Conexión de Microsoft Sentinel al portal de Microsoft Defender

Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, con o sin Microsoft Defender XDR o una licencia E5. Con Microsoft Sentinel en el portal de Defender junto con los servicios de Microsoft Defender XDR, unifica funcionalidades como la administración de incidentes y la búsqueda avanzada. Reduzca el cambio de herramientas y cree una investigación más centrada en el contexto que agilice la respuesta a incidentes y detenga las infracciones más rápido.

Este artículo es relevante para los clientes cuyas áreas de trabajo de Microsoft Sentinel aún no están conectadas al portal de Defender. En muchos casos, los clientes que se incorporan a Microsoft Sentinel después del 1 de julio de 2025 se incorporan automáticamente al portal de Defender.

Para más información, vea:

Requisitos previos

Antes de empezar, revise la documentación de características para comprender los cambios y limitaciones del producto.

El portal de Microsoft Defender admite un único inquilino Microsoft Entra y la conexión a un área de trabajo principal y varias áreas de trabajo secundarias. Si solo tiene un área de trabajo al incorporar Microsoft Sentinel, ese área de trabajo se designa como área de trabajo principal. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender. En el contexto de este artículo, un área de trabajo es un área de trabajo de Log Analytics con Microsoft Sentinel habilitado.

Microsoft Sentinel requisitos previos

Para incorporar y usar Microsoft Sentinel en el portal de Defender, debe tener los siguientes recursos y acceso:

Un área de trabajo de Log Analytics que tiene Microsoft Sentinel habilitado

Una cuenta Azure con los roles adecuados para incorporar, usar y crear solicitudes de soporte técnico para Microsoft Sentinel en el portal de Defender. No verá áreas de trabajo en el portal de Defender para incorporarlas donde no tenga los permisos necesarios. En la tabla siguiente se resaltan algunos de los roles clave necesarios.

Tarea	Microsoft Entra o Azure rol integrado necesario	Ámbito
Incorporación de Microsoft Sentinel al portal de Defender	Administrador global o administrador de seguridad en Microsoft Entra ID Y Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel	Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador
Conexión o desconexión de un área de trabajo secundaria	Administrador global o administrador de seguridad en Microsoft Entra ID Y Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel	Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador
Cambio del área de trabajo principal	Administrador global o administrador de seguridad en Microsoft Entra ID Y Propietario o administrador de acceso de usuario Y colaborador de Microsoft Sentinel	Tenant - Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador
Ver Microsoft Sentinel en el portal de Defender	Lector de Microsoft Sentinel	Suscripción, grupo de recursos o recurso de área de trabajo
Consulta Microsoft Sentinel tablas de datos o visualización de incidentes	Microsoft Sentinel Lector o un rol con las siguientes acciones: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Suscripción, grupo de recursos o recurso de área de trabajo
Realizar acciones de investigación sobre incidentes	Microsoft Sentinel colaborador o un rol con las siguientes acciones: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Suscripción, grupo de recursos o recurso de área de trabajo
Crear una solicitud de soporte técnico	Propietario , colaborador o colaborador de la solicitud de soporte técnico o un rol personalizado con Microsoft.Support/*	Suscripción

Si está trabajando con varios inquilinos, tenga en cuenta que los privilegios de administrador delegados granulares (GDAP) con Azure Lighthouse no se admiten para Microsoft Sentinel datos en el portal de Defender. En su lugar, use Microsoft Entra autenticación B2B. Para obtener más información, vea Configurar Microsoft Defender administración multiinquilino.

Después de conectar Microsoft Sentinel al portal de Defender, los permisos de control de acceso basado en rol (RBAC) de Azure existentes le permiten trabajar con las características de Microsoft Sentinel a las que tiene acceso. Siga administrando roles y permisos para los usuarios de Microsoft Sentinel desde el Azure Portal, ya que los cambios de RBAC Azure se reflejan en el portal de Defender.

Para obtener más información, vea Roles y permisos en Microsoft Sentinel y Administración del acceso a Microsoft Sentinel datos por recurso.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Requisitos previos de operaciones de seguridad unificadas

Para unificar Microsoft Defender XDR y Microsoft Sentinel operaciones de seguridad en el portal de Defender, debe tener los siguientes recursos y acceso:

Licencias para Defender XDR, como se describe en Microsoft Defender XDR requisitos previos
La cuenta de Defender XDR es miembro del mismo inquilino de Microsoft Entra con el que está asociado Microsoft Sentinel
Acceso a Microsoft Defender XDR en el portal de Defender, como se describe en Microsoft Defender XDR requisitos previos

Si procede, complete estos requisitos previos:

Servicio	Requisito previo
Administración de riesgos internos de Microsoft Purview	Si su organización usa Administración de riesgos internos de Microsoft Purview, integre esos datos habilitando el conector de datos Microsoft 365 Insider Risk Management en el área de trabajo principal para Microsoft Sentinel. Deshabilite ese conector en cualquier área de trabajo secundaria para Microsoft Sentinel que planee incorporar al portal de Defender. : instale la solución Administración de riesgos internos de Microsoft Purview desde el centro de contenido en el área de trabajo principal. : configure el conector de datos. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.
Microsoft Defender for Cloud	Para transmitir incidentes de Defender for Cloud correlacionados entre todas las suscripciones del inquilino al área de trabajo principal para Microsoft Sentinel: : conecte el conector de datos de Microsoft Defender basado en inquilinos para la nube (versión preliminar) en el área de trabajo principal. - Desconecte el conector de alertas de Microsoft Defender basadas en suscripciones para la nube (heredado) de todas las áreas de trabajo del inquilino. Si no desea transmitir datos de inquilino correlacionados de Defender for Cloud al área de trabajo principal, siga usando el conector Microsoft Defender basado en suscripciones para la nube (heredado) en las áreas de trabajo. Para obtener más información, consulte Ingesta de Microsoft Defender para incidentes en la nube con Microsoft Defender XDR integración.

Servicio

Requisito previo

Administración de riesgos internos de Microsoft Purview

Si su organización usa Administración de riesgos internos de Microsoft Purview, integre esos datos habilitando el conector de datos Microsoft 365 Insider Risk Management en el área de trabajo principal para Microsoft Sentinel. Deshabilite ese conector en cualquier área de trabajo secundaria para Microsoft Sentinel que planee incorporar al portal de Defender.

: instale la solución Administración de riesgos internos de Microsoft Purview desde el centro de contenido en el área de trabajo principal.
: configure el conector de datos.

Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.

Microsoft Defender for Cloud

Para transmitir incidentes de Defender for Cloud correlacionados entre todas las suscripciones del inquilino al área de trabajo principal para Microsoft Sentinel:

: conecte el conector de datos de Microsoft Defender basado en inquilinos para la nube (versión preliminar) en el área de trabajo principal.
- Desconecte el conector de alertas de Microsoft Defender basadas en suscripciones para la nube (heredado) de todas las áreas de trabajo del inquilino.

Si no desea transmitir datos de inquilino correlacionados de Defender for Cloud al área de trabajo principal, siga usando el conector Microsoft Defender basado en suscripciones para la nube (heredado) en las áreas de trabajo. Para obtener más información, consulte Ingesta de Microsoft Defender para incidentes en la nube con Microsoft Defender XDR integración.

Incorporación de Microsoft Sentinel

En este procedimiento se describe cómo incorporar un área de trabajo habilitada para Microsoft Sentinel al portal de Defender.

Vaya al portal de Microsoft Defender e inicie sesión.
SeleccioneConfiguración del>sistema>Microsoft Sentinel>Conectar un área de trabajo.
Seleccione las áreas de trabajo que desea conectar y seleccione Siguiente.
Seleccione el área de trabajo Principal.
Lea y comprenda los cambios de producto asociados a la conexión del área de trabajo.
Seleccione Conectar.

Una vez conectado el área de trabajo, el banner de la página Inicio muestra que el entorno está listo. La página Principal se actualiza con nuevas secciones que incluyen métricas de Microsoft Sentinel, como el número de conectores de datos y las reglas de automatización.

Exploración de características Microsoft Sentinel en el portal de Defender

Después de conectar el área de trabajo al portal de Defender, Microsoft Sentinel se encuentra en el panel de navegación izquierdo. Si tiene habilitado Defender XDR, páginas como Inicio, Incidentes y Búsqueda avanzada tienen datos unificados del área de trabajo principal para Microsoft Sentinel y Defender XDR. Si no tiene habilitado Defender XDR, estas páginas solo incluyen datos de Microsoft Sentinel. Para obtener más información sobre las funcionalidades unificadas y las diferencias entre los portales, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Muchas de las características de Microsoft Sentinel existentes se integran en el portal de Defender. Para estas características, observe que la experiencia entre Microsoft Sentinel en el portal de Azure Portal y Defender es similar. Use los siguientes artículos para ayudarle a empezar a trabajar con Microsoft Sentinel en el portal de Defender. Al usar estos artículos, tenga en cuenta que el punto de partida en este contexto es el portal de Defender en lugar de la Azure Portal.

Categoría de características	Vínculos
Búsqueda	- Búsqueda en intervalos de tiempo largos en conjuntos de datos grandes - Restauración de registros archivados desde la búsqueda
Administración de amenazas	- Visualización y supervisión de los datos mediante libros - Realización de búsqueda de amenazas de un extremo a otro con cazas - Uso de marcadores de búsqueda para investigaciones de datos - Uso de livestream de búsqueda en Microsoft Sentinel para detectar amenazas - Búsqueda de amenazas de seguridad con cuadernos de Jupyter Notebook - Adición masiva de indicadores a Microsoft Sentinel inteligencia sobre amenazas desde un archivo CSV o JSON - Trabajar con indicadores de amenazas en Microsoft Sentinel - Descripción de la cobertura de seguridad por parte del marco de trabajo de MITRE ATT&CK
Administración de contenido	- Detección y administración de Microsoft Sentinel contenido integrado - catálogo del centro de contenido de Microsoft Sentinel - Implementación de contenido personalizado desde el repositorio
Configuración	- Búsqueda del conector de datos de Microsoft Sentinel - Creación de reglas de análisis personalizadas para detectar amenazas - Trabajar con reglas de análisis de detección casi en tiempo real (NRT) en Microsoft Sentinel - Creación de listas de reproducción - Administración de listas de reproducción en Microsoft Sentinel - Creación de reglas de automatización - Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido

Busque Microsoft Sentinel configuración en el portal de Defender enConfiguración>del sistema>Microsoft Sentinel.

Cambio del área de trabajo principal

Solo puede tener un área de trabajo principal conectada al portal de Defender a la vez. Pero puede cambiar el área de trabajo principal.

En el portal de Defender, vaya aConfiguración del>sistema>Microsoft Sentinel>Trabajos.
Seleccione el nombre del área de trabajo que desea convertir en principal.
Seleccione Establecer como principal.
Lea y comprenda los cambios de producto asociados al cambio del área de trabajo principal.
Seleccione Confirmar y continuar.

Al cambiar el área de trabajo principal para Microsoft Sentinel, el conector de Defender XDR se conecta a la nueva base de datos principal y se desconecta automáticamente del anterior. Para obtener más información, consulte Varias áreas de trabajo de Microsoft Sentinel en el portal de Defender.

Offboard Microsoft Sentinel

Si decide desconectar un área de trabajo del portal de Defender, desconecte el área de trabajo de la configuración de Microsoft Sentinel.

Si el área de trabajo tiene configurado el conector de Microsoft Defender XDR, la desactivación del área de trabajo desde el portal de Defender también desconectará el conector de Microsoft Defender XDR.

Vaya al portal de Microsoft Defender e inicie sesión.
En el portal de Defender, en Sistema, seleccione Configuración>Microsoft Sentinel.
En la página Áreas de trabajo , seleccione el área de trabajo conectada y Desconectar área de trabajo.
Proporcione un motivo por el que está desconectando el área de trabajo.
Confirme la selección.

Cuando el área de trabajo está desconectada, la sección Microsoft Sentinel se quita de la navegación del lado izquierdo del portal de Defender. Los datos de Microsoft Sentinel ya no se incluyen en la página principal.

Si desea conectarse a un área de trabajo diferente, en la página Áreas de trabajo, seleccione el área de trabajo y Conectar un área de trabajo.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-09-18