Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presentan las actividades que le ayudan a planear, implementar y ajustar la implementación de Microsoft Sentinel.
Información general sobre planeamiento y preparación
En esta sección se presentan las actividades y los requisitos previos que le ayudarán a planear y preparar antes de implementar Microsoft Sentinel.
La fase de planeación y preparación la realiza normalmente un arquitecto de SOC o roles relacionados.
| Paso | Detalles |
|---|---|
| 1. Planear y preparar información general y requisitos previos | Revise los requisitos previos de Azure inquilino. |
| 2. Planear la arquitectura del área de trabajo | Diseñe el área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Independientemente de si va a incorporarse al portal de Microsoft Defender, seguirá necesitando un área de trabajo de Log Analytics. Tenga en cuenta parámetros como: : si va a usar un solo inquilino o varios inquilinos - Cualquier requisito de cumplimiento que tenga para la recopilación de datos y el almacenamiento - Control del acceso a datos Microsoft Sentinel Revise estos artículos: 1. Diseño de la arquitectura del área de trabajo 3. Revisión de diseños de área de trabajo de ejemplo 4. Preparación para varias áreas de trabajo |
| 3. Priorizar conectores de datos | Determine qué orígenes de datos necesita y los requisitos de tamaño de datos para ayudarle a proyectar con precisión el presupuesto y la escala de tiempo de la implementación. Puede determinar esta información durante la revisión de casos de uso empresarial o mediante la evaluación de un SIEM actual que ya tiene en vigor. Si ya tiene un SIEM, analice los datos para comprender qué orígenes de datos proporcionan más valor y se deben ingerir en Microsoft Sentinel. |
| 4. Planear roles y permisos | Use Azure control de acceso basado en roles (RBAC) para crear y asignar roles dentro del equipo de operaciones de seguridad con el fin de conceder acceso adecuado a Microsoft Sentinel. Los diferentes roles proporcionan un control específico sobre lo que Microsoft Sentinel los usuarios pueden ver y hacer. Azure roles se pueden asignar directamente en el área de trabajo, o en una suscripción o grupo de recursos al que pertenece el área de trabajo, que Microsoft Sentinel hereda. |
| 5. Planear costos | Empiece a planear el presupuesto, teniendo en cuenta las implicaciones de los costos para cada escenario planeado. Asegúrese de que el presupuesto cubre el costo de la ingesta de datos para Microsoft Sentinel y Azure Log Analytics, los cuadernos de estrategias que se implementarán, etc. |
Información general sobre la implementación
Normalmente, la fase de implementación la realiza un analista de SOC o roles relacionados.
| Paso | Detalles |
|---|---|
| 1. Habilitación de Microsoft Sentinel, estado y auditoría, y contenido | Habilite Microsoft Sentinel, habilite la característica de mantenimiento y auditoría y habilite las soluciones y el contenido que ha identificado según las necesidades de su organización.
Para incorporarse a Microsoft Sentinel mediante la API, consulte la versión compatible más reciente de Sentinel Estados de incorporación. |
| 2. Configurar contenido | Configure los diferentes tipos de contenido de seguridad de Microsoft Sentinel, que le permiten detectar, supervisar y responder a amenazas de seguridad en todos los sistemas: conectores de datos, reglas de análisis, reglas de automatización, cuadernos de estrategias, libros y listas de reproducción. |
| 3. Configurar una arquitectura entre áreas de trabajo | Si el entorno requiere varias áreas de trabajo, ahora puede configurarlas como parte de la implementación. En este artículo, aprenderá a configurar Microsoft Sentinel para ampliar entre varias áreas de trabajo e inquilinos. |
| 4. Habilitar análisis de comportamiento de usuarios y entidades (UEBA) | Habilite y use la característica UEBA para simplificar el proceso de análisis. |
| 5. Configurar Microsoft Sentinel lago de datos | Configure las opciones interactivas y de retención de datos para garantizar que su organización retenga datos críticos a largo plazo, aprovechando el lago de datos Microsoft Sentinel para un almacenamiento rentable, visibilidad mejorada e integración sin problemas con herramientas de análisis avanzadas. |
Ajuste y revisión precisos: lista de comprobación para la implementación posterior
Revise la lista de comprobación posterior a la implementación para asegurarse de que el proceso de implementación funciona según lo esperado y de que el contenido de seguridad que implementó funciona y protege su organización según sus necesidades y casos de uso.
