Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El portal de Defender permite conectarse a un área de trabajo principal y a varias áreas de trabajo secundarias para Microsoft Sentinel. En el contexto de este artículo, un área de trabajo es un área de trabajo de Log Analytics con Microsoft Sentinel habilitado.
Este artículo se aplica principalmente al escenario en el que incorpora Microsoft Sentinel al portal de Defender junto con Microsoft Defender XDR para operaciones de seguridad unificadas. Si planea usar Microsoft Sentinel en el portal de Defender sin Microsoft Defender XDR, puede administrar varias áreas de trabajo. Sin embargo, dado que no tiene Defender XDR, el área de trabajo principal no tendrá Defender XDR datos y no tendrá acceso a las características de Defender XDR.
Áreas de trabajo principales y secundarias
Seleccione el área de trabajo principal al incorporar Microsoft Sentinel al portal de Defender. Las demás áreas de trabajo que incorpore al portal de Defender se consideran áreas de trabajo secundarias. El portal de Defender admite un área de trabajo principal y un número ilimitado de áreas de trabajo secundarias por inquilino para Microsoft Sentinel.
Cuando también tiene Microsoft Defender XDR, las alertas del área de trabajo principal se correlacionan con Defender XDR datos y los incidentes incluyen alertas tanto del área de trabajo principal como de Defender XDR en una cola unificada. Al seleccionar un área de trabajo principal, el conector de datos Defender XDR para incidentes y alertas solo se conecta al área de trabajo principal.
En tales casos:
| Área | Descripción |
|---|---|
| Otras áreas de trabajo conectadas anteriormente a Defender XDR | Las demás áreas de trabajo que se conectaron anteriormente al conector de Defender XDR se desconectan y funcionan como áreas de trabajo secundarias. Las reglas de análisis y la automatización que haya configurado anteriormente en función de Defender XDR datos ya no funcionarán hasta que configure la ingesta de tablas. |
| Alertas basadas en inquilinos y conectores de datos independientes | Las alertas de otros servicios de Microsoft, incluidos otros servicios de Defender, son alertas basadas en inquilinos y se relacionan con todo el inquilino en lugar de con un área de trabajo específica. Para evitar la duplicación entre áreas de trabajo, los conectores de datos directos e independientes para estos servicios deben desconectarse de Microsoft Sentinel en áreas de trabajo secundarias. Esto da lugar a que las alertas basadas en inquilinos solo se presenten en el área de trabajo principal. Tras la incorporación, conectores de datos independientes para Microsoft Defender para Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender para punto de conexión y Microsoft Defender for Identity se desconectan automáticamente. Si tiene otros conectores de datos de Microsoft independientes con alertas en las áreas de trabajo, asegúrese de desconectarlos antes de incorporarlos al portal de Defender. |
| Defender XDR alertas e incidentes | Todas las alertas e incidentes de Defender XDR solo se sincronizan con el área de trabajo principal. Sin embargo, las áreas de trabajo secundarias pueden ingerir datos de tabla de Defender si se configuran en el conector de Microsoft XDR en el portal de Sentinel en Azure o en Microsoft Sentinel>Tablas de configuración> en el portal de Defender. |
| Creación de incidentes y correlación de alertas | El portal de Defender mantiene la creación de incidentes y la correlación de alertas separadas entre las áreas de trabajo de Microsoft Sentinel. Los incidentes en áreas de trabajo secundarias no incluyen datos de ninguna otra área de trabajo ni de Defender XDR. |
| Se requiere un área de trabajo principal | Un área de trabajo principal siempre debe estar conectada al portal de Defender. |
Por ejemplo, es posible que esté trabajando en un equipo de SOC global en una empresa que tenga varias áreas de trabajo autónomas. En tales casos, es posible que no desee ver incidentes y alertas de cada una de estas áreas de trabajo en la cola de SOC global en el portal de Defender. Dado que estas áreas de trabajo se incorporan al portal de Defender como áreas de trabajo secundarias, se muestran en el portal de Defender solo como Microsoft Sentinel, sin incidentes y alertas de Defender, y siguen funcionando de forma autónoma. Al examinar el área de trabajo de SOC global, no verá datos de estas áreas de trabajo secundarias.
Si tiene varias áreas de trabajo Microsoft Sentinel dentro de un inquilino de Microsoft Entra ID, considere la posibilidad de usar el área de trabajo principal para el centro de operaciones de seguridad global.
Permisos para administrar áreas de trabajo y ver datos del área de trabajo
Use uno de los siguientes roles o combinaciones de roles para administrar áreas de trabajo principales y secundarias:
| Tarea | Microsoft Entra o Azure rol integrado necesario | Ámbito |
|---|---|---|
| Incorporación de Microsoft Sentinel al portal de Defender | Al menos un administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
| Conexión o desconexión de un área de trabajo secundaria | Al menos un administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
| Cambio del área de trabajo principal | Al menos un administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
| Activación o desactivación de un área de trabajo de Sentinel en RBAC unificado | Al menos un administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización.
Después de conectar Microsoft Sentinel al portal de Defender, los permisos de control de acceso basado en rol (RBAC) de Azure existentes le permiten ver y trabajar con las características y áreas de trabajo de Microsoft Sentinel a las que tiene acceso.
| Área de trabajo | Access |
|---|---|
| Primary | Si tiene acceso al área de trabajo principal, puede leer y administrar datos desde el área de trabajo y Defender XDR. |
| Secundaria | Si tiene acceso a un área de trabajo secundaria, solo podrá leer y administrar datos desde el área de trabajo. Los incidentes y alertas de Defender no se sincronizan con áreas de trabajo secundarias, pero las áreas de trabajo secundarias todavía pueden ingerir datos de tabla de Defender. Para obtener más información, consulte Áreas de trabajo principales y secundarias. |
Excepción: Si ya ha incorporado un área de trabajo al portal de Defender, todas las alertas creadas mediante detecciones personalizadas en AlertInfo y AlertEvidence tablas antes de mediados de enero de 2025 estarán visibles para todos los usuarios.
Para obtener más información, vea Roles y permisos en Microsoft Sentinel.
Cambios en el área de trabajo principal
Después de incorporar Microsoft Sentinel al portal de Defender, puede cambiar el área de trabajo principal. Al cambiar el área de trabajo principal para Microsoft Sentinel, el conector de Defender XDR se conecta a la nueva base de datos principal y se desconecta automáticamente del anterior.
Cambie el área de trabajo principal en el portal de Defender; para ello, vaya aConfiguración>del sistema>Microsoft Sentinel>Trabajos.
Ámbito de los datos del área de trabajo en diferentes vistas
Si tiene los permisos adecuados para ver datos de áreas de trabajo principales y secundarias para Microsoft Sentinel, el ámbito del área de trabajo de la tabla siguiente se aplica a cada funcionalidad.
| Funcionalidad | Ámbito del área de trabajo |
|---|---|
| Búsqueda | Los resultados de la búsqueda global en la parte superior de la página del explorador en el portal de Defender proporcionan una vista agregada de todos los datos del área de trabajo pertinentes que tiene permisos para ver. |
| Investigación & respuesta > Incidentes & alertas> Incidentes | Vea los incidentes de diferentes áreas de trabajo en una cola unificada o filtre la vista por área de trabajo. |
| Alertas de alertas & incidentes de respuesta > & > investigación | Vea alertas de diferentes áreas de trabajo en una cola unificada o filtre la vista por área de trabajo. El portal de Defender segmenta la correlación de alertas por área de trabajo. |
| Entidades: en un incidente o alerta > , seleccione un dispositivo, un usuario u otro recurso de entidad. | Ver todos los datos de entidad pertinentes de varias áreas de trabajo en una sola página de entidad. Las páginas de entidad agregan alertas, incidentes y eventos de escala de tiempo de todas las áreas de trabajo para proporcionar información más detallada sobre el comportamiento de la entidad. Filtre por área de trabajo en las pestañas Incidentes y alertas, Escala de tiempo e Información . La pestaña Información general muestra los metadatos de entidad agregados de todas las áreas de trabajo. |
| Investigación & respuesta > Búsqueda de búsqueda avanzada> | Seleccione un área de trabajo en la parte superior derecha del explorador. O bien, realice consultas en varias áreas de trabajo mediante el operador workspace en la consulta. Consulte Consulta de varias áreas de trabajo. Los resultados de la consulta no muestran un nombre o un identificador del área de trabajo. Acceda a todos los datos de registro del área de trabajo, incluidas las consultas y las funciones, como de solo lectura. Para obtener más información, consulte Búsqueda avanzada con datos de Microsoft Sentinel en Microsoft Defender portal. Algunas funcionalidades se limitan al área de trabajo principal: - Creación de detecciones personalizadas - Consultas a través de la API Las consultas entre áreas de trabajo para los datos de Log Analytics siguen estando sujetas a limitaciones de Log Analytics. |
| experiencias de Microsoft Sentinel | Vea los datos de un área de trabajo para cada página en la sección Microsoft Sentinel del portal de Defender. Para cambiar entre áreas de trabajo, seleccione Seleccionar un área de trabajo en la parte superior derecha del explorador para la mayoría de las páginas. - La página Libros solo muestra los datos asociados al área de trabajo principal. Las reglas de análisis entre áreas de trabajo siguen estando sujetas a las limitaciones y recomendaciones de las reglas de análisis entre áreas de trabajo. |
| Optimización de SOC | Los datos y las recomendaciones se agregan desde varias áreas de trabajo. |
Sincronización bidireccional para áreas de trabajo
La sincronización de los cambios de incidentes entre el Azure Portal y el portal de Defender depende de si es un área de trabajo principal o secundaria.
| Área de trabajo | Comportamiento de sincronización |
|---|---|
| Principal | Para Microsoft Sentinel en el Azure Portal, los incidentes de Defender XDR aparecen enIncidentes de administración> de amenazas con el nombre del proveedor de incidentes Microsoft XDR. Los cambios realizados en el estado, el motivo de cierre o la asignación de un incidente de Defender XDR en el portal de Azure o Defender, se actualizan en la cola de incidentes del otro. Para obtener más información, consulte Trabajar con incidentes de Microsoft Defender XDR en Microsoft Sentinel y sincronización bidireccional. |
| Secundaria | Todas las alertas e incidentes que cree para un área de trabajo secundaria se sincronizan entre ese área de trabajo en los portales de Azure y Defender. Los datos de un área de trabajo solo se sincronizan con el área de trabajo del otro portal. |
Compatibilidad con la administración de riesgos internos (IRM)
las alertas de Administración de riesgos internos de Microsoft Purview (IRM) solo se correlacionan con el área de trabajo principal. Si tiene alertas de IRM con Microsoft Defender XDR, debe conectar IRM al conector de Microsoft Defender XDR del área de trabajo principal antes de incorporar el área de trabajo al portal de Defender. Esto es necesario para asegurarse de que las alertas e incidentes de IRM están disponibles en el área de trabajo principal. Si no desea ver las alertas de IRM en el área de trabajo principal, puede optar por no participar en la integración con Microsoft Defender XDR.
Además, si el conector directo de Microsoft 365 Insider Risk Management para Microsoft Sentinel conector de datos está conectado a cualquiera de las áreas de trabajo secundarias, debe desconectarlo antes de incorporar el área de trabajo al portal de Defender.