Activación de la auditoría y el seguimiento de estado en Microsoft Sentinel (versión preliminar)
Supervise el estado y realice una auditoría de la integridad de los recursos de Microsoft Sentinel admitidos mediante la activación de la característica de seguimiento de estado en la página de Configuración de Microsoft Sentinel. Obtenga información sobre los desfases de estado, como los eventos de error más recientes o los cambios de un estado correcto a un estado de error, así como sobre las acciones no autorizadas y use esta información para crear notificaciones y otras acciones automatizadas.
Para obtener datos de mantenimiento de la tabla de datos de SentinelHealth o para obtener información de auditoría de la tabla de datos de SentinelAudit, primero debe activar la característica de auditoría y supervisión de estado de Microsoft Sentinel para el área de trabajo. En este artículo se indica cómo activar estas características.
Para implementar la característica de mantenimiento y auditoría mediante una API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), consulte las operaciones de configuración de diagnóstico. Para configurar el tiempo de retención de los eventos de auditoría y mantenimiento, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.
Importante
Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Requisitos previos
- Antes de empezar, obtenga más información sobre la supervisión y auditoría de estado en Microsoft Sentinel. Para obtener más información, consulte auditoría y supervisión de estado de Microsoft Sentinel.
Activación de la auditoría y del seguimiento del estado del área de trabajo
Para empezar, habilite la auditoría y la supervisión de estado desde la configuración de Microsoft Sentinel.
Para Microsoft Sentinel, en Azure Portal en Configuración, seleccione Valores>Configuración.
Para Microsoft Sentinel en el Portal de Defender, en Sistema, seleccione Configuración>Microsoft Sentinel.Seleccione Auditoría y seguimiento del estado.
Seleccione Habilitar para habilitar la auditoría y el seguimiento de estado en todos los tipos de recursos y enviar los datos de auditoría y supervisión al área de trabajo de Microsoft Sentinel (y en ningún otro lugar).
O bien, seleccione el vínculo Configurar opciones de diagnóstico para habilitar el seguimiento de estado solo para los recursos de automatización o recopilador de datos, o para configurar opciones avanzadas, como lugares adicionales para enviar los datos.
Si ha seleccionado Habilitar, el botón aparecerá atenuado y cambiará para indicar Habilitar... y, a continuación, Habilitado. En ese momento, la auditoría y el seguimiento de estado estarán habilitados y ya habrá terminado. La configuración de diagnóstico adecuada se ha agregado en segundo plano y puede verla y editarla seleccionando el vínculo Configurar opciones de diagnóstico.
Si ha seleccionado Configurar opciones de diagnóstico, en la pantalla Configuración de diagnóstico, seleccione + Agregar configuración de diagnóstico.
(Si va a editar una configuración existente, selecciónela en la lista de configuración de diagnóstico).
En el campo Nombre de configuración de diagnóstico, escriba un nombre descriptivo para la configuración.
En la columna Registros, seleccione las categorías adecuadas para los tipos de recursos que quiere supervisar, por ejemplo, Data Collection - Connectors (Recopilación de datos: conectores). Seleccione allLogs si quiere supervisar las reglas de análisis.
En Detalles del destino, seleccione Send to Log Analytics workspace (Enviar al área de trabajo de Log Analytics) y elija la suscripción y el área de trabajo de Log Analytics en los menús desplegables.
Si lo necesita, puede seleccionar otros destinos a los que enviar los datos, además del área de trabajo de Log Analytics.
Seleccione Guardar en el banner superior para guardar la nueva configuración.
Las tablas de datos de SentinelHealth y SentinelAudit se crean en el primer evento generado para los recursos seleccionados.
Comprobación de que las tablas reciben datos
Ejecute consultas del Lenguaje de consulta Kusto (KQL) en Azure Portal o en el portal de Defender para asegurarse de que recibe datos de mantenimiento y auditoría.
Para Microsoft Sentinel en Azure portal, en General, seleccione Registros.
Para Microsoft Sentinel en el Portal de Defender, en Investigación y respuesta, seleccione Búsqueda>Búsqueda avanzada.Ejecute una consulta en la tabla SentinelHealth. Por ejemplo:
_SentinelHealth() | take 20
Ejecute una consulta en la tabla SentinelAudit. Por ejemplo:
_SentinelAudit() | take 20
Tablas de datos y tipos de recursos admitidos
Cuando la característica está activada, las tablas de datos de SentinelHealth y SentinelAudit se crean en el primer evento generado para los recursos seleccionados.
La supervisión del estado de Microsoft Sentinel admite actualmente los siguientes tipos de recursos:
- Reglas de análisis
- Conectores de datos
- Regalas de automatización
- Cuadernos de estrategias (flujos de trabajo de Azure Logic Apps)
Nota:
Al supervisar el estado de los cuadernos de estrategias, asegúrese de recopilar eventos de diagnóstico de Azure Logic Apps de dichos cuadernos para obtener una visión global de la actividad del cuaderno de estrategias. Para obtener más información, consulte Supervisión del estado de las reglas de automatización y cuadernos de estrategias.
Actualmente, solo se admite el tipo de recurso de regla de análisis para la auditoría.