Implementación de Azure Sentinel

Completado

Además de evaluar y solucionar los problemas con la configuración de seguridad del entorno híbrido, Contoso también debe supervisar los problemas y amenazas nuevos, y responder a ellos de forma adecuada. Azure Sentinel es una solución de SIEM y SOAR diseñada para entornos híbridos.

Nota:

Las soluciones de SIEM proporcionan almacenamiento y análisis de registros, eventos y alertas que otros sistemas generan, y se pueden configurar estas soluciones para generar sus propias alertas. Las soluciones de SOAR admiten la corrección de vulnerabilidades y la automatización general de los procesos de seguridad.

¿Qué es Sentinel?

Sentinel satisface las necesidades de las soluciones de SIEM y SOAR a través de lo siguiente:

• Recopilación de datos de los usuarios, dispositivos, aplicaciones e infraestructura, tanto locales como basados en la nube
• Uso de IA para identificar actividades sospechosas
• Detección de amenazas con menos falsos positivos
• Respuesta a los incidentes de forma rápida y automática

Requisitos previos para Sentinel

Para habilitar Sentinel, necesitará lo siguiente:

• Un área de trabajo de Log Analytics.

  Sugerencia

  Sentinel no puede usar la misma área de trabajo de Log Analytics que Microsoft Defender for Cloud.

• Permisos de colaborador o superior en la suscripción y el grupo de trabajo para el área de trabajo de Sentinel.

• Permisos adecuados en los recursos que se van a conectar a Sentinel.

Conexiones de datos

Sentinel puede conectarse de forma nativa a Microsoft Defender for Cloud, lo que proporciona cobertura para los servidores locales y en la nube. Además, la compatibilidad con la conexión de datos de Sentinel incluye lo siguiente:

• Conexiones de servicio a servicio nativas. Azure Sentinel se integra de forma nativa con estos servicios, los que son de Azure y los que no lo son:
  • Registros de actividad de Azure
  • Registros de auditoría de Microsoft Entra
  • Protección de Microsoft Entra ID
  • Azure Advanced Threat Protection (Azure ATP)
  • AWS CloudTrail
  • Microsoft Cloud App Security
  • Servidores DNS
  • Microsoft 365
  • ATP de Defender
  • Firewall de aplicaciones web de Microsoft
  • Firewall de Windows Defender
  • Eventos de seguridad de Windows
• Conexiones de soluciones externas a través de las API. Sentinel puede conectarse a los orígenes de datos a través de las API para las siguientes soluciones:
  • Barracuda
  • Barracuda CloudGen Firewall
  • Citrix Analytics para seguridad
  • F5 BIG-IP
  • Forcepoint DLP
  • Squadra Technologies secRMM
  • Symantec ICDx
  • Zimperium
• Conexiones de soluciones externas a través de un agente. Sentinel puede conectarse a través de un agente a los orígenes de datos que admiten el protocolo Syslog. El agente de Sentinel puede instalarse directamente en dispositivos o en un servidor Linux que pueda recibir eventos de otros dispositivos. La compatibilidad con la conexión a través de un agente incluye los siguientes dispositivos y soluciones:
  • Firewalls, servidores proxy de Internet y puntos de conexión
  • Soluciones de prevención de pérdida de datos (DLP)
  • Máquinas DNS
  • Servidores Linux
  • Otros proveedores de nube

Permisos

El acceso en Sentinel se administra a través de roles de control de acceso basado en rol (RBAC). Estos roles le ofrecen la posibilidad de administrar lo que los usuarios pueden observar y realizar en Sentinel:

• Roles globales. Los roles globales integrados en Azure: Propietario, Colaborador y Lector otorgan acceso a todos los recursos de Azure, incluidos Sentinel y Log Analytics.
• Roles específicos de Sentinel. Los roles integrados específicos de Sentinel son los siguientes:
  • Lector de Azure Sentinel. Este rol puede obtener datos, incidentes, paneles e información sobre los recursos de Sentinel.
  • Respondedor de Azure Sentinel. Este rol tiene todas las capacidades del rol Lector de Azure Sentinel y también puede administrar incidentes.
  • Colaborador de Azure Sentinel. Además de las capacidades del rol Respondedor de Azure Sentinel, este rol puede crear y editar paneles, reglas de análisis y otros recursos de Sentinel.
• Otros roles. Colaborador de Log Analytics y Lector de Log Analytics son roles integrados específicos de Log Analytics. Estos roles otorgan permisos solo para el área de trabajo de Log Analytics. Si no tiene los roles globales Colaborador o Propietario, necesitará el rol Colaborador de aplicaciones lógicas para crear y ejecutar cuadernos de estrategias en respuesta a las alertas.

Implementación de Azure Sentinel

Para implementar Sentinel, realice lo siguiente:

1. En Azure Portal, busque y seleccione Azure Sentinel.
2. En la hoja Áreas de trabajo de Azure Sentinel, seleccione Conectar área de trabajo y, después, elija el área de trabajo adecuada.
3. Seleccione Agregar Azure Sentinel. El área de trabajo se modifica para incluir Sentinel.
4. En la hoja Azure Sentinel, en News & guides (Novedades y guías), seleccione la pestaña Introducción.
5. Seleccione Conectar para empezar a recopilar datos.
6. Seleccione el conector adecuado. Por ejemplo, seleccione Microsoft Defender for Cloud.
7. Seleccione Open connector page (Abrir página del conector).
8. Revise la información sobre los requisitos previos y, cuando esté a punto, seleccione Conectar.

¿Qué es SIEM?

Las soluciones de SIEM almacenan y analizan los datos de registro que proceden de orígenes externos. Puede conectar orígenes de datos desde Azure y orígenes externos de su organización, incluidos recursos locales. Después, Azure Sentinel proporciona un panel predeterminado que permite analizar y visualizar esos eventos. El panel muestra datos sobre el número de eventos que ha recibido, el número de alertas generadas a partir de esos datos y el estado de los incidentes creados a partir de esas alertas.

Sentinel usa detecciones integradas y personalizadas para alertarle de posibles amenazas de seguridad, como los intentos de acceso a recursos de Contoso desde fuera de su organización o el posible envío de datos de Contoso a una dirección IP malintencionada conocida. También permite crear incidentes en función de estas alertas.

Sentinel proporciona libros integrados y personalizados para ayudarle a analizar los datos entrantes. Los libros son informes interactivos que incluyen consultas de registro, texto, métricas y otros datos. Las reglas de creación de incidentes de Microsoft permiten crear incidentes a partir de alertas que generan otros servicios como Microsoft Defender for Cloud.

Para implementar la función de SIEM en Sentinel, haga lo siguiente:

• Habilite Azure Sentinel.
• Cree una conexión de datos.
• Cree una regla personalizada que genere una alerta.

¿Qué es SOAR?

Las soluciones de SOAR permiten administrar u organizar el análisis de los datos que ha recopilado sobre amenazas de seguridad, coordinar su respuesta a esas amenazas y crear respuestas automatizadas. Las capacidades de SOAR de Azure Sentinel están estrechamente relacionadas con su función de SIEM.

Utilice los procedimientos recomendados siguientes para implementar SOAR en Sentinel:

• Al crear reglas de análisis que generan alertas, también se configuran para crear incidentes.
• Use los incidentes para administrar el proceso de investigación y respuesta.
• Agrupe las alertas relacionadas en un incidente.

Investigación de incidentes

En Sentinel, puede revisar cuántos incidentes están abiertos, en cuántos se está trabajando y cuántos están cerrados. Incluso puede volver a abrir incidentes cerrados. Puede obtener los detalles de un incidente, como cuándo se ha producido y su estado. También puede agregar notas a un incidente y cambiar su estado, para que el progreso sea más fácil de entender. Los incidentes se pueden asignar a usuarios específicos.

Respuesta a alertas con cuadernos de estrategias de seguridad

Sentinel permite usar cuadernos de estrategias de seguridad para responder a las alertas. Los cuadernos de estrategias de seguridad son colecciones de procedimientos basados en Azure Logic Apps que se ejecutan en respuesta a una alerta. Puede ejecutar estos cuadernos de estrategias de seguridad de forma manual en respuesta a la investigación de un incidente, o bien puede configurar una alerta para que ejecute automáticamente un cuaderno de estrategias.

Otras lecturas

Para obtener más información, consulte los documentos siguientes:

• Permisos de Azure Sentinel
• Introducción: ¿Qué es Azure Logic Apps?
• Inicio rápido: Incorporación de Azure Sentinel
• Tutorial: Creación de reglas de análisis personalizadas para detectar amenazas sospechosas