Cuándo usar Microsoft Sentinel

  • 4 minutos

Microsoft Sentinel es una solución para realizar operaciones de seguridad en entornos locales y en la nube.

Use Microsoft Sentinel si quiere:

  • Recopilar datos de eventos de varios orígenes
  • Realizar operaciones de seguridad en esos datos para identificar actividades sospechosas

Las operaciones de seguridad podrían incluir las siguientes:

  • Visualización de datos de registro
  • Detección de anomalías
  • Búsqueda de amenazas
  • Investigación de incidentes de seguridad
  • Respuesta automatizada a alertas o incidentes

Microsoft Sentinel ofrece otras funcionalidades que pueden ayudarle a decidir si es la solución adecuada:

  • SIEM nativa de nube: no hay que aprovisionar servidores, se escala con facilidad.
  • Integración con el servicio Azure Logic Apps y sus cientos de conectores.
  • Se aprovecha la investigación y el aprendizaje automático de Microsoft.
  • Se proporcionan orígenes de registro clave de forma gratuita.
  • Compatibilidad con entornos de nube híbrida y locales.
  • SIEM y un lago de datos todo en uno.

Cuando comenzó a investigar Microsoft Sentinel, la organización tenía algunos requisitos claros:

  • Compatibilidad con datos de varios entornos de nube
  • Características y funcionalidad necesarias para un centro de operaciones de seguridad (SOC), sin demasiada sobrecarga administrativa

Ha descubierto que Microsoft Sentinel podría ser una buena opción. Ofrece conectores de datos para syslog, Amazon Web Services (AWS) y otros orígenes, así como la capacidad de escalar sin esfuerzo y sin necesidad de aprovisionar servidores. Durante el análisis, también se ha dado cