Seguimiento de la migración de Microsoft Sentinel con un libro

• Se aplica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

A medida que el centro de operaciones de seguridad (SOC) de la organización controla cantidades crecientes de datos, es esencial planear y supervisar el estado de implementación. Aunque puede realizar un seguimiento del proceso de migración mediante herramientas genéricas como Microsoft Project, Microsoft Excel, Microsoft Teams o Azure DevOps, estas herramientas no son específicas del seguimiento de la migración de la administración de eventos e información de seguridad (SIEM). Para ayudarle a realizar un seguimiento, proporcionamos un libro dedicado en Microsoft Sentinel denominado Implementación y migración de Microsoft Sentinel.

El libro le ayuda a:

• Visualizar el progreso de la migración
• Implementar y hacer un seguimiento de los orígenes de datos
• Implementar y supervisar las reglas e incidentes de análisis
• Implementar y usar libros
• Implementar y realizar la automatización
• Implementar y personalizar el análisis de comportamiento de usuarios y entidades (U E B A)

En este artículo se describe cómo hacer un seguimiento de la migración con el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), cómo personalizar y administrar el libro y cómo usar las pestañas del libro para implementar y supervisar conectores de datos, análisis, incidentes, cuadernos de estrategias, reglas de automatización, U E B A y administración de datos. Obtenga más información sobre cómo usar los libros de Azure Monitor en Microsoft Sentinel.

Implementación del contenido del libro y visualización del libro

Para obtener el libro, instale primero el elemento independiente desde el centro de contenido de Microsoft Sentinel.

1. En el centro de contenido de Microsoft Sentinel, filtre el contenido enumerado por Tipo de contenido = Libros y escriba migración en la barra de búsqueda.

2. En los resultados de la búsqueda, seleccione el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel) y seleccione Instalar. Microsoft Sentinel implementa el libro y guarda el libro en su entorno.

3. En Microsoft Sentinel, en Administración de amenazas, seleccione Libros>Plantillas.

4. Seleccione el libro Implementación y migración de Microsoft Sentinel y Ver plantilla.

Implementación de la lista de reproducción

El siguiente paso consiste en implementar la lista de reproducción relacionada desde el repositorio de GitHub de Microsoft Sentinel.

1. En el repositorio de GitHub de Microsoft Sentinel, seleccione la carpeta DeploymentandMigration y seleccione Implementar en Azure para comenzar la implementación de la plantilla en Azure.
2. Proporcione el nombre del área de trabajo y el grupo de recursos de Microsoft Sentinel.
3. Seleccione Revisar y crear.
4. Una vez validada la información, seleccione Crear.

Actualización de la lista de reproducción con acciones de implementación y migración

Este paso es fundamental para el proceso de configuración de seguimiento. Si omite este paso, el libro no refleja los elementos para el seguimiento.

Para actualizar la lista de reproducción con acciones de implementación y migración:

1. En el portal de Azure o Microsoft Defender, seleccione Microsoft Sentinel y, después, seleccione Lista de reproducción.
2. Seleccione la lista de reproducción con el alias Implementación.
3. A continuación, seleccione Actualizar lista de reproducción > editar elementos de lista de reproducción.
4. Proporcione la información de las acciones necesarias para la implementación y la migración.
5. Seleccione Guardar.

Ahora puede ver la lista de reproducción en el libro de seguimiento de migración. Obtenga información sobre cómo administrar listas de reproducción.

Además, el equipo puede actualizar o completar tareas durante el proceso de implementación. Para solucionar estos cambios, actualice las acciones existentes o agregue nuevas acciones a medida que identifique nuevos casos de uso o establezca nuevos requisitos. Para actualizar o agregar acciones, edite la lista de reproducción Implementación que implementó. Para simplificar el proceso, en el libro, seleccione Editar lista de seguimiento de implementación para abrir la lista de reproducción directamente desde el libro.

Ver el estado de implementación

Para ver rápidamente el progreso de la implementación, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Implementación y desplácese hacia abajo para buscar el resumen del progreso. En esta área se muestra el estado de implementación, incluida la siguiente información:

• Tablas que notifican datos
• Número de tablas que notifican datos
• Número de registros notificados y qué tablas notifican los datos de registro
• Número de reglas habilitadas frente a reglas no implementadas
• Libros recomendados implementados
• Número total de libros implementados
• Número total de cuadernos de estrategias implementados

Implementación y supervisión de conectores de datos

Para supervisar los recursos implementados e implementar nuevos conectores, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Conectores de datos > Supervisar. La vista Supervisar muestra:

• Tendencias actuales de ingesta
• Tablas que ingieren datos
• Cantidad de datos que notifica cada tabla
• Informes de puntos de conexión con el agente de Azure Monitor (AMA)
• Reglas de recopilación de datos en el grupo de recursos y los dispositivos vinculados a las reglas
• Estado del conector de datos (cambios y errores)
• Registros de estado dentro del intervalo de tiempo especificado

Para configurar un conector de datos:

1. Seleccione la vista Configurar.
2. Seleccione el botón con el nombre del conector que desea configurar.
3. Configure el conector en la pantalla de estado del conector que se abre. Si no encuentra un conector que necesite, seleccione el nombre del conector para abrir la galería de conectores o la galería de soluciones.

Implementación y supervisión de análisis e incidentes

Cuando se notifican los datos en el área de trabajo, configure y supervise las reglas de análisis. En el libro Implementación y migración de Microsoft Sentinel, seleccione la pestaña Analytics para ver todas las listas y plantillas de reglas implementadas. Esta vista indica qué reglas están actualmente en uso y con qué frecuencia las reglas generan incidentes.

Si necesita más cobertura, seleccione Review MITRE coverage (Revisar la cobertura de MITRE) debajo de la tabla de la izquierda. Use esta opción para definir qué áreas reciben más cobertura y qué reglas se implementan en cualquier fase del proyecto de migración.

Al implementar las reglas de análisis y el conector de producto de Defender está configurado para enviar las alertas, supervisar la creación y la frecuencia de incidentes en Implementación > Resumen del progreso. En esta área se muestran métricas relacionadas con la generación de alertas por producto, título y clasificación, para indicar el estado del SOC y qué alertas requieren la mayor atención. Si las alertas generan demasiado volumen, vuelva a la pestaña Analytics para modificar la lógica.

Implementar y usar libros

Para visualizar información sobre la ingesta de datos y las detecciones que realiza Microsoft Sentinel, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Workbooks. De forma similar a la pestaña Conectores de datos, puede usar las vistas Supervisar y Configurar para ver la información de supervisión y configuración.

Estas son algunas tareas útiles que se pueden realizar en la pestaña Libros:

• Para ver una lista de todos los libros del entorno y cuántos libros están implementados, seleccione Supervisar.

• Para ver un libro específico en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione un libro y, a continuación, seleccione Open Selected Workbook (Abrir libro seleccionado).

  

• Si aún no ha implementado libros, seleccione Configurar para ver una lista de libros usados y recomendados. Si no aparece un libro, seleccione Go to Workbook Gallery (Ir a la galería de libros) o Go to Content Hub (Ir al centro de contenido) para implementar el libro correspondiente.

  

Implementación y supervisión de cuadernos de estrategias y reglas de automatización

Al configurar la ingesta de datos, las detecciones y las visualizaciones, ahora puede examinar la automatización. En el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione Automatización para ver los cuadernos de estrategias implementados y para ver qué cuadernos de estrategias están conectados actualmente a una regla de automatización. Si existen reglas de automatización, el libro resalta la siguiente información sobre cada regla:

• Nombre
• Status
• Acción o acciones de la regla
• Última fecha en que se modificó la regla y el usuario que modificó la regla
• Fecha en que se creó la regla

Para ver, implementar y probar la automatización en la sección actual del libro, seleccione Deploy automation resources (Implementar recursos de automatización) en la parte inferior izquierda.

Obtenga información sobre las funcionalidades SOAR de Microsoft Sentinel para cuadernos de estrategias y para reglas de automatización.

Implementación y supervisión de U E B A

Dado que los informes y detecciones de datos se producen en el nivel de entidad, es esencial supervisar el comportamiento y las tendencias de las entidades. Para habilitar la característica U E B A en Microsoft Sentinel, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), seleccione UEBA. Aquí puede personalizar las escalas de tiempo de la entidad para las páginas de entidad y ver qué tablas relacionadas con la entidad se rellenan con datos.

Para habilitar U E B A:

1. Seleccione Enable UEBA (Habilitar UEBA) encima de la lista de tablas.
2. Para habilitar U E B A, seleccione On (Activado).
3. Seleccione los orígenes de datos que desea usar para generar información.
4. Seleccione Aplicar.

Después de habilitar U E B A, supervise y asegúrese de que Microsoft Sentinel está generando datos de U E B A.

Para personalizar la escala de tiempo:

1. Seleccione Customize Entity Timeline (Personalizar escala de tiempo de entidad) encima de la lista de tablas.
2. Cree un elemento personalizado o seleccione una de las plantillas listas para usar.
3. Para implementar la plantilla y completar el asistente, seleccione Crear.

Obtenga más información sobre U E B A o aprenda a personalizar la escala de tiempo.

Configuración y administración del ciclo de vida de los datos

Al implementar o migrar a Microsoft Sentinel, es esencial administrar el uso y el ciclo de vida de los registros entrantes. En el libro Implementación y migración de Microsoft Sentinel, seleccione Administración de datos para ver y configurar la retención y el archivado de tablas.

Ver información sobre:

• Tablas configuradas para la ingesta de registros básica
• Tablas configuradas para la ingesta del nivel de análisis
• Tablas configuradas para archivarse
• Tablas en la retención del área de trabajo predeterminada

Para modificar la directiva de retención existente para las tablas:

1. Seleccione la vista Default Retention Tables (Tablas de retención predeterminadas).
2. Seleccione la tabla que desea modificar y seleccione Update Retention (Actualizar retención). Edite la siguiente información según sea necesario:
   • Retención actual en el área de trabajo
   • Retención actual en el archivo
   • Número total de días que residen los datos en el entorno
3. Edite el valor TotalRetention para establecer un nuevo número total de días en que los datos deben existir dentro del entorno.

El valor ArchiveRetention se calcula restando el valor TotalRetention del valor InteractiveRetention. Si necesita ajustar la retención del área de trabajo, el cambio no afecta a las tablas que incluyen archivos configurados y los datos no se pierden. Si edita el valor InteractiveRetention y el valor TotalRetention no cambia, Azure Log Analytics ajusta la retención de archivo para compensar el cambio.

Si prefiere realizar cambios en la interfaz de usuario, seleccione Retención de actualizaciones en la interfaz de usuario para abrir la página correspondiente.

Obtenga información sobre la administración del ciclo de vida de los datos.

Habilitación de sugerencias e instrucciones de migración

Para ayudar con el proceso de implementación y migración, el libro incluye sugerencias que explican cómo usar las distintas pestañas y vínculos a los recursos pertinentes. Las sugerencias se basan en la documentación de migración de Microsoft Sentinel y son relevantes para su SIEM actual. Para habilitar sugerencias e instrucciones, en el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel), en la parte superior derecha, establezca MigrationTips e Instrucción en Sí.

Pasos siguientes

En este artículo, ha aprendido a realizar un seguimiento de la migración con el libro Microsoft Sentinel Deployment and Migration (Implementación y migración de Microsoft Sentinel).

• Migración de reglas de detección de ArcSight
• Migración de reglas de detección de Splunk
• Migración de reglas de detección de QRadar