Seguimiento de la migración de Microsoft Sentinel con un libro

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A medida que el centro de operaciones de seguridad (SOC) de su organización controla las crecientes cantidades de datos, es esencial planear y supervisar el estado de la implementación. Aunque puede realizar un seguimiento del proceso de migración mediante herramientas genéricas como Microsoft Project, Microsoft Excel, Microsoft Teams o Azure DevOps, estas herramientas no son específicas de la información de seguridad y el seguimiento de la migración de administración de eventos (SIEM). Para ayudarle a realizar un seguimiento, proporcionamos un libro dedicado en Microsoft Sentinel denominado Implementación y migración de Microsoft Sentinel.

El libro le ayuda a:

  • Visualización del progreso de la migración
  • Implementación y seguimiento de orígenes de datos
  • Implementación y supervisión de reglas e incidentes de análisis
  • Implementación y uso de libros
  • Implementación y realización de la automatización
  • Implementación y personalización del análisis de comportamiento de usuarios y entidades (U E B A)

En este artículo se describe cómo realizar un seguimiento de la migración con el libro de implementación y migración de Microsoft Sentinel, cómo personalizar y administrar el libro y cómo usar las pestañas del libro para implementar y supervisar conectores de datos, análisis, incidentes, cuadernos de estrategias, reglas de automatización, U E B A y administración de datos. Obtenga más información sobre cómo usar libros de Azure Monitor en Microsoft Sentinel.

Implementación del contenido del libro y visualización del libro

Para obtener el libro, instale primero el elemento independiente desde el centro de contenido en Microsoft Sentinel.

  1. En el centro de contenido de Microsoft Sentinel, filtre el contenido enumerado por Tipo = de contenidoLibros y, a continuación, escriba la migración en la barra de búsqueda.

  2. En los resultados de la búsqueda, seleccione el libro Microsoft Sentinel Implementación y migración y, a continuación, seleccione Instalar. Microsoft Sentinel implementa el libro y guarda el libro en su entorno.

  3. En Microsoft Sentinel, en Administración de amenazas, seleccione Plantillas de> libros.

  4. Seleccione el libro de implementación y migración de Microsoft Sentinel yla plantilla Ver.

Implementación de la lista de reproducción

El siguiente paso es implementar la lista de seguimiento relacionada desde el repositorio de GitHub Microsoft Sentinel.

  1. En el repositorio de GitHub Microsoft Sentinel, seleccione la carpeta DeploymentandMigration y seleccione Deploy to Azure (Implementar en Azure) para comenzar la implementación de plantilla en Azure.
  2. Proporcione el Microsoft Sentinel grupo de recursos y el nombre del área de trabajo. Captura de pantalla de la implementación de la lista de reproducción en Azure.
  3. Seleccione Revisar y crear.
  4. Una vez validada la información, seleccione Crear.

Actualización de la lista de seguimiento con acciones de implementación y migración

Este paso es fundamental para el proceso de configuración de seguimiento. Si omite este paso, el libro no refleja los elementos para el seguimiento.

Para actualizar la lista de seguimiento con acciones de implementación y migración:

  1. En el portal de Azure o Microsoft Defender, seleccione Microsoft Sentinel y, a continuación, seleccione Lista de reproducción.
  2. Seleccione la lista de reproducción con el alias de implementación .
  3. A continuación, seleccione Actualizar elementos de la lista > de reproducción de edición de la lista de reproducción.
  4. Proporcione la información para las acciones necesarias para la implementación y la migración. Captura de pantalla de la actualización de elementos de la lista de seguimiento con acciones de implementación y migración.
  5. Haga clic en Guardar.

Ahora puede ver la lista de reproducción en el libro de seguimiento de migración. Obtenga información sobre cómo administrar listas de reproducción.

Además, el equipo podría actualizar o completar tareas durante el proceso de implementación. Para abordar estos cambios, actualice las acciones existentes o agregue nuevas acciones a medida que identifique nuevos casos de uso o establezca nuevos requisitos. Para actualizar o agregar acciones, edite la lista de reproducción Implementación que implementó. Para simplificar el proceso, en el libro, seleccione Editar lista de seguimiento de implementación para abrir la lista de reproducción directamente desde el libro.

Visualización del estado de la implementación

Para ver rápidamente el progreso de la implementación, en el libro Microsoft Sentinel Implementación y migración, seleccione Implementación y desplácese hacia abajo para buscar el Resumen de progreso. Esta área muestra el estado de implementación, incluida la siguiente información:

  • Datos de informes de tablas
  • Número de datos de informes de tablas
  • Número de registros notificados y qué tablas notifican los datos de registro
  • Número de reglas habilitadas frente a reglas no implementadas
  • Libros recomendados implementados
  • Número total de libros implementados
  • Número total de cuadernos de estrategias implementados

Implementación y supervisión de conectores de datos

Para supervisar los recursos implementados e implementar nuevos conectores, en el libro Implementación y migración de Microsoft Sentinel, seleccione Monitor de conectores > de datos. En la vista Monitor se muestran las siguientes listas:

  • Tendencias de ingesta actuales
  • Tablas que ingieren datos
  • Cantidad de datos que cada tabla está notificando
  • Informes de puntos de conexión con Azure Monitor Agent (AMA)
  • Reglas de recopilación de datos en el grupo de recursos y los dispositivos vinculados a las reglas
  • Estado del conector de datos (cambios y errores)
  • Registros de estado dentro del intervalo de tiempo especificado

Captura de pantalla de la vista Supervisión de la pestaña Conectores de datos del libro.

Para configurar un conector de datos:

  1. Seleccione la vista Configurar .
  2. Seleccione el botón con el nombre del conector que desea configurar.
  3. Configure el conector en la pantalla de estado del conector que se abre. Si no encuentra un conector que necesite, seleccione el nombre del conector para abrir la galería de conectores o la galería de soluciones. Captura de pantalla de la vista Configurar del libro.

Implementación y supervisión de análisis e incidentes

Cuando se notifican los datos en el área de trabajo, configure y supervise las reglas de análisis. En el libro Implementación y migración de Microsoft Sentinel, seleccione la pestaña Análisis para ver todas las plantillas y listas de reglas implementadas. Esta vista indica qué reglas están actualmente en uso y con qué frecuencia generan incidentes.

Captura de pantalla de la pestaña Análisis del libro.

Si necesita más cobertura, seleccione Revisar cobertura de MITRE debajo de la tabla de la izquierda. Use esta opción para definir qué áreas reciben más cobertura y qué reglas se implementan en cualquier fase del proyecto de migración.

Captura de pantalla de la vista Cobertura mitre del libro.

Al implementar las reglas de análisis y el conector del producto de Defender está configurado para enviar las alertas, supervise la creación y la frecuencia de incidentes en Resumen de implementación > del progreso. En esta área se muestran las métricas relacionadas con la generación de alertas por producto, título y clasificación, para indicar el estado del SOC y qué alertas requieren más atención. Si las alertas generan demasiado volumen, vuelva a la pestaña Análisis para modificar la lógica.

Captura de pantalla del resumen del progreso en la pestaña Análisis del libro.

Implementación y uso de libros

Para visualizar información sobre la ingesta de datos y las detecciones que Microsoft Sentinel realiza, en el libro Implementación y migración de Microsoft Sentinel, seleccione Libros. De forma similar a la pestaña Conectores de datos , use las vistas Monitor y Configure para ver la información de supervisión y configuración.

Estas son algunas tareas útiles que se pueden realizar en la pestaña Libros :

  • Para ver una lista de todos los libros del entorno y cuántos libros se implementan, seleccione Supervisar.

  • Para ver un libro específico dentro del libro de implementación y migración de Microsoft Sentinel, seleccione un libro y, a continuación, seleccione Abrir libro seleccionado.

    Captura de pantalla de la selección de un libro en la pestaña Libro.

  • Si aún no ha implementado libros, seleccione Configurar para ver una lista de libros usados y recomendados. Si no aparece un libro, seleccione Ir a la Galería de libros o Ir al centro de contenido para implementar el libro correspondiente.

    Captura de pantalla de la visualización de un libro desde la pestaña Libro.

Implementación y supervisión de cuadernos de estrategias y reglas de automatización

Al configurar la ingesta de datos, las detecciones y las visualizaciones, ahora puede examinar la automatización. En el libro Implementación y migración de Microsoft Sentinel, seleccione Automatización para ver los cuadernos de estrategias implementados y ver qué cuadernos de estrategias están conectados actualmente a una regla de automatización. Si existen reglas de automatización, el libro resalta la siguiente información sobre cada regla:

  • Nombre
  • Estado
  • Acción o acciones de la regla
  • La última fecha en que se modificó la regla y el usuario que modificó la regla
  • Fecha de creación de la regla

Para ver, implementar y probar la automatización en la sección actual del libro, seleccione Implementar recursos de automatización en la parte inferior izquierda.

Obtenga información sobre Microsoft Sentinel funcionalidades de SOAR para cuadernos de estrategias y reglas de automatización.

Captura de pantalla de la pestaña Automatización del libro.

Implementación y supervisión de U E B A

Dado que los informes de datos y las detecciones se producen en el nivel de entidad, es esencial supervisar el comportamiento y las tendencias de la entidad. Para habilitar la característica U E B A dentro de Microsoft Sentinel, en el libro Implementación y migración de Microsoft Sentinel, seleccione UEBA. Aquí puede personalizar las escalas de tiempo de entidad para las páginas de entidad y ver qué tablas relacionadas con la entidad se rellenan con datos.

Captura de pantalla de la pestaña U E B A del libro.

Para habilitar U E B A:

  1. Seleccione Habilitar UEBA encima de la lista de tablas.
  2. Para habilitar U E B A, seleccione Activado.
  3. Seleccione los orígenes de datos que desea usar para generar información.
  4. Seleccione Aplicar.

Después de habilitar U E B A, supervise y asegúrese de que Microsoft Sentinel está generando datos U E B A.

Para personalizar la escala de tiempo:

  1. Seleccione Personalizar escala de tiempo de entidad encima de la lista de tablas.
  2. Cree un elemento personalizado o seleccione una de las plantillas integradas.
  3. Para implementar la plantilla y completar el asistente, seleccione Crear.

Obtenga más información sobre U E B A o aprenda a personalizar la escala de tiempo.

Configuración y administración del ciclo de vida de los datos

Al implementar o migrar a Microsoft Sentinel, es esencial administrar el uso y el ciclo de vida de los registros entrantes. En el libro Implementación y migración de Microsoft Sentinel, seleccione Administración de datos para ver y configurar la retención y el archivo de tablas.

Captura de pantalla de la pestaña Administración de datos del libro.

Ver información sobre:

  • Tablas configuradas para la ingesta básica de registros
  • Tablas configuradas para la ingesta de niveles de análisis
  • Tablas configuradas para archivarse
  • Tablas en la retención predeterminada del área de trabajo

Para modificar la directiva de retención existente para las tablas:

  1. Seleccione la vista Tablas de retención predeterminadas .
  2. Seleccione la tabla que desea modificar y seleccione Actualizar retención. Edite la siguiente información según sea necesario:
    • Retención actual en el área de trabajo
    • Retención actual en el archivo
    • Número total de días que los datos residen en el entorno
  3. Edite el valor TotalRetention para establecer un nuevo número total de días que los datos deben existir en el entorno.

El valor ArchiveRetention se calcula restando el valor TotalRetention del valor interactiveRetention . Si necesita ajustar la retención del área de trabajo, el cambio no afecta a las tablas que incluyen archivos configurados y los datos no se pierden. Si edita el valor de InteractiveRetention y el valor TotalRetention no cambia, Azure Log Analytics ajusta la retención de archivo para compensar el cambio.

Si prefiere realizar cambios en la interfaz de usuario, seleccione Actualizar retención en la interfaz de usuario para abrir la página correspondiente.

Obtenga información sobre la administración del ciclo de vida de los datos.

Habilitación de sugerencias e instrucciones de migración

Para ayudar con el proceso de implementación y migración, el libro incluye sugerencias que explican cómo usar las diferentes pestañas y vínculos a los recursos pertinentes. Las sugerencias se basan en Microsoft Sentinel documentación de migración y son relevantes para el SIEM actual. Para habilitar sugerencias e instrucciones, en el libro Microsoft Sentinel Implementación y migración, en la parte superior derecha, establezca MigrationTips and Instruction en.

Captura de pantalla de las sugerencias e instrucciones de migración del libro.

Pasos siguientes

En este artículo, ha aprendido a realizar un seguimiento de la migración con el libro Implementación y migración de Microsoft Sentinel.

  • Last updated on