Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El portal de Defender permite conectarse a un área de trabajo principal y a varias áreas de trabajo secundarias para Microsoft Sentinel. En el contexto de este artículo, un área de trabajo es un área de trabajo de Log Analytics con Microsoft Sentinel habilitado.
Este artículo se aplica principalmente al escenario en el que incorpora Microsoft Sentinel al portal de Defender junto con XDR de Microsoft Defender para operaciones de seguridad unificadas. Si tiene previsto usar Microsoft Sentinel en el portal de Defender sin XDR de Microsoft Defender, todavía puede administrar varias áreas de trabajo. Sin embargo, dado que no tiene Defender XDR, su área de trabajo principal no tendrá datos de Defender XDR y no tendrá acceso a las funciones de Defender XDR.
Áreas de trabajo principales y secundarias
Seleccione el área de trabajo principal al incorporar Microsoft Sentinel al portal de Defender. Cualesquiera otras áreas de trabajo que incorpore al portal de Defender se consideran áreas de trabajo secundarias. El portal de Defender admite un área de trabajo principal y un número ilimitado de áreas de trabajo secundarias por inquilino para Microsoft Sentinel.
Cuando también tienes Microsoft Defender XDR, las alertas de tu espacio de trabajo principal se correlacionan con los datos de Microsoft Defender XDR, y los incidentes incluyen alertas tanto de tu espacio de trabajo principal como de Microsoft Defender XDR en una cola unificada. Al seleccionar un área de trabajo principal, el conector de datos XDR de Defender para incidentes y alertas solo está conectado al área de trabajo principal.
En tales casos:
| Ámbito | Descripción |
|---|---|
| Otras áreas de trabajo conectadas anteriormente a XDR de Defender | Las demás áreas de trabajo que se conectaron anteriormente al conector XDR de Defender se desconectan y funcionan como áreas de trabajo secundarias. Los datos de XDR de Defender no están disponibles en un área de trabajo secundaria y las reglas de análisis y automatización que había configurado anteriormente en función de los datos XDR de Defender ya no funcionan. |
| Alertas basadas en inquilinos y conectores de datos independientes | Las alertas de otros servicios de Microsoft, incluidos otros servicios de Defender, son alertas basadas en inquilinos y se relacionan con todo el inquilino en lugar de con un área de trabajo específica. Para evitar la duplicación entre áreas de trabajo, los conectores de datos independientes directos para estos servicios deben desconectarse de Microsoft Sentinel en áreas de trabajo secundarias. Esto da como resultado alertas basadas en inquilinos que solo se muestran en el área de trabajo principal. Tras la incorporación, los conectores de datos independientes para Microsoft Defender para Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender para el punto de conexión y Microsoft Defender para la Identidad se desconectan automáticamente. Si tiene otros conectores de datos independientes de Microsoft con alertas en las áreas de trabajo, asegúrese de desconectarlos antes de incorporarlos al portal de Defender. |
| Alertas e incidentes de XDR de Defender | Todas las alertas e incidentes de XDR de Defender solo se sincronizan con el área de trabajo principal. |
| Creación de incidentes y correlación de alertas | El portal de Defender mantiene la creación de incidentes y la correlación de alertas separadas entre las áreas de trabajo de Microsoft Sentinel. Los incidentes en áreas de trabajo secundarias no incluyen datos de ninguna otra área de trabajo ni de Defender XDR. |
| Se requiere un área de trabajo principal | Un área de trabajo principal siempre debe estar conectada al portal de Defender. |
Por ejemplo, podría estar trabajando en un equipo de SOC global en una empresa que tenga varias áreas de trabajo autónomas. En tales casos, es posible que no desee ver incidentes y alertas de cada una de estas áreas de trabajo en la cola de SOC global en el portal de Defender. Dado que estas áreas de trabajo se incorporan al portal de Defender como áreas de trabajo secundarias, se muestran en el portal de Defender solo como Microsoft Sentinel, sin datos de Defender y siguen funcionando de forma autónoma. Al examinar tu espacio de trabajo global de SOC, no vas a poder ver los datos de estos espacios de trabajo secundarios.
Cuando tenga varias áreas de trabajo de Microsoft Sentinel dentro de un inquilino de Microsoft Entra ID, considere usar el área de trabajo principal para el centro de operaciones de seguridad global.
Permisos para administrar áreas de trabajo y ver los datos del área de trabajo
Use uno de los siguientes roles o combinaciones de roles para administrar áreas de trabajo principales y secundarias:
| Tarea | Microsoft Entra o rol integrado de Azure requerido | Ámbito |
|---|---|---|
| Incorporación de Microsoft Sentinel al portal de Defender |
Administrador global o administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Inquilino - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
| Conexión o desconexión de un área de trabajo secundaria |
Administrador global o administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Inquilino - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
| Cambiar el área de trabajo principal |
Administrador global o administrador de seguridad en Microsoft Entra ID Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel |
Inquilino - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador |
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Después de conectar Microsoft Sentinel al portal de Defender, los permisos de control de acceso basado en rol (RBAC) existentes de Azure le permiten ver y trabajar con las características y áreas de trabajo de Microsoft Sentinel a las que tiene acceso.
| Área de trabajo | Acceso |
|---|---|
| Principal | Si tiene acceso al área de trabajo principal, puede leer y administrar datos desde el área de trabajo y Defender XDR. |
| Secundario | Si tiene acceso a un área de trabajo secundaria, solo puede leer y administrar datos desde el área de trabajo. Las áreas de trabajo secundarias no incluyen datos de Defender XDR. |
Excepción: Si ya ha incorporado un área de trabajo al portal de Defender, todas las alertas creadas mediante detecciones personalizadas en AlertInfo y AlertEvidence tablas antes de mediados de enero de 2025 son visibles para todos los usuarios.