La fase de ajuste y revisión fina normalmente la realiza un ingeniero de SOC o roles relacionados.
| Paso | Acciones |
|---|---|
| ✅ Revisión de incidentes y proceso de incidentes | - Compruebe si los incidentes y el número de incidentes que ve reflejan lo que está sucediendo realmente en su entorno. - Compruebe si el proceso de incidentes del SOC funciona para controlar incidentes de forma eficaz: ¿Ha asignado diferentes tipos de incidentes a diferentes capas o niveles del SOC? Obtenga más información sobre cómo navegar e investigar incidentes y cómo trabajar con tareas de incidentes. |
| ✅ Revisión y ajuste de reglas de análisis | - En función de la revisión de incidentes, compruebe si las reglas de análisis se desencadenan según lo esperado y si las reglas reflejan los tipos de incidentes que le interesan. - Controlar los falsos positivos, ya sea mediante la automatización o mediante la modificación de reglas de análisis programadas. - Microsoft Sentinel proporciona funcionalidades integradas de ajuste para ayudarle a analizar las reglas de análisis. Revise estas conclusiones integradas e implemente las recomendaciones pertinentes. |
| ✅ Revisión de reglas y cuadernos de estrategias de automatización | - De forma similar a las reglas de análisis, compruebe que las reglas de automatización funcionan según lo previsto y refleje los incidentes que le preocupan y que le interesan. - Compruebe si los cuadernos de estrategias responden a alertas e incidentes según lo previsto. |
| ✅ Adición de datos a listas de seguimiento | Compruebe que las listas de reproducción están actualizadas. Si se han producido cambios en el entorno, como nuevos usuarios o casos de uso, actualice las listas de reproducción en consecuencia. |
| ✅ Revisión de los niveles de compromiso | Revise los niveles de compromiso que configuró inicialmente y compruebe que estos niveles reflejan la configuración actual. |
| ✅ Realizar un seguimiento de los costos de ingesta | Para realizar un seguimiento de los costos de ingesta, use uno de estos libros: - El libro Informe de uso del área de trabajo proporciona las estadísticas de consumo, costo y uso de datos del área de trabajo. El libro proporciona el estado de ingesta de datos del área de trabajo y la cantidad de datos gratuitos y facturables. Puede usar la lógica del libro para supervisar la ingesta de datos y los costos, y para crear vistas personalizadas y alertas basadas en reglas. - El libro Microsoft Sentinel Cost proporciona una vista más centrada de los costos de Microsoft Sentinel, incluidos los datos de ingesta y retención, los datos de ingesta para orígenes de datos aptos, la información de facturación de Logic Apps, etc. |
| ✅ Ajustar las reglas de recopilación de datos (DCR) | - Compruebe que los DCR reflejan las necesidades de ingesta de datos y los casos de uso. - Si es necesario, implemente la transformación en tiempo de ingesta para filtrar los datos irrelevantes incluso antes de que se almacenen por primera vez en el área de trabajo. |
| ✅ Comprobación de reglas de análisis en el marco de MITRE | Compruebe la cobertura de MITRE en la página Microsoft Sentinel MITRE: vea las detecciones que ya están activas en el área de trabajo y las disponibles para configurarla, para comprender la cobertura de seguridad de su organización, en función de las tácticas y técnicas del marco de trabajo de MITRE ATT&CK®. |
| ✅ Búsqueda de actividad sospechosa | Asegúrese de que el SOC tiene un proceso para la búsqueda proactiva de amenazas. La búsqueda es un proceso en el que los analistas de seguridad buscan amenazas no detectadas y comportamientos malintencionados. Mediante la creación de una hipótesis, la búsqueda a través de datos y la validación de esa hipótesis, determinan sobre qué actuar. Las acciones pueden incluir la creación de nuevas detecciones, la nueva inteligencia sobre amenazas o la creación de un nuevo incidente. |
Artículos relacionados
En este artículo, ha revisado las actividades de cada una de las fases que le ayudan a implementar Microsoft Sentinel.
En función de la fase en la que se encuentra, elija los pasos siguientes adecuados:
- Planeamiento y preparación: requisitos previos para implementar Azure Sentinel
- Implementación: habilitación del contenido y las características Microsoft Sentinel e iniciales
- Ajuste y revisión: navegue e investigue incidentes en Microsoft Sentinel
Cuando haya terminado con la implementación de Microsoft Sentinel, continúe explorando las funcionalidades de Microsoft Sentinel revisando tutoriales que cubren tareas comunes:
- ¿Qué es Microsoft Sentinel lago de datos?
- Reenviar datos de Syslog a un área de trabajo de Log Analytics con Microsoft Sentinel mediante Azure Agente de Supervisión
- Configuración de la retención de nivel de tabla
- Detección de amenazas mediante reglas de análisis
- Comprobar y registrar automáticamente la información de reputación de la dirección IP en incidentes
- Respuesta a amenazas mediante la automatización
- Extracción de entidades de incidentes con acción no nativa
- Investigación con UEBA
- Compilación y supervisión de Confianza cero
Revise la guía operativa de Microsoft Sentinel para las actividades normales de SOC que se recomienda realizar diariamente, semanalmente y mensualmente.