Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un centro de operaciones de seguridad (SOC) es una función centralizada dentro de una organización que integra personas, procesos y tecnología. Un SOC implementa el marco de ciberseguridad general de la organización. El SOC colabora en los esfuerzos de la organización para supervisar, alertar, prevenir, detectar, analizar y responder a incidentes de ciberseguridad. Los equipos de SOC, encabezados por un administrador de SOC, pueden incluir respondedores de incidentes, analistas de SOC en los niveles 1, 2 y 3, cazadores de amenazas y administradores de respuesta a incidentes.
Los equipos de SOC usan telemetría de toda la infraestructura de TI de la organización, incluidas redes, dispositivos, aplicaciones, comportamientos, dispositivos y almacenes de información. A continuación, los equipos co-relacionan y analizan los datos para determinar cómo administrar los datos y qué acciones realizar.
Para migrar correctamente a Microsoft Sentinel, debe actualizar no solo la tecnología que usa el SOC, sino también las tareas y procesos de SOC. En este artículo se describe cómo actualizar los procesos soc y analista como parte de la migración a Microsoft Sentinel.
Actualización del flujo de trabajo del analista
Microsoft Sentinel ofrece una variedad de herramientas que se asignan a un flujo de trabajo de analista típico, desde la asignación de incidentes hasta el cierre. Los analistas pueden usar de forma flexible algunas o todas las herramientas disponibles para evaluar e investigar incidentes. A medida que la organización migra a Microsoft Sentinel, los analistas deben adaptarse a estos nuevos conjuntos de herramientas, características y flujos de trabajo.
Incidentes en Microsoft Sentinel
En Microsoft Sentinel, un incidente es una colección de alertas que Microsoft Sentinel determina que tienen suficiente fidelidad para desencadenar el incidente. Por lo tanto, con Microsoft Sentinel, el analista evalúa primero los incidentes en la página Incidentes y, a continuación, continúa con el análisis de alertas, si se necesita un análisis más profundo. Compare las áreas de administración y terminología de incidentes de SIEM con Microsoft Sentinel.
Fases de flujo de trabajo de analistas
En esta tabla se describen las fases clave del flujo de trabajo del analista y se resaltan las herramientas específicas pertinentes para cada actividad del flujo de trabajo.
| Assign | Clasificación | Investigación | Respuesta |
|---|---|---|---|
|
Asignar incidentes: • Manualmente, en la página Incidentes • Automáticamente, mediante cuadernos de estrategias o reglas de automatización |
Evaluar los incidentes mediante: • Los detalles del incidente en la página Incidente • Información de entidad en la página Incidente, en la pestaña Entidades • Cuadernos de Jupyter Notebook |
Investigue los incidentes mediante: • El gráfico de investigación • libros de Microsoft Sentinel • La ventana de consulta de Log Analytics |
Responder a incidentes mediante: • Cuadernos de estrategias y reglas de automatización • Sala de guerra de Microsoft Teams |
En las secciones siguientes se asignan tanto la terminología como el flujo de trabajo de analista a características Microsoft Sentinel específicas.
Assign
Use la página incidentes de Microsoft Sentinel para asignar incidentes. La página Incidentes incluye una vista previa de incidentes y una vista detallada para incidentes únicos.
Para asignar un incidente:
- Manualmente. Establezca el campo Propietario en el nombre de usuario correspondiente.
- Automáticamente. Use una solución personalizada basada en Microsoft Teams y Logic Apps, o una regla de automatización.
Clasificación
Para realizar un ejercicio de evaluación de prioridades en Microsoft Sentinel, puede empezar con varias características de Microsoft Sentinel, en función de su nivel de experiencia y la naturaleza del incidente que se está investigando. Como punto de partida típico, seleccione Ver detalles completos en la página Incidente . Ahora puede examinar las alertas que componen el incidente, revisar marcadores, seleccionar entidades para profundizar más en entidades específicas o agregar comentarios.
Estas son las acciones sugeridas para continuar con la revisión de incidentes:
- Seleccione Investigación para obtener una representación visual de las relaciones entre los incidentes y las entidades pertinentes.
- Use un cuaderno de Jupyter Notebook para realizar un ejercicio de evaluación de prioridades en profundidad para una entidad determinada. Puede usar el cuaderno de evaluación de prioridades de incidentes para este ejercicio.
Aceleración de la evaluación de prioridades
Use estas características y funcionalidades para acelerar la evaluación de la evaluación:
- Para el filtrado rápido, en la página Incidentes , busque los incidentes asociados a una entidad específica. El filtrado por entidad en la página Incidentes es más rápido que filtrar por la columna de entidad en las colas de incidentes SIEM heredadas.
- Para una evaluación más rápida, use la pantalla Detalles de alerta para incluir información clave sobre incidentes en el nombre y la descripción del incidente, como el nombre de usuario, la dirección IP o el host relacionados. Por ejemplo, un incidente podría cambiar de nombre dinámicamente a
Ransomware activity detected in DC01, dondeDC01es un recurso crítico, identificado dinámicamente a través de las propiedades de alerta personalizables. - Para un análisis más profundo, en la página Incidentes, seleccione un incidente y seleccione Eventos en Evidencia para ver eventos específicos que desencadenaron el incidente. Los datos del evento son visibles como la salida de la consulta asociada a la regla de análisis, en lugar del evento sin procesar. El ingeniero de migración de reglas puede usar esta salida para asegurarse de que el analista obtiene los datos correctos.
- Para obtener información detallada sobre la entidad, en la página Incidentes, seleccione un incidente y seleccione un nombre de entidad en Entidades para ver la información del directorio, la escala de tiempo y la información de la entidad. Obtenga información sobre cómo asignar entidades.
- Para vincular a los libros pertinentes, seleccione Vista previa de incidentes. Puede personalizar el libro para mostrar información adicional sobre el incidente, o entidades asociadas y campos personalizados.
Investigación
Use el gráfico de investigación para investigar profundamente los incidentes. En la página Incidentes , seleccione un incidente y seleccione Investigar para ver el gráfico de investigación.
Con el gráfico de investigación, puede:
- Comprenda el ámbito e identifique la causa principal de posibles amenazas de seguridad mediante la correlación de datos pertinentes con cualquier entidad implicada.
- Profundiza en las entidades y elige entre diferentes opciones de expansión.
- Vea fácilmente las conexiones entre diferentes orígenes de datos mediante la visualización de las relaciones extraídas automáticamente de los datos sin procesar.
- Expanda el ámbito de investigación mediante consultas de exploración integradas para exponer el ámbito completo de una amenaza.
- Use opciones de exploración predefinidas para ayudarle a formular las preguntas adecuadas al investigar una amenaza.
En el gráfico de investigación, también puede abrir libros para respaldar aún más los esfuerzos de investigación. Microsoft Sentinel incluye varias plantillas de libro que puede personalizar para adaptarse a su caso de uso específico.
Respuesta
Use Microsoft Sentinel funcionalidades de respuesta automatizadas para responder a amenazas complejas y reducir la fatiga de alertas. Microsoft Sentinel proporciona una respuesta automatizada mediante cuadernos de estrategias y reglas de automatización de Logic Apps.
Use una de las siguientes opciones para acceder a los cuadernos de estrategias:
- Pestaña Plantillas del cuaderno de estrategias de Automation >
- Centro de contenido de Microsoft Sentinel
- El repositorio de GitHub de Microsoft Sentinel
Estos orígenes incluyen una amplia gama de cuadernos de estrategias orientados a la seguridad para cubrir una parte sustancial de los casos de uso de complejidad variable. Para simplificar el trabajo con cuadernos de estrategias, use las plantillas en Plantillas de cuaderno de estrategias de Automation>. Las plantillas permiten implementar fácilmente cuadernos de estrategias en la instancia de Microsoft Sentinel y, a continuación, modificar los cuadernos de estrategias para satisfacer las necesidades de su organización.
Consulte el marco de procesos de SOC para asignar el proceso soc a las funcionalidades de Microsoft Sentinel.
Comparación de conceptos de SIEM
Use esta tabla para comparar los conceptos principales del SIEM heredado con los conceptos de Microsoft Sentinel.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Evento | Evento | Evento | Evento |
| Evento de correlación | Evento de correlación | Evento notable | Alerta |
| Incidente | Ofensa | Evento notable | Incidente |
| Lista de delitos | Etiquetas | Página Incidentes | |
| Etiquetas | Campo personalizado en SOAR | Etiquetas | Etiquetas |
| Cuadernos de Jupyter Notebook | Cuadernos de Jupyter Notebook | cuadernos de Microsoft Sentinel | |
| Paneles | Paneles | Paneles | Libros |
| Reglas de correlación | Bloques de creación | Reglas de correlación | Reglas de análisis |
| Cola de incidentes | Pestaña Ofensas | Revisión de incidentes | Página Incidente |
Pasos siguientes
Después de la migración, explore los recursos de Microsoft Sentinel de Microsoft para ampliar sus aptitudes y sacar el máximo partido de Microsoft Sentinel.
Considere también la posibilidad de aumentar la protección contra amenazas mediante el uso de Microsoft Sentinel junto con Microsoft Defender XDR y Microsoft Defender for Cloud para la protección contra amenazas integrada. Benefíciese de la amplitud de visibilidad que ofrece Microsoft Sentinel, a la vez que profundiza en el análisis detallado de amenazas.
Para más información, vea:
- Procedimientos recomendados de migración de reglas
- Seminario web: Procedimientos recomendados para convertir reglas de detección
- Orquestación, automatización y respuesta de seguridad (SOAR) en Microsoft Sentinel
- Administrar mejor el SOC con métricas de incidentes
- Microsoft Sentinel ruta de aprendizaje
- Certificación sc-200 de analista de operaciones de seguridad de Microsoft
- entrenamiento de Microsoft Sentinel Ninja
- Investigación de un ataque en un entorno híbrido con Microsoft Sentinel