Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los distintos componentes de una solución de Microsoft Sentinel y cómo pueden trabajar conjuntamente para abordar escenarios importantes de los clientes.
La plataforma Sentinel incluye un lago de datos, un grafo, trabajos de Jupyter Notebook, un servidor de Protocolo de contexto de modelo (MCP) y datos de más de 300 conectores de Sentinel para ayudar a los clientes a centralizar y analizar sus datos de seguridad de manera rentable. Estas funcionalidades más Microsoft Security Copilot permiten a los clientes y asociados crear soluciones impactantes, que se pueden publicar a través de Microsoft Security Store.
Los equipos de operaciones de seguridad (SOC) usan Sentinel SIEM para generar detecciones, investigar el comportamiento malintencionado y corregir amenazas. Al crear conectores de Sentinel para incorporar nuevos datos y crear contenido como reglas de análisis, cuadernos de estrategias, consultas de búsqueda, analizadores y libros, los asociados pueden ayudar a los equipos de SOC a obtener información que necesitan para identificar amenazas y responder adecuadamente. Las soluciones SIEM de Sentinel se publican a través del centro de contenido de Sentinel.
Recopilación de datos
Independientemente de si va a crear una solución que use componentes de plataforma o que tenga como destino una integración de SIEM de Sentinel, es fundamental tener los datos adecuados para su escenario.
Los conectores de Sentinel aportan datos a Sentinel, que luego se pueden analizar en el lago mediante cuadernos y trabajos de Jupyter Notebook, o bien abordarse con contenido de SIEM de Sentinel, como reglas de análisis y consultas de búsqueda de ciberamenazas.
Estos datos pueden incluir los siguientes tipos:
| Tipo | Descripción |
|---|---|
| Datos sin procesar | Admiten detecciones y procesos de búsqueda. Analice los datos operativos sin procesar en los que pueda haber indicios de actividad maliciosa. Traslade los datos no procesados a Microsoft Sentinel para usar las características integradas de búsqueda y detección de Microsoft Sentinel con el fin de identificar nuevas amenazas y mucho más. Ejemplos: datos de Syslog, datos CEF a través de Syslog, aplicación, firewall, autenticación o registros de acceso, etc. |
| Conclusiones de seguridad | Crea una visibilidad de alerta y una oportunidad para la correlación. Las alertas y las detecciones son conclusiones que ya se han hecho sobre las amenazas. Poner las detecciones en contexto con todas las actividades y otras detecciones visibles en las investigaciones de Microsoft Sentinel ahorra tiempo a los analistas y crea una imagen más completa de un incidente, lo que da lugar a una mejor priorización y mejores decisiones. Ejemplos: alertas antimalware, procesos sospechosos, comunicación con hosts malintencionados conocidos, tráfico de red bloqueado y por qué, inicios de sesión sospechosos, ataques de filtración de contraseña detectados, ataques de suplantación de identidad identificados, eventos de filtración de datos, etc. |
| Datos de referencia | Construyen el contexto con entornos referenciados, lo que ahorra esfuerzos de investigación y aumenta la eficacia. Ejemplos: CMDB, bases de datos de recursos de alto valor, bases de datos de dependencia de aplicaciones, registros de asignación de IP, recopilaciones de inteligencia sobre amenazas para el enriquecimiento, etc. |
| Información sobre amenazas | Potencia la detección de amenazas aportando indicadores de amenazas conocidas. La inteligencia sobre amenazas puede incluir indicadores actuales que representan amenazas inmediatas o indicadores históricos que se conservan para la prevención futura. Los conjuntos de datos históricos suelen ser grandes y es mejor referenciarlos ad-hoc, in situ, en vez de importarlos directamente a Microsoft Sentinel. |
Analizadores
Los analizadores son funciones KQL que transforman datos personalizados de productos de terceros en un esquema ASIM normalizado. La normalización garantiza que los analistas de SOC no tengan que obtener información sobre los nuevos esquemas y, en su lugar, crear reglas analíticas y consultas de búsqueda en el esquema normalizado con el que ya están familiarizados. Revise los esquemas ASIM disponibles proporcionados por Microsoft Sentinel para identificar los esquemas de ASIM pertinentes (uno o varios) para los datos para garantizar una incorporación más sencilla para los analistas de SOC y para asegurarse de que el contenido de seguridad existente escrito para el esquema ASIM sea aplicable de serie para los datos del producto. Para obtener más información sobre los esquemas ASIM disponibles, vea Esquemas del modelo de información de seguridad avanzada (ASIM).