Para obtener más información, consulte Roles y permisos en Microsoft Sentinel.
Cambios en el área de trabajo principal
Después de incorporar Microsoft Sentinel al portal de Defender, puede cambiar el área de trabajo principal. Al cambiar el área de trabajo principal de Microsoft Sentinel, el conector XDR de Defender se conecta al nuevo principal y se desconecta del anterior automáticamente.
Cambie el área de trabajo principal en el portal de Defender; para ello, vaya aConfiguración> del sistema>Áreas de trabajo de>.
Ámbito de los datos del área de trabajo en distintas vistas
Si tiene los permisos adecuados para ver los datos de las áreas de trabajo principales y secundarias de Microsoft Sentinel, el ámbito del área de trabajo de la tabla siguiente se aplica a cada funcionalidad.
| Capacidad | Ámbito del área de trabajo |
|---|---|
| Búsqueda | Los resultados de la búsqueda global en la parte superior de la página del explorador del portal de Defender proporcionan una vista agregada de todos los datos de área de trabajo pertinentes que tiene permisos para ver. |
| Investigación y respuesta > Incidentes y alertas >Incidentes | Vea incidentes de diferentes áreas de trabajo en una cola unificada o filtre la vista por área de trabajo. |
| Investigación y respuesta > Incidentes y alertas > Alertas | Vea las alertas de diferentes áreas de trabajo en una cola unificada o filtre la vista por área de trabajo. El portal de Defender segmenta la correlación de alertas por área de trabajo. |
| Entidades: desde un incidente o alerta > , seleccione un dispositivo, un usuario u otro recurso de entidad. | Vea todos los datos de entidad pertinentes de varias áreas de trabajo en una sola página de entidad. Las páginas de entidad agregan alertas, incidentes y eventos de escala de tiempo de todas las áreas de trabajo para proporcionar información más detallada sobre el comportamiento de las entidades. Filtre por área de trabajo en las pestañas Incidentes y alertas, Escala de tiempo e Información . En la pestaña Información general se muestran los metadatos de entidad agregados de todas las áreas de trabajo. |
| Investigación y respuesta > Caza >Caza avanzada | Seleccione un área de trabajo en la parte superior derecha del explorador. O bien, consulte varias áreas de trabajo mediante el operador de espacios de trabajo en la consulta. Consulte Consultar múltiples áreas de trabajo. Los resultados de la consulta no muestran un nombre o identificador del área de trabajo. Acceda a todos los datos de registro del área de trabajo, incluidas las consultas y las funciones, en modo de solo lectura. Para obtener más información, consulte Búsqueda avanzada con datos de Microsoft Sentinel en el portal de Microsoft Defender. Algunas funcionalidades están limitadas al área de trabajo principal: - Creación de detecciones personalizadas - Consultas a través de api Las consultas entre áreas de trabajo para los datos de Log Analytics siguen estando sujetas a limitaciones de Log Analytics. |
| Experiencias de Microsoft Sentinel | Vea los datos de un área de trabajo para cada página de la sección Microsoft Sentinel del portal de Defender. Cambie entre áreas de trabajo seleccionando Seleccionar un área de trabajo en la parte superior derecha del explorador para la mayoría de las páginas. - La página Cuadernos de trabajo solo muestra los datos asociados al área de trabajo principal. Las reglas de análisis entre espacios de trabajo siguen estando sujetas a las limitaciones y recomendaciones de las reglas de análisis entre espacios de trabajo. |
| Optimización del SOC | Los datos y las recomendaciones se agregan desde varias áreas de trabajo. |
Sincronización bidireccional para áreas de trabajo
Cómo se sincronizan los cambios de incidentes entre el Azure Portal y el portal de Defender depende de si se trata de un área de trabajo principal o secundaria.
| Área de trabajo | Comportamiento de sincronización |
|---|---|
| Primario | Para Microsoft Sentinel en el Portal de Azure, los incidentes de XDR de Defender aparecen en Administración de amenazas>Incidentes con el nombre del proveedor de Microsoft XDR. Los cambios realizados en el estado, el motivo de cierre o la asignación de un incidente de Defender XDR en el portal de Azure o Defender, se actualizan en la cola de incidentes del portal opuesto. Para obtener más información, consulte Trabajar con incidentes de XDR de Microsoft Defender en Microsoft Sentinel y sincronización bidireccional. |
| Secundario | Todas las alertas e incidentes que cree para un área de trabajo secundaria se sincronizan entre esa área de trabajo en los portales de Azure y Defender. Los datos de un área de trabajo solo se sincronizan con el área de trabajo en el otro portal. |
Compatibilidad con la administración de riesgos internos (IRM)
Las alertas de Administración de riesgos internos (IRM) de Microsoft Purview solo se correlacionan con el área de trabajo principal. Si tiene alertas de IRM con Microsoft Defender XDR, debe conectar IRM al conector Microsoft Defender XDR en el área de trabajo principal antes de incorporar el área de trabajo al portal de Defender. Esto es necesario para asegurarse de que las alertas e incidentes de IRM están disponibles en el área de trabajo principal. Si no desea ver las alertas de IRM en el área de trabajo principal, puede optar por no participar en la integración con XDR de Microsoft Defender.
Además, si el conector directo de Administración de riesgos internos de Microsoft 365 para el conector de datos de Microsoft Sentinel está conectado a cualquiera de las áreas de trabajo secundarias, debe desconectarlo antes de incorporar el área de trabajo al portal de Defender.