Conexión de Microsoft Sentinel al portal de Microsoft Defender

• Se aplica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada (SecOps) de Microsoft en el portal de Microsoft Defender. Al incorporar Microsoft Sentinel al portal de Defender con Microsoft Defender XDR, unifica funcionalidades como la administración de incidentes y la búsqueda avanzada. Reduzca el cambio de herramientas y cree una investigación más centrada en el contexto que agilice la respuesta a incidentes y detenga las infracciones más rápido. Para más información, vea:

• Entrada de blog: Disponibilidad general de la plataforma de operaciones de seguridad unificada de Microsoft
• Entrada de blog: Preguntas más frecuentes sobre la plataforma de operaciones de seguridad unificadas
• Microsoft Sentinel en el portal de Microsoft Defender
• integración Microsoft Defender XDR con Microsoft Sentinel

En versión preliminar, Microsoft Sentinel está disponible en el portal de Defender sin Microsoft Defender XDR ni una licencia E5.

Requisitos previos

Antes de empezar, revise la documentación de características para comprender los cambios y limitaciones del producto.

• Microsoft Sentinel en el portal de Microsoft Defender
• Búsqueda avanzada de amenazas en el portal de Microsoft Defender
• Alertas, incidentes y correlación en Microsoft Defender XDR
• Automatización con la plataforma de operaciones de seguridad unificadas

El portal de Microsoft Defender admite un único inquilino Microsoft Entra y la conexión a un área de trabajo a la vez. En el contexto de este artículo, un área de trabajo es un área de trabajo de Log Analytics con Microsoft Sentinel habilitado.

Microsoft Sentinel requisitos previos

Para incorporar y usar Microsoft Sentinel en el portal de Defender, debe tener los siguientes recursos y acceso:

• Un área de trabajo de Log Analytics que tiene Microsoft Sentinel habilitado

• El conector de datos para Microsoft Defender XDR habilitado en Microsoft Sentinel para incidentes y alertas. Instale la solución Defender XDR y configure el conector de datos para conectar Microsoft Sentinel al portal de Defender. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.

• Una cuenta de Azure con los roles adecuados para incorporar, usar y crear solicitudes de soporte técnico para Microsoft Sentinel en el portal de Defender. En la tabla siguiente se resaltan algunos de los roles clave necesarios.

  Tarea	Microsoft Entra o rol integrado de Azure requerido	Ámbito
  Incorporación de Microsoft Sentinel al portal de Defender	Administrador global o administrador de seguridad en Microsoft Entra ID	Tenant
  Conexión o desconexión de un área de trabajo con Microsoft Sentinel habilitado	Propietario o administrador de acceso de usuario y colaborador de Microsoft Sentinel	- Suscripción para roles de propietario o administrador de acceso de usuario: suscripción, grupo de recursos o recurso de área de trabajo para Microsoft Sentinel colaborador
  Ver Microsoft Sentinel en el portal de Defender	Lector de Microsoft Sentinel	Suscripción, grupo de recursos o recurso de área de trabajo
  Consulta Sentinel tablas de datos o visualización de incidentes	Microsoft Sentinel Lector o un rol con las siguientes acciones: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Suscripción, grupo de recursos o recurso de área de trabajo
  Realizar acciones de investigación sobre incidentes	Microsoft Sentinel colaborador o un rol con las siguientes acciones: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Suscripción, grupo de recursos o recurso de área de trabajo
  Crear una solicitud de soporte técnico	Propietario , colaborador o colaborador de la solicitud de soporte técnico o un rol personalizado con Microsoft.Support/*	Suscripción

  Después de conectar Microsoft Sentinel al portal de Defender, los permisos de control de acceso basado en rol (RBAC) de Azure existentes le permiten trabajar con las características de Microsoft Sentinel a las que tiene acceso. Siga administrando roles y permisos para los usuarios de Microsoft Sentinel desde el Azure Portal. Los cambios de RBAC de Azure se reflejan en el portal de Defender. Para obtener más información sobre los permisos de Microsoft Sentinel, consulte Roles y permisos en Microsoft Sentinel | Microsoft Learn y Administrar el acceso a Microsoft Sentinel datos por recurso | Microsoft Learn.

Requisitos previos unificados de la plataforma SecOps de Microsoft

Para unificar las funcionalidades con Defender XDR en la plataforma unificada de SecOps de Microsoft, debe tener los siguientes recursos y acceso:

• Licencias para Defender XDR, como se describe en Microsoft Defender XDR requisitos previos
• La cuenta de Defender XDR es miembro del mismo inquilino de Microsoft Entra con el que está asociado Microsoft Sentinel
• Acceso a Microsoft Defender XDR en el portal de Defender, como se describe en Microsoft Defender XDR requisitos previos

Incorporación de Microsoft Sentinel

Para conectar un área de trabajo de Microsoft Sentinel al portal de Defender, complete los pasos siguientes. Si va a incorporar Microsoft Sentinel sin Defender XDR (versión preliminar), hay un paso adicional para desencadenar la conexión con Microsoft Sentinel y el portal de Defender.

1. Vaya al portal de Microsoft Defender e inicie sesión.

2. Para incorporar Microsoft Sentinel sin Defender XDR en el portal de Defender:

   1. Para desencadenar la conexión con Microsoft Sentinel, seleccione Investigación & respuesta>Incidentes.
   2. Espere unos minutos a que se complete la conexión.

3. En el portal de Defender, seleccione Información general.

4. Seleccione Conectar un área de trabajo.

5. Elija el área de trabajo que desea conectar y seleccione Siguiente.

6. Lea y comprenda los cambios de producto asociados a la conexión del área de trabajo. Estos cambios incluyen:

   • Las tablas de registro, las consultas y las funciones del área de trabajo de Microsoft Sentinel también están disponibles en la búsqueda avanzada en el portal de Defender.
   • El rol colaborador de Microsoft Sentinel se asigna a las aplicaciones Microsoft Threat Protection y WindowsDefenderATP dentro de la suscripción.
   • Las reglas activas de creación de incidentes de seguridad de Microsoft se desactivan para evitar incidentes duplicados. Este cambio solo se aplica a las reglas de creación de incidentes para las alertas de Microsoft y no a otras reglas de análisis.
   • Todas las alertas relacionadas con Defender XDR productos se transmiten directamente desde el conector de datos principal Defender XDR para garantizar la coherencia. Asegúrese de que tiene incidentes y alertas de este conector activados en el área de trabajo.

7. Seleccione Conectar.

Una vez conectado el área de trabajo, el banner de la página Información general muestra que el entorno está listo. La página Información general se actualiza con nuevas secciones que incluyen métricas de Microsoft Sentinel como el número de conectores de datos y las reglas de automatización.

Exploración de características Microsoft Sentinel en el portal de Defender

Después de conectar el área de trabajo al portal de Defender, Microsoft Sentinel se encuentra en el panel de navegación izquierdo. Si tiene Defender XDR habilitado, páginas como Información general, Incidentes y Búsqueda avanzada tienen datos unificados de Microsoft Sentinel y Defender XDR. Si no tiene habilitado Defender XDR, estas páginas solo incluyen datos de Microsoft Sentinel (versión preliminar). Para obtener más información sobre las funcionalidades unificadas y las diferencias entre los portales, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Muchas de las características de Microsoft Sentinel existentes se integran en el portal de Defender. Para estas características, observe que la experiencia entre Microsoft Sentinel en el portal de Azure Portal y Defender es similar. Use los siguientes artículos para ayudarle a empezar a trabajar con Microsoft Sentinel en el portal de Defender. Al usar estos artículos, tenga en cuenta que el punto de partida en este contexto es el portal de Defender en lugar de la Azure Portal.

• Búsqueda
  • Búsqueda en intervalos de tiempo largos en conjuntos de datos grandes
  • Restauración de registros archivados desde la búsqueda
• Administración de amenazas
  • Visualización y supervisión de los datos mediante libros
  • Realización de búsqueda de amenazas de un extremo a otro con cazas
  • Uso de marcadores de búsqueda para investigaciones de datos
  • Uso de livestream de búsqueda en Microsoft Sentinel para detectar amenazas
  • Búsqueda de amenazas de seguridad con cuadernos de Jupyter Notebook
  • Adición masiva de indicadores a Microsoft Sentinel inteligencia sobre amenazas desde un archivo CSV o JSON
  • Trabajar con indicadores de amenazas en Microsoft Sentinel
  • Descripción de la cobertura de seguridad por parte del marco de trabajo de MITRE ATT&CK
• Administración de contenido
  • Detección y administración de Microsoft Sentinel contenido integrado
  • catálogo del centro de contenido de Microsoft Sentinel
  • Implementación de contenido personalizado desde el repositorio
• Configuración
  • Búsqueda del conector de datos de Microsoft Sentinel
  • Creación de reglas de análisis personalizadas para detectar amenazas
  • Trabajar con reglas de análisis de detección casi en tiempo real (NRT) en Microsoft Sentinel
  • Creación de listas de reproducción
  • Administración de listas de reproducción en Microsoft Sentinel
  • Creación de reglas de automatización
  • Creación y personalización de cuadernos de estrategias de Microsoft Sentinel a partir de plantillas de contenido

Busque Microsoft Sentinel configuración en el portal de Defender enConfiguración>del sistema>Microsoft Sentinel.

Offboard Microsoft Sentinel

Solo puede tener un área de trabajo conectada al portal de Defender a la vez. Si desea conectarse a un área de trabajo diferente que tenga Microsoft Sentinel habilitada, desconecte el área de trabajo actual y conecte la otra área de trabajo.

1. Vaya al portal de Microsoft Defender e inicie sesión.

2. En el portal de Defender, en Sistema, seleccione Configuración>Microsoft Sentinel.

3. En la página Áreas de trabajo , seleccione el área de trabajo conectada y Desconectar área de trabajo.

4. Proporcione un motivo por el que está desconectando el área de trabajo.

5. Confirme la selección.

   Cuando el área de trabajo está desconectada, la sección Microsoft Sentinel se quita de la navegación del lado izquierdo del portal de Defender. Los datos de Microsoft Sentinel ya no se incluyen en la página Información general.

Si desea conectarse a un área de trabajo diferente, en la página Áreas de trabajo, seleccione el área de trabajo y Conectar un área de trabajo.

Contenido relacionado

• Microsoft Sentinel en el portal de Microsoft Defender
• Búsqueda avanzada de amenazas en el portal de Microsoft Defender
• Interrupción automática de ataques en Microsoft Defender XDR
• Investigación de incidentes en Microsoft Defender portal
• Optimización de las operaciones de seguridad