Visualización
Puede incluir visualizaciones para ayudar a los clientes a administrar y comprender los datos, mediante la inclusión de vistas gráficas de cómo fluyen los datos a Microsoft Sentinel y de qué manera contribuye de forma eficaz a las detecciones.
Puede incluir visualizaciones para ayudar a los clientes a administrar y comprender los datos, mediante la inclusión de vistas gráficas de cómo fluyen los datos a Microsoft Sentinel y de qué manera contribuye de forma eficaz a las detecciones.
Supervisión y detección
Las características de supervisión y detección de Sentinel crean detecciones automatizadas para ayudar a los clientes a escalar la experiencia de su equipo de SOC.
En las secciones siguientes se describen los elementos de supervisión y detección que puede incluir en la solución.
Agentes de seguridad de Copilot
Los agentes de Copilot de seguridad automatizan tareas repetitivas y reducen las cargas de trabajo manuales. Mejoran la seguridad y las operaciones de TI en la nube, la seguridad y la privacidad de los datos, la identidad y la seguridad de la red. Para Sentinel, los agentes pueden consultar el SIEM o el lago de datos y llamar a las API para enriquecer los datos de Microsoft Sentinel. Pueden usar trabajos de cuaderno para el procesamiento o el análisis intensivos de datos y usar cualquier número de complementos.
Trabajos de cuaderno de Jupyter Notebook
Los trabajos de Jupyter Notebook proporcionan herramientas eficaces para realizar transformaciones de datos complejas y ejecutar modelos de aprendizaje automático mediante trabajos de Spark en Sentinel Data Lake. Los agentes de Security Copilot los pueden usar para proporcionar un medio determinista y eficaz para realizar análisis y resúmenes de datos y ejecutarlos de forma continua. Los trabajos de cuadernos escriben tablas de datos personalizadas en el nivel de análisis y el lago de datos, que son utilizados por componentes secundarios como agentes, libros de trabajo, consultas de búsqueda de ciberamenazas y otros.
Reglas de análisis
Las reglas de análisis son detecciones sofisticadas que pueden crear alertas precisas y significativas.
Agregue reglas de análisis a la solución para ayudar a los clientes a beneficiarse de los datos del sistema en Microsoft Sentinel. Por ejemplo, las reglas de análisis pueden ayudar a proporcionar experiencia y conclusiones sobre las actividades que se pueden detectar en los datos que proporciona la integración.
Pueden generar alertas (eventos importantes), incidentes (unidades de investigación) o activar guías de automatización.
Puede agregar reglas de análisis incluyéndolas en una solución y a través de la comunidad ThreatHunters de Microsoft Sentinel. Contribuya a través de la comunidad a fomentar la creatividad de la comunidad sobre los datos de los asociados, lo que ayuda a los clientes con detecciones más fiables y eficaces.
Consultas de búsqueda
Las consultas de búsqueda permiten a los analistas de SOC buscar proactivamente nuevas anomalías que no detectan las reglas de análisis programadas actualmente. Las consultas de búsqueda guían a los analistas de SOC para formular las preguntas adecuadas para encontrar problemas de los datos que ya están disponibles en Microsoft Sentinel y les ayuda a identificar posibles escenarios de amenazas. Al incluir consultas de búsqueda, puede ayudar a los clientes a encontrar amenazas desconocidas en los datos que proporcione.
Workbooks
Los libros proporcionan informes y paneles interactivos que ayudan a los usuarios a visualizar datos de seguridad e identificar patrones dentro de los datos. La necesidad de libros depende del caso de uso específico. A medida que diseña la solución, piense en escenarios que podrían explicarse visualmente, especialmente en escenarios para realizar un seguimiento del rendimiento.
Investigación
El gráfico de investigación de Sentinel proporciona a los investigadores datos relevantes cuando lo necesitan, lo que proporciona visibilidad sobre incidentes de seguridad y alertas a través de entidades conectadas. Los investigadores pueden usar el gráfico de investigación para buscar eventos pertinentes o relacionados que contribuyan a la amenaza que se está investigando.
Los asociados pueden contribuir al gráfico de investigación proporcionando:
- Alertas e incidentes de Microsoft Sentinel, creados a través de reglas de análisis en soluciones de asociados.
- Consultas de exploración personalizadas para los datos proporcionados por el asociado. Las consultas de exploración personalizadas proporcionan una rica exploración y conectividad entre los datos y la información para los investigadores de seguridad.
Respuesta
Los cuadernos de estrategias admiten flujos de trabajo con automatización avanzada y ejecutan tareas relacionadas con la seguridad en entornos de los clientes. Son fundamentales para asegurarse de que los analistas de SOC no están sobrecargados por elementos tácticos y pueden centrarse en la causa más estratégica y más profunda de las vulnerabilidades. Por ejemplo, si se detecta una alerta de gravedad alta, un cuaderno de estrategias puede iniciar automáticamente una serie de acciones, como notificar al equipo de seguridad, aislar los sistemas afectados y recopilar registros pertinentes para su posterior análisis.
Por ejemplo, los cuadernos de estrategias pueden ayudar de cualquiera de las maneras siguientes y mucho más:
- Ayudar a los clientes a configurar directivas de seguridad en productos de asociados
- Recopilar datos adicionales para informar de las decisiones de investigación
- Vincular incidentes de Microsoft Sentinel a sistemas de administración externos
- Integrar la administración del ciclo de vida de las alertas en las soluciones de los asociados
A medida que diseña la solución, piense en las acciones automatizadas que se pueden realizar para resolver incidentes creados por las reglas analíticas definidas en la solución.
Ejemplos de escenarios de SIEM de Sentinel
En las secciones siguientes se describen los escenarios de asociados comunes y las recomendaciones sobre lo que se debe incluir en una solución para cada escenario.
Su producto genera datos que son importantes para las investigaciones de seguridad
Escenario: tu producto genera datos que pueden informar a las investigaciones de seguridad.
Ejemplo: entre los productos que proporcionan algún tipo de datos de registro se incluyen firewalls, agentes de seguridad de aplicaciones en la nube, sistemas de acceso físico, salida de Syslog, aplicaciones LOB disponibles comercialmente y creadas por la empresa, servidores, metadatos de red, todo lo que se pueda entregar a través de Syslog en formato Syslog o CEF, o a través de la API REST en formato JSON.
Uso de los datos en Microsoft Sentinel: importe los datos del producto a Microsoft Sentinel a través de un conector de datos para proporcionar análisis, búsqueda, investigaciones, visualizaciones, etc.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se incluirán |
|---|---|
| Obligatorio | - Un conector de datos de Microsoft Sentinel para entregar los datos y vincular otras personalizaciones en el portal. Consultas de datos de ejemplo |
| Recomendado | - Libros - Reglas de análisis para crear detecciones basadas en los datos en Microsoft Sentinel |
| Opcional | - Consultas de búsqueda para proporcionar a los buscadores consultas lista para usar al buscar - Cuadernos para ofrecer una experiencia de búsqueda totalmente guiada y repetible |
El producto proporciona detecciones
Escenario: el producto proporciona detecciones que complementan las alertas y los incidentes de otros sistemas
Ejemplos: Antimalware, soluciones de detección y respuesta empresarial, soluciones de detección y respuesta de red, soluciones de seguridad de correo, como productos anti phishing, examen de vulnerabilidades, soluciones de administración de dispositivos móviles, soluciones UEBA, servicios de protección de la información, etc.
Uso de los datos en Microsoft Sentinel: haga que sus detecciones, alertas o incidentes estén disponibles en Microsoft Sentinel para mostrarlos en contexto con otras alertas e incidentes que puedan producirse en los entornos de los clientes. Considere también la posibilidad de entregar los registros y metadatos que potencian las detecciones, como contexto adicional para las investigaciones.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se incluirán |
|---|---|
| Obligatorio | Un conector de datos de Microsoft Sentinel para entregar los datos y vincular otras personalizaciones en el portal. |
| Recomendado | Reglas de análisis para crear incidentes de Microsoft Sentinel a partir de las detecciones que son útiles en las investigaciones |
Su producto proporciona indicadores de inteligencia sobre amenazas
Escenario: su producto proporciona indicadores de inteligencia sobre amenazas que pueden proporcionar contexto para los eventos de seguridad que se producen en los entornos de los clientes
Ejemplos: plataformas TIP, colecciones STIX/TAXII y orígenes de inteligencia sobre amenazas públicos o con licencia. Datos de referencia, como WhoIS, GeoIP o dominios recién observados.
Uso de los datos en Microsoft Sentinel: entrega de indicadores actuales a Microsoft Azure Sentinel para su uso en las plataformas de detección de Microsoft. Use conjuntos de datos históricos o a gran escala para escenarios de enriquecimiento a través del acceso remoto.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
| Tipo | Elementos que se incluirán |
|---|---|
| Inteligencia sobre amenazas actuales | Cree un conector de datos GSAPI para insertar indicadores en Microsoft Sentinel. Proporcione un servidor STIX 2.0 o 2.1 TAXII que los clientes puedan usar con el conector de datos TAXII listo para usar. |
| Indicadores históricos o conjuntos de datos de referencia | Proporcione un conector de aplicación lógica para acceder a los datos y un cuaderno de estrategias de flujo de trabajo de enriquecimiento que dirija los datos a los lugares correctos. |
El producto proporciona contexto adicional para las investigaciones
Escenario: su producto proporciona datos contextuales adicionales para las investigaciones basadas en Microsoft Sentinel.
Ejemplos: CMDB de contexto adicional, bases de datos de recursos de alto valor, bases de datos VIP, bases de datos de dependencia de aplicación, sistemas de administración de incidentes, sistemas de vales
Uso de los datos en Microsoft Sentinel: use los datos de Microsoft Sentinel para enriquecer alertas e incidentes.
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
- Una conector de aplicación lógica
- Un cuaderno de estrategias de flujo de trabajo de enriquecimiento
- Un flujo de trabajo de administración del ciclo de vida de incidentes externo (opcional)
Su producto puede implementar directivas de seguridad
Escenario:el producto puede implementar directivas de seguridad en Azure Policy y otros sistemas
Ejemplos: firewalls, NDR, EDR, MDM, soluciones de identidad, soluciones de acceso condicional, soluciones de acceso físico u otros productos que admiten bloquear/permitir u otras directivas de seguridad procesables
Uso de los datos en Microsoft Sentinel: acciones y flujos de trabajo de Microsoft Sentinel que permiten correcciones y respuestas a amenazas
Qué compilar: para este escenario, incluya los siguientes elementos en la solución:
- Una conector de aplicación lógica
- Un cuaderno de estrategias de flujo de trabajo de acción
Referencias iniciales
Todas las integraciones de SIEM de Microsoft Sentinel comienzan con el repositorio de GitHub de Microsoft Sentinel y la guía de contribución.
Cuando esté listo para empezar a trabajar en su solución de Microsoft Sentinel, busque instrucciones para enviar, empaquetar y publicar en la Guide to Building Microsoft Sentinel Solutions (Guía para compilar soluciones de Microsoft Sentinel).
Comercialización
Microsoft ofrece programas para ayudar a los asociados a acercarse a los clientes de Microsoft:
Microsoft Partner Network (MPN). El programa principal para la asociación con Microsoft es Microsoft Partner Network. La pertenencia a MPN es necesaria para convertirse en editor de Azure Marketplace, que es donde se publican todas las soluciones de Microsoft Sentinel.
Azure Marketplace. Las soluciones de Microsoft Sentinel se entregan a través de Azure Marketplace, que es donde los clientes van a descubrir e implementar las integraciones generales de Azure proporcionadas por Microsoft y por asociados.
Las soluciones de Microsoft Sentinel son uno de los muchos tipos de ofertas que se encuentran en Marketplace. También puede encontrar las ofertas de soluciones integradas en el centro de contenidos de Microsoft Sentinel
Asociación de seguridad inteligente de Microsoft (MISA). MISA proporciona ayuda a los asociados de Microsoft Security para dar a conocer las integraciones creadas por asociados con los clientes de Microsoft y además facilita la detectabilidad para las integraciones de productos de Microsoft Security.
Para unirse al programa MISA es necesario que un equipo de productos de Microsoft Security lo proponga. La creación de cualquiera de las siguientes integraciones puede hacer que los asociados sean candidatos para la nominación:
- Un conector de datos de Microsoft Sentinel y contenido asociado, como libros, consultas de ejemplo y reglas de análisis
- Conector de Logic Apps publicado y cuadernos de estrategias de Microsoft Sentinel
- Integraciones de API, en función de cada caso
Si tiene cualquier duda o si desea solicitar una revisión de la candidatura para el programa MISA, póngase en contacto con AzureSentinelPartner@microsoft.com.
Pasos siguientes
Para más información, consulte:
Recopilación de datos:
- Procedimientos recomendados para la recopilación de datos
- Conectores de datos de Microsoft Sentinel
- Búsqueda del conector de datos de Microsoft Sentinel
- Descripción de la inteligencia sobre amenazas en Microsoft Sentinel
Detección de amenazas:
- Automatización del control de incidentes en Microsoft Sentinel con las reglas de automatización
- Investigación de incidentes con Microsoft Sentinel
- Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
Búsqueda y cuadernos
- Búsqueda de amenazas con Microsoft Sentinel
- Administración de consultas de búsqueda y streaming en vivo en Microsoft Sentinel mediante la API REST
- Uso de cuadernos de Jupyter para buscar amenazas de seguridad
Visualización: visualizar datos recopilados.
Investigación: investigar incidentes con Microsoft Sentinel.
Respuesta: