Detección y administración de Microsoft Sentinel contenido integrado

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

El centro de contenido de Microsoft Sentinel es su ubicación centralizada para detectar y administrar contenido integrado. Allí encontrará soluciones empaquetadas para productos de un extremo a otro por dominio o sector. Tiene acceso al gran número de contribuciones independientes hospedadas en nuestro repositorio de GitHub y en las hojas de características.

  • Descubra soluciones y contenido independiente con un conjunto coherente de funcionalidades de filtrado basadas en el estado, el tipo de contenido, la compatibilidad, el proveedor y la categoría.

  • Instale el contenido en el área de trabajo a la vez o de forma individual.

  • Vea el contenido en la vista de lista y vea rápidamente qué soluciones tienen actualizaciones. Actualice las soluciones a la vez mientras el contenido independiente se actualiza automáticamente.

  • Administre una solución para instalar sus tipos de contenido y obtener los cambios más recientes.

  • Configure el contenido independiente para crear nuevos elementos activos en función de la plantilla más actualizada.

Si es un asociado que quiere crear su propia solución, consulte la Guía de compilación de soluciones de Microsoft Sentinel para la creación y publicación de soluciones.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Para instalar, actualizar y eliminar contenido o soluciones independientes en el centro de contenido, necesita el rol colaborador de Microsoft Sentinel en el nivel de grupo de recursos.

Para obtener más información sobre otros roles y permisos admitidos para Microsoft Sentinel, consulte Permisos en Microsoft Sentinel.

Descubrir contenido

El centro de contenido ofrece la mejor manera de encontrar contenido nuevo o administrar las soluciones que ya ha instalado.

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Contenido de contenido de administración> decontenido. Para Microsoft Sentinel en el Azure Portal, en Administración de contenido, seleccione Centro de contenido.

    La página Centro de contenido muestra una cuadrícula que permite búsquedas o una lista de soluciones y contenido independiente.

  2. Busque las soluciones o los elementos de contenido independientes que necesita. Seleccione valores específicos de los filtros o escriba un término de búsqueda en el cuadro Buscar . Las búsquedas usan IA para admitir búsquedas aproximadas y vocabulario aproximado.

    Al buscar, asegúrese de presionar ENTRAR para iniciar la búsqueda. El número de resultados de búsqueda está limitado a 50 elementos, incluidas las soluciones y los elementos de contenido que se encuentran en las soluciones. Si no encuentra lo que busca, intente refinar la expresión de búsqueda o use filtros diferentes.

    Para obtener más información, vea Categorías para Microsoft Sentinel contenido y soluciones integrados.

  3. En la vista de lista ( ), seleccione una solución de la lista para ver información sobre la solución, así como los tipos de elementos de contenido que incluye.

    Expanda una solución en los resultados de búsqueda o filtro para ver la lista de elementos de contenido que incluye. El panel de información del lado presenta información detallada sobre el elemento de contenido.

    Como alternativa, seleccione la vista de tarjeta ( ) para ver las soluciones presentadas en una cuadrícula. Cada tarjeta muestra el nombre, la descripción y las categorías de la solución. Seleccione una tarjeta para ver más información sobre la solución en el lateral.

Para usar un elemento de contenido que forma parte de una solución, debe instalar toda la solución. Si ha seleccionado un elemento de contenido específico en la vista de lista, seleccione Instalar solución en el panel de detalles del lado para instalar la solución pertinente.

Para obtener más información, vea Categorías para Microsoft Sentinel contenido y soluciones integrados.

Instalación o actualización de contenido

Instale el contenido independiente y las soluciones individualmente o todos juntos de forma masiva. Para obtener más información sobre las operaciones masivas, vea Instalación y actualización masiva de contenido en la sección siguiente.

Si una solución que implementó tiene actualizaciones desde la última vez que la implementó, la vista de lista muestra Actualizar en la columna de estado. La solución también se incluye en el recuento de Novedades en la parte superior de la página.

Este es un ejemplo que muestra la instalación de una solución individual.

  1. En el centro de contenido, busque y seleccione la solución.

  2. En el panel de detalles de soluciones, en la parte inferior derecha, seleccione Ver detalles.

  3. Seleccione Crear o Actualizar.

  4. En la pestaña Aspectos básicos , escriba la suscripción, el grupo de recursos y el área de trabajo para implementar la solución. Por ejemplo:

    Captura de pantalla de un asistente para la instalación de soluciones, en la que se muestra la pestaña Aspectos básicos.

  5. Seleccione Siguiente para pasar por las pestañas restantes para obtener información sobre cada uno de los componentes de contenido y, en algunos casos, configurarlo.

    Las pestañas se corresponden con el contenido que ofrece la solución. Las distintas soluciones pueden tener diferentes tipos de contenido, por lo que es posible que no vea las mismas pestañas en cada solución.

    También se le pedirá que escriba credenciales en un servicio que no sea de Microsoft para que Microsoft Sentinel pueda autenticarse en los sistemas. Por ejemplo, con cuadernos de estrategias, es posible que desee realizar acciones de respuesta según lo indicado en el sistema.

  6. En la pestaña Revisar y crear , espere el Validation Passed mensaje.

  7. Seleccione Crear o Actualizar para implementar la solución. También puede seleccionar el vínculo Descargar una plantilla para automatización para implementar la solución como código.

Instalación con dependencias

Algunas soluciones tienen dependencias para instalar, incluidas muchas soluciones y soluciones de dominio que usan los conectores AMA unificados para CEF, Syslog o registros personalizados.

En tales casos, seleccione Instalar con dependencias para asegurarse de que también están instalados los conectores de datos necesarios. Desde allí, seleccione una o varias de las dependencias para instalarlas junto con la solución original. La solución original que eligió instalar siempre está seleccionada de forma predeterminada.

Si ya está instalada una o varias de las soluciones de dependencia, pero tiene actualizaciones, use el botón Instalar o actualizar para instalar y actualizar todas las soluciones seleccionadas de forma masiva. Por ejemplo:

Captura de pantalla de la instalación masiva de varias dependencias de la solución.

Después de instalar una solución, cada tipo de contenido dentro de la solución puede requerir más pasos para configurar. Para obtener más información, vea Habilitar elementos de contenido en una solución.

Instalación y actualización masiva del contenido

El centro de contenido admite una vista de lista además de la vista de tarjeta predeterminada. Seleccione la vista de lista para instalar varias soluciones y contenido independiente a la vez. El contenido independiente se mantiene actualizado automáticamente. Cualquier contenido activo o personalizado creado en función de soluciones o contenido independiente instalado desde el centro de contenido permanece intacto.

  1. Para instalar o actualizar elementos de forma masiva, cambie a la vista de lista.

  2. Busque o filtre para encontrar el contenido que desea instalar o actualizar de forma masiva.

  3. Active la casilla para cada solución o contenido independiente que quiera instalar o actualizar.

  4. Seleccione el botón Instalar o actualizar . Captura de pantalla de la vista de lista de soluciones con varias soluciones seleccionadas y en curso para la instalación.

    Si ya se ha instalado o actualizado una solución o contenido independiente seleccionado, no se realiza ninguna acción en ese elemento. No interfiere con la actualización e instalación de los demás elementos.

  5. Seleccione Administrar para cada solución que haya instalado. Los tipos de contenido de la solución pueden requerir más información para configurar. Para obtener más información, vea Habilitar elementos de contenido en una solución.

Instalación de paquetes y plantillas mediante la API

Si usa la API para instalar paquetes de solución o plantillas individuales, siga estos pasos:

  1. Recupere el paquete de solución o la plantilla:

  2. En la respuesta de API, busque el properties.mainTemplate campo . Este campo contiene el JSON de plantilla de ARM que define los recursos de solución o plantilla.

  3. Implemente el extraído mainTemplate mediante una implementación de plantilla de ARM, ya sea a través de la API rest, la CLI de Azure o PowerShell.

Habilitación de elementos de contenido en una solución

Administre de forma centralizada los elementos de contenido para las soluciones instaladas desde el centro de contenido.

  1. En el centro de contenido, seleccione una solución instalada donde la versión sea 2.0.0 o posterior.

  2. En la página de detalles de soluciones, seleccione Administrar.

    Captura de pantalla del botón Administrar en la página de detalles de la solución del centro de contenido de actividad de Azure.

  3. Revise la lista de elementos de contenido.

    Captura de pantalla de la descripción de la solución y la lista de elementos de contenido de Azure solución Activity.

  4. Seleccione un elemento de contenido para empezar.

Administrar cada tipo de contenido

En las secciones siguientes se proporcionan algunas sugerencias sobre cómo trabajar con los distintos tipos de contenido a medida que administra una solución.

Conector de datos

Para conectar un conector de datos, complete los pasos de configuración.

  1. Seleccione Abrir la página del conector.

  2. Complete los pasos de configuración del conector de datos.

    Captura de pantalla del elemento de contenido del conector de datos para Azure solución activity en la que el estado está desconectado.

    Después de configurar el conector de datos y se detectan los registros, el estado cambia a Conectado.

Regla de análisis

Cree una regla a partir de una plantilla o edite una regla existente.

  1. Vea la plantilla en la galería de plantillas de análisis.

  2. Si aún no se usa la plantilla, seleccione Abrir>crear regla y siga los pasos para habilitar la regla de análisis.

    Después de crear una regla, el número de reglas activas creadas a partir de la plantilla se muestra en la columna Contenido creado .

  3. Seleccione el vínculo reglas activas para editar la regla existente. Por ejemplo, el vínculo de regla activa de la siguiente imagen está en Contenido creado y muestra 2 elementos.

    Captura de pantalla del elemento de contenido de la regla de análisis en la solución para la actividad de Azure.

Consulta de búsqueda

Ejecute la consulta de búsqueda proporcionada o personalícela.

  1. Para empezar a buscar de inmediato, seleccione Ejecutar consulta en la página de detalles para obtener resultados rápidos.

    Captura de pantalla del elemento de contenido de consulta de búsqueda clonado en la solución para la actividad de Azure.

  2. Para personalizar la consulta de búsqueda, seleccione el vínculo en la columna Nombre de contenido .

    Desde la galería de búsqueda, puede crear un clon de la plantilla de consulta de búsqueda de solo lectura yendo al menú de puntos suspensivos. Las consultas de búsqueda creadas de esta manera se muestran como elementos en la columna Contenido creado del centro de contenido.

Libro de trabajo

Para personalizar un libro creado a partir de una plantilla, cree una instancia de un libro.

  1. Seleccione Ver plantilla para abrir el libro y ver las visualizaciones.

  2. Seleccione Guardar para crear una instancia de la plantilla de libro.

  3. Para ver el libro personalizable guardado, seleccione Ver libro guardado.

  4. En el centro de contenido, seleccione el vínculo 1 elemento en la columna Contenido creado para administrar el libro.

    Captura de pantalla del elemento de libro guardado en la solución para la actividad de Azure.

Analizador

Cuando se instala una solución, los analizadores incluidos se agregan como funciones de área de trabajo en Log Analytics.

  1. Seleccione Cargar el código de función para abrir Log Analytics y ver o ejecutar el código de función.

  2. Seleccione Usar en el editor para abrir Log Analytics con el nombre del analizador listo para agregarlo a la consulta personalizada.

    Captura de pantalla del tipo de contenido del analizador en una solución.

Cuaderno de estrategias

Cree un cuaderno de estrategias a partir de una plantilla.

  1. Seleccione el vínculo Nombre de contenido del cuaderno de estrategias.

  2. Elija la plantilla y seleccione Crear cuaderno de estrategias.

  3. Una vez creado el cuaderno de estrategias, el cuaderno de estrategias activo se muestra en la columna Contenido creado .

  4. Seleccione el vínculo de elemento 1 del cuaderno de estrategias activo para administrar el cuaderno de estrategias.

    Captura de pantalla del tipo de contenido de tipo de cuaderno de estrategias en una solución.

Búsqueda del modelo de soporte técnico para el contenido

Cada solución y elemento de contenido independiente explica su modelo de soporte técnico en su panel de detalles, en el cuadro Soporte técnico , donde se muestra el nombre de Microsoft o de un asociado. Por ejemplo:

Captura de pantalla de dónde puede encontrar el modelo de soporte técnico para la solución.

Al ponerse en contacto con el soporte técnico, es posible que necesite otros detalles sobre la solución, como un publicador, un proveedor y valores de identificador de plan. Busque esta información en la página de detalles de la pestaña Información de uso & soporte técnico .

Captura de pantalla de los detalles de uso y soporte técnico de una solución.

Pasos siguientes

En este documento, ha aprendido a buscar e implementar soluciones integradas y contenido independiente para Microsoft Sentinel.

Muchas soluciones incluyen conectores de datos que necesita configurar para que pueda empezar a ingerir los datos en Microsoft Sentinel. Cada conector de datos tiene su propio conjunto de requisitos que se detallan en la página del conector de datos de Microsoft Sentinel.

Para obtener más información, consulte Conexión del origen de datos.

  • Last updated on