Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel es una plataforma de seguridad unificada de administración de eventos e información de seguridad (SIEM) nativa de la nube para la defensa de agentes. Para satisfacer las demandas de las amenazas complejas de hoy en día, Microsoft Sentinel ha evolucionado de un SIEM tradicional a un SIEM y una plataforma, que se extiende más allá de los controles estáticos basados en reglas y la respuesta posterior a la vulneración para proporcionar una base preparada para la inteligencia artificial, que transforma la telemetría en un gráfico de seguridad, estandariza el acceso para los agentes y coordina acciones autónomas, a la vez que mantiene a los seres humanos al mando de las investigaciones de estrategia y de alto impacto.
Como SIEM, Microsoft Sentinel ofrece seguridad controlada por inteligencia artificial en entornos multinube y multiplataforma, lo que ofrece funcionalidades sólidas para la detección de amenazas, la investigación, la búsqueda, la respuesta y la interrupción automatizada de ataques. Como plataforma, Microsoft Sentinel proporciona una base basada en un lago de datos moderno para obtener información detallada, funcionalidades de grafos para el análisis contextual, un servidor hospedado de Protocolo de contexto de modelo (MCP) para herramientas preparadas para agentes y funcionalidades para desarrolladores para compilar e implementar soluciones a través del Almacén de seguridad.
En este artículo se proporciona información general sobre Microsoft Sentinel y sus componentes principales. Explica cómo Microsoft Sentinel ayuda a los equipos de operaciones de seguridad a detectar y responder a amenazas, y a adaptarse continuamente mediante la unificación de datos, la automatización de respuestas y la derivación de información basada en inteligencia artificial.
Siem de principio a fin, de un extremo a otro y plataforma de seguridad
En este diagrama se muestra la plataforma de seguridad y SIEM de principio a fin Microsoft Sentinel IA, resaltando sus componentes principales y su integración con Microsoft Security Copilot.
Microsoft Sentinel SIEM
La solución SIEM Microsoft Sentinel nativa de la nube ofrece seguridad con tecnología de inteligencia artificial en entornos multinube y multiplataforma. Proporciona funcionalidades completas para la detección de amenazas, la investigación, la respuesta y la búsqueda proactiva, lo que proporciona a los equipos de seguridad una visión unificada de su empresa.
Microsoft Sentinel SIEM está disponible en el portal de Microsoft Defender , para clientes con o sin Defender XDR o una licencia E5, que ofrece una experiencia de operaciones de seguridad unificada. Esta integración simplifica los flujos de trabajo, mejora la visibilidad y ayuda a los analistas a responder de forma más rápida y precisa ante amenazas cada vez más complejas.
La integración de Microsoft Sentinel SIEM con el portal de Defender y Security Copilot crea un ecosistema eficaz que mejora las operaciones de seguridad. Security Copilot permite a los analistas interactuar con Microsoft Sentinel datos mediante lenguaje natural, generar consultas de búsqueda y automatizar las investigaciones, lo que hace que la respuesta a amenazas sea más rápida y accesible.
Para obtener más información, consulte ¿Qué es Microsoft Sentinel SIEM?
Conectores de datos
Recopile datos en todo el patrimonio digital dondequiera que residan los datos, incluidos todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto en el entorno local como en varias nubes:
Más de 350 conectores de datos integrados con compatibilidad con soluciones de seguridad de terceros y plataformas en la nube
Una experiencia de administración de tablas integrada que simplifica la selección del almacenamiento de datos, lo que admite la colocación por niveles en los niveles de análisis y lago de datos.
Los datos ingeridos en el nivel de análisis se reflejan automáticamente en el nivel de lago de datos, lo que garantiza que el nivel de lago de datos sigue siendo el repositorio central y unificado para todos los datos de seguridad.
Opciones de conector personalizado y sin código
Normalización de datos para convertir varios orígenes en una vista uniforme y normalizada
Para obtener más información, consulte Microsoft Sentinel conectores de datos.
Componentes principales de la plataforma de Microsoft Sentinel
Microsoft Sentinel lago de datos
Microsoft Sentinel lago de datos es un lago de datos nativo de la nube totalmente administrado creado específicamente para las operaciones de seguridad. Unifica, conserva y analiza los datos de seguridad a escala, lo que proporciona la base para el análisis avanzado, la información basada en inteligencia artificial y la defensa agente.
Diseñado para ofrecer flexibilidad y profundidad, el lago de datos admite análisis multimodales(incluidas las consultas kusto, el análisis de relaciones basado en grafos, Microsoft Modeling Language (MML), los agentes de Security Copilot y los cuadernos con tecnología de inteligencia artificial en Visual Studio Code, todo ello en una sola copia de datos de formato abierto.
Con almacenamiento rentable y retención a largo plazo, los equipos de seguridad pueden investigar amenazas persistentes, enriquecer alertas con contexto histórico y crear líneas base de comportamiento con meses de datos, sin la sobrecarga de la infraestructura tradicional.
Microsoft Sentinel funcionalidades clave de Data Lake incluyen:
Centraliza los registros de Microsoft 365, Defender, Azure, Microsoft Entra, Microsoft Purview, Microsoft Intune y más de 350 conectores de datos, incluidos Amazon Web Services (AWS) y Google Cloud Platform (GCP), para eliminar los silos de datos.
Optimiza los costos desacoplando la ingesta de datos del análisis, de modo que pueda almacenar volúmenes masivos de datos de seguridad y aplicar los motores analíticos más eficaces para tareas como la búsqueda de amenazas, la detección de anomalías y las investigaciones forenses profundas.
Habilita el análisis multimodal en una sola copia de datos de formato abierto mediante consultas de Kusto, trabajos programados y cuadernos con tecnología de inteligencia artificial en Visual Studio Code, sin que sea necesario configurar la infraestructura.
Para obtener más información, consulte ¿Qué es Microsoft Sentinel data lake?
gráfico de Microsoft Sentinel
Microsoft Sentinel gráfico proporciona funcionalidad unificada de análisis de grafos mediante el modelado y el análisis de relaciones complejas entre recursos, identidades, actividades e inteligencia sobre amenazas. Permite a los agentes de Microsoft Defenders e IA razonar sobre los datos interconectados, lo que ofrece información más detallada y una respuesta más rápida a las ciberamenazas.
Microsoft Sentinel funcionalidades clave del gráfico incluyen:
- Análisis unificado basado en gráficos que potencian experiencias integradas en seguridad, cumplimiento, identidad y el ecosistema de seguridad de Microsoft.
- Modelado de relaciones real que usa nodos y bordes para representar usuarios, dispositivos, recursos en la nube, flujos de datos y acciones del atacante.
- Razonamiento de amenazas mejorado para ayudar a Defenders a responder preguntas complejas, como qué rutas vulnerables podría tomar un atacante de una entidad en peligro a un recurso crítico.
- Defensa de un extremo a otro con compatibilidad con escenarios previos y posteriores a la vulneración, mediante gráficos interconectados entre Microsoft Defender y Microsoft Purview.
Para obtener más información, consulte ¿Qué es Microsoft Sentinel grafo?
Microsoft Sentinel servidor de protocolo de contexto de modelo (MCP)
Microsoft Sentinel servidor MCP proporciona una interfaz unificada y hospedada que permite a los equipos de seguridad interactuar con los datos de seguridad mediante lenguaje natural y crear agentes de seguridad inteligentes, sin configuración de infraestructura ni conectores personalizados. Esta integración simplifica la exploración y automatización de datos, lo que hace que las operaciones de seguridad controladas por inteligencia artificial sean más accesibles y eficaces.
Microsoft Sentinel funcionalidades clave del servidor MCP incluyen:
- Interfaz hospedada que usa Microsoft Entra para la identidad y admite clientes compatibles para operaciones de IA sin problemas.
- Herramientas de seguridad del lenguaje natural, incluidas herramientas centradas en escenarios para consultar y razonar sobre Microsoft Sentinel lago de datos sin conocimientos de esquema ni codificación.
- Creación acelerada de agentes por la que los ingenieros pueden crear agentes de seguridad personalizados con lenguaje natural, lo que reduce el esfuerzo manual y acelera la automatización.
- La integración nativa con el lago de datos de Microsoft Sentinel permite una ingeniería de contexto enriquecida sin poner en peligro la cobertura o el costo de los datos.
Para obtener más información, consulte ¿Qué es la compatibilidad de Microsoft Sentinel con el Protocolo de contexto de modelo (MCP)?
Microsoft Sentinel experiencia para desarrolladores
Microsoft Sentinel ofrece amplias funcionalidades para que los asociados creen soluciones impactantes que puedan publicar a través de Microsoft Security Store o el centro de contenido siem de Microsoft Sentinel. La compilación sobre Microsoft Sentinel permite admitir nuevos escenarios mediante una amplia gama de datos de seguridad, funcionalidades de procesamiento y experiencias de inteligencia artificial, sin necesidad de nuevas canalizaciones, motores de proceso o infraestructura de almacenamiento.
Por ejemplo, los asociados pueden crear, empaquetar y publicar:
- Microsoft Sentinel contenido SIEM, como conectores, reglas analíticas, consultas de búsqueda y cuadernos de estrategias.
- Microsoft Sentinel contenido de la plataforma, como conectores, trabajos de cuadernos de Jupyter Notebook para analizar los datos y agentes que correlacionan esos datos con contenido de lago existente. A continuación, el agente puede interactuar con otros puntos de conexión y aplicaciones externas para proporcionar a los clientes una experiencia unificada eficaz.
Para obtener más información, consulte Compilación y publicación de soluciones Microsoft Sentinel.
Introducción
Para empezar a trabajar con la plataforma Microsoft Sentinel y SIEM, consulte:
- Incorporación de Microsoft Sentinel
- Incorporación a Microsoft Sentinel lago de datos y gráfico de Microsoft Sentinel
- conector de datos de Microsoft Sentinel
- Introducción a Microsoft Sentinel servidor MCP (versión preliminar)
- Administración de niveles de datos y retención en Microsoft Defender Portal (versión preliminar)
- Administración y supervisión de los costos de Microsoft Sentinel
- Cuadernos de Jupyter Notebook en el lago de datos de Microsoft Sentinel
- Compilación y publicación de soluciones de Microsoft Sentinel