Libros de Microsoft Azure Sentinel de uso frecuente
En este artículo se enumeran los libros de Microsoft Sentinel más usados. Instale la solución o el elemento independiente que contiene el libro desde el centro de contenido de Microsoft Sentinel. Para obtener el libro desde el centro de contenido, seleccione Administrar en la solución o elemento independiente. O bien, en Microsoft Sentinel en Administración de amenazas, vaya a Libros y busque el libro que desea usar. Para obtener más información, consulte Visualización y supervisión de los datos.
Se recomienda implementar cualquier libro asociado a los datos que ingiere en Microsoft Sentinel. Los libros permiten una supervisión e investigación más amplias en función de los datos recopilados. Para obtener más información, consulte Conectores de datos de Microsoft Sentinel y Detección y administración del contenido preconfigurado de Microsoft Sentinel.
Libros usados habitualmente
En la tabla siguiente se incluyen los libros que se recomiendan y la solución o elemento independiente del centro de contenido que contiene el libro.
| Nombre del libro | Descripción | Título del centro de contenido |
|---|---|---|
| Analytics Health & Audit | Proporciona visibilidad sobre el estado y la auditoría de las reglas de análisis. Averigüe si una regla de análisis se ejecuta según lo esperado y obtiene una lista de los cambios realizados en una regla analítica. Para más información, consulte Supervisión del estado y auditoría de la integridad de las reglas de análisis. |
Analytics Health & Audit |
| Azure Activity (Actividad de Azure) | Proporciona conclusiones ampliadas de la actividad de Azure de su organización mediante el análisis y la correlación de todos los eventos y operaciones de usuario. Para más información, consulte Auditoría con registros de actividad de Azure. |
Azure Activity (Actividad de Azure) |
| Azure Security Benchmark | Proporciona visibilidad para la posición de seguridad de las cargas de trabajo en la nube. Vea las consultas de registro, el grafo de recursos de Azure y las directivas alineadas con los controles de Azure Security Benchmark en las ofertas de seguridad de Microsoft, Azure, Microsoft 365, terceros, locales y cargas de trabajo multinube. Para más información, consulta nuestro blog de TechCommunity. |
Azure Security Benchmark |
| Cybersecurity Maturity Model Certification (CMMC) | Proporciona una manera de ver las consultas de registro alineadas con los controles de CMMC en toda la cartera de Microsoft, incluidas las ofertas de seguridad de Microsoft, Microsoft 365, Microsoft Teams, Intune, Azure Virtual Desktop, etc. Para más información, consulta nuestro blog de TechCommunity. |
Cybersecurity Maturity Model Certification (CMMC) 2.0 |
| Supervisión del estado de la recopilación de datos | Proporciona información sobre el estado de ingesta de datos del área de trabajo, como el tamaño de ingesta, la latencia y el número de registros por origen. Supervisa y detecta anomalías para ayudarle a determinar el estado de la recopilación de datos de las áreas de trabajo. Para más información, consulte Supervisión del estado de los conectores de datos con este libro de Microsoft Sentinel. |
Supervisión del estado de la recopilación de datos |
| Analizador de eventos | Explore, audite y acelere el análisis del registro de eventos de Windows. Incluye todos los detalles y atributos del evento, como seguridad, aplicación, sistema, configuración, servicio de directorio, DNS, etc. | Eventos de seguridad de Windows |
| Identidad y acceso | Proporciona información sobre las operaciones de identidad y acceso mediante la recopilación y el análisis de registros de seguridad, mediante los registros de auditoría e inicio de sesión para recopilar información sobre el uso de productos de Microsoft. | Eventos de seguridad de Windows |
| Información general sobre incidentes | Diseñado para ayudar con la evaluación de prioridades y la investigación mediante el suministro de información detallada sobre un incidente, como información general, datos de entidad, tiempo de evaluación de prioridades, tiempo de mitigación y comentarios. Para obtener más información, consulte Kit de herramientas para los SOC controlados por datos. |
Manual de SOC |
| Conclusiones de la investigación | Proporciona a los analistas conclusiones sobre incidentes, marcadores y datos de entidad. Las consultas comunes y las visualizaciones detalladas pueden ayudar a los analistas a investigar actividades sospechosas. | Manual de SOC |
| Microsoft Defender for Cloud Apps: registros de detección | Proporciona información detallada sobre las aplicaciones en la nube que se usan en su organización, así como conclusiones sobre las tendencias de uso y datos detallados para usuarios y aplicaciones específicos. Para obtener más información, consulte Conector de Microsoft Defender for Cloud Apps para Microsoft Sentinel. |
Microsoft Defender para aplicaciones en la nube |
| Registros de auditoría de Microsoft Entra | Usa los registros de auditoría para recopilar información sobre los escenarios de Identificador de Entra de Microsoft. Obtenga información sobre las operaciones de usuario, incluida la administración de contraseñas y grupos, las actividades del dispositivo y los principales usuarios y aplicaciones activos. Para obtener más información, consulte Inicio rápido: Introducción a Microsoft Sentinel. |
Microsoft Entra ID |
| Registros de inicio de sesión de Microsoft Entra | Proporciona información sobre las operaciones de inicio de sesión, como inicios de sesión de usuario y ubicaciones, direcciones de correo electrónico y direcciones IP de los usuarios, actividades con errores y los errores que desencadenaron los errores. | Microsoft Entra ID |
| Libro de MITRE ATT&CK | Proporciona detalles sobre la cobertura de MITRE ATT&CK para Microsoft Sentinel. | Manual de SOC |
| Office 365 | Proporciona conclusiones de Office 365 mediante el seguimiento y el análisis de todas las operaciones y actividades. Explore en profundidad los datos de SharePoint, OneDrive, Teams y Exchange. | Microsoft 365 |
| alertas de seguridad | Proporciona un panel de alertas de seguridad para las alertas del entorno de Microsoft Sentinel. Para más información, consulte Creación automática de incidentes a partir de alertas de seguridad de Microsoft. |
Manual de SOC |
| Eficiencia de las operaciones de seguridad | Diseñado para los administradores del centro de operaciones de seguridad (SOC) para ver las métricas de eficacia general y las medidas relacionadas con el rendimiento de su equipo. Para obtener más información, consulte Mejora en la administración de SOC con métricas de incidentes. |
Manual de SOC |
| Inteligencia sobre amenazas | Proporciona información sobre la ingesta de indicadores de amenazas. Busque indicadores a escala en las cargas de trabajo de Microsoft 1st party, 3rd party, on-premises, hybrid y multicloud. Para más información, consulte Inteligencia sobre amenazas en Microsoft Sentinel y nuestro blog de TechCommunity. |
Inteligencia sobre amenazas |
| Informe de uso del área de trabajo | Proporciona información sobre el uso del área de trabajo. Vea el consumo de datos, la latencia, las tareas recomendadas y las estadísticas de costo y uso del área de trabajo. | Informe de uso del área de trabajo |
| Confianza cero (TIC3.0) | Proporciona una visualización automatizada de los principios básicos de Confianza cero, que se cruzan con el marco de conexiones a Internet de confianza. Para obtener más información, consulte el blog de introducción del libro Confianza cero (TIC 3.0). |
Zero Trust (TIC 3.0) |