Guía operativa de Microsoft Sentinel
En este artículo se enumeran las actividades operativas que recomendamos a los equipos de operaciones de seguridad (SOC) y a los administradores de seguridad planear y ejecutar como parte de sus actividades de seguridad periódicas con Microsoft Sentinel. Para obtener más información sobre cómo administrar las operaciones de seguridad, consulte Introducción a las operaciones de seguridad.
Tareas diarias
Programe las siguientes actividades diarias.
| Tarea | descripción |
|---|---|
| Evaluación de prioridades e investigación de incidentes | Revise la página Incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas analíticas configuradas actualmente y empezar a buscar incidentes nuevos. Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel. |
| Exploración de consultas y marcadores de búsqueda | Explore los resultados de todas las consultas integradas y actualice los marcadores y las consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para obtener más información, consulte: - Creación automática de incidentes a partir de alertas- de seguridad de Microsoft Búsqueda de amenazas con Microsoft Sentinel - Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel |
| Reglas de análisis | Revise y habilite las nuevas reglas analíticas según corresponda, incluidas las reglas recién publicadas o recientemente disponibles de los conectores de datos conectados recientemente. |
| Conectores de datos | Revise el estado, la fecha y la hora del último registro recibido de cada conector de datos para asegurarse de que los datos fluyen. Compruebe si hay nuevos conectores y revise la ingesta para asegurarse de que no se superan los límites establecidos. Para obtener más información, consulte Procedimientos recomendados para la recopilación de datos y Conexión con orígenes de datos. |
| Agente de Azure Monitor | Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y corrija las conexiones fallidas. Para obtener más información, consulte la Información general del agente de Azure Monitor. |
| Errores del cuaderno de estrategias | Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, consulte Tutorial: Respuesta a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel. |
Tareas semanales
Programe las actividades siguientes semanalmente.
| Tarea | descripción |
|---|---|
| Revisión de contenido de soluciones o contenido independiente | Obtenga las actualizaciones de contenido de las soluciones instaladas o contenido independiente del Centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias. |
| Auditoría de Microsoft Sentinel | Revise la actividad de Microsoft Sentinel para ver quién actualizó o eliminó los recursos, como reglas de análisis, marcadores, etc. Para más información, consulte Auditoría de consultas y actividades de Microsoft Sentinel. |
Tareas mensuales
Programe las actividades siguientes mensualmente.
| Tarea | descripción |
|---|---|
| Revisión del acceso de usuario | Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para más información, consulte Permisos de Microsoft Sentinel. |
| Revisión del área de trabajo de Log Analytics | Revise que la directiva de retención de datos del área de trabajo de Log Analytics se sigue ajustando a la directiva de su organización. Para obtener más información, vea la Directiva de retención de datos y la sección Integración con Azure Data Explorer para conservar registros a largo plazo. |