender para unificar funcionalidades con Microsoft Defender XDR como la administración de incidentes y la búsqueda avanzada.
Si no incorpora Microsoft Sentinel al portal de Microsoft Defender, tenga en cuenta lo siguiente:
- En julio de 2026, todos los clientes Microsoft Sentinel que usen el Azure Portal se redirigirán al portal de Defender.
- Hasta entonces, puede usar el conector de datos de Defender XDR para integrar Microsoft Defender datos de servicio con Microsoft Sentinel en el Azure Portal.
En la ilustración siguiente se muestra cómo la solución XDR de Microsoft se integra sin problemas con Microsoft Sentinel.
Para más información, consulte los siguientes artículos:
- integración Microsoft Defender XDR con Microsoft Sentinel
- Conectar Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Sentinel en el portal de Microsoft Defender
Integración de servicios de seguridad de Microsoft
Microsoft Sentinel está habilitado por los componentes que envían datos al área de trabajo y se hace más fuerte a través de integraciones con otros servicios de Microsoft. Los registros ingeridos en productos, como Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión y Microsoft Defender for Identity, permiten que estos servicios creen detecciones y, a su vez, proporcionen detecciones para Microsoft Sentinel. Los registros también se pueden ingerir directamente en Microsoft Sentinel para proporcionar una imagen más completa de eventos e incidentes.
Además de ingerir alertas y registros de otros orígenes, Microsoft Sentinel también proporciona:
| Funcionalidad | Descripción |
|---|---|
| Detección de amenazas | Funcionalidades de detección de amenazas con inteligencia artificial, lo que le permite crear y presentar objetos visuales interactivos a través de libros, ejecutar cuadernos de estrategias para actuar automáticamente sobre alertas, integrar modelos de aprendizaje automático para mejorar las operaciones de seguridad e ingerir y capturar fuentes de enriquecimiento de plataformas de inteligencia sobre amenazas. |
| Investigación de amenazas | Funcionalidades de investigación de amenazas que le permiten visualizar y explorar alertas y entidades, detectar anomalías en el comportamiento de usuarios y entidades y supervisar eventos en tiempo real durante una investigación. |
| Recopilación de datos | Recopile datos en todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto en el entorno local como en varias nubes. |
| Respuesta a amenazas | Funcionalidades de respuesta a amenazas, como cuadernos de estrategias que se integran con Azure servicios y las herramientas existentes. |
| Integraciones de partners | Se integra con plataformas de asociados mediante conectores de datos Microsoft Sentinel, lo que proporciona servicios esenciales para los equipos de SOC. |
Creación de soluciones de integración personalizadas (asociados)
Para los asociados que quieran crear soluciones personalizadas que se integren con Microsoft Sentinel, consulte Procedimientos recomendados para asociados que se integran con Microsoft Sentinel.
Planear la administración de incidentes y el proceso de respuesta
En la imagen siguiente se muestran los pasos recomendados en un proceso de administración y respuesta de incidentes.
En la tabla siguiente se proporcionan tareas de administración y respuesta de incidentes de alto nivel y procedimientos recomendados relacionados. Para obtener más información, consulte Microsoft Sentinel investigación de incidentes en el Azure Portal o Incidentes y alertas en el portal de Microsoft Defender.
| Tarea | Procedimiento recomendado |
|---|---|
| Página Revisar incidentes | Revise un incidente en la página Incidentes , que muestra el título, la gravedad y las alertas relacionadas, los registros y las entidades de interés. También puede pasar de incidentes a registros recopilados y a cualquier herramienta relacionada con el incidente. |
| Uso del gráfico de incidentes | Revise el gráfico Incidente de un incidente para ver el ámbito completo de un ataque. A continuación, puede construir una escala de tiempo de eventos y detectar la extensión de una cadena de amenazas. |
| Revisión de incidentes en busca de falsos positivos | Use datos sobre entidades clave, como cuentas, direcciones URL, dirección IP, nombres de host, actividades, escala de tiempo para saber si tiene un falso positivo a mano, en cuyo caso puede cerrar el incidente directamente. Si detecta que el incidente es un verdadero positivo, tome medidas directamente desde la página Incidentes para investigar registros, entidades y explorar la cadena de amenazas. Después de identificar la amenaza y crear un plan de acción, use otras herramientas en Microsoft Sentinel y otros servicios de seguridad de Microsoft para continuar investigando. |
| Visualización de información | Eche un vistazo al panel de información general de Microsoft Sentinel para hacerse una idea de la posición de seguridad de su organización. Para obtener más información, consulte Visualización de los datos recopilados. Además de información y tendencias en la página de información general de Microsoft Sentinel, los libros son herramientas de investigación valiosas. Por ejemplo, use el libro Conclusiones de investigación para investigar incidentes específicos junto con las entidades y alertas asociadas. Este libro le permite profundizar más en las entidades mediante la visualización de registros, acciones y alertas relacionados. |
| Buscar amenazas | Al investigar y buscar causas principales, ejecute consultas integradas de búsqueda de amenazas y compruebe los resultados de los indicadores de riesgo. Para obtener más información, vea Búsqueda de amenazas en Microsoft Sentinel. |
| Comportamiento de la entidad | El comportamiento de la entidad en Microsoft Sentinel permite a los usuarios revisar e investigar las acciones y alertas de entidades específicas, como la investigación de cuentas y nombres de host. Para más información, vea: - Habilitación de Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel - Investigación de incidentes con datos de UEBA - Microsoft Sentinel referencia de enriquecimientos de UEBA |
| Listas de reproducción | Use una lista de seguimiento que combine datos de datos ingeridos y orígenes externos, como datos de enriquecimiento. Por ejemplo, cree listas de intervalos de direcciones IP usados por su organización o empleados terminados recientemente. Use listas de reproducción con cuadernos de estrategias para recopilar datos de enriquecimiento, como agregar direcciones IP malintencionadas a listas de reproducción para usarlas durante la detección, la búsqueda de amenazas y las investigaciones. Durante un incidente, use listas de reproducción para contener datos de investigación y, a continuación, elimínelos cuando se realice la investigación para asegurarse de que la información confidencial no permanece en la vista. Para obtener más información, vea Listas de reproducción en Microsoft Sentinel. |
Optimización de la recopilación e ingesta de datos
Revise los procedimientos recomendados de recopilación de datos Microsoft Sentinel, que incluyen la priorización de conectores de datos, el filtrado de registros y la optimización de la ingesta de datos.
Hacer que las consultas de Lenguaje de consulta Kusto sean más rápidas
Revise los procedimientos recomendados de Lenguaje de consulta Kusto para que las consultas sean más rápidas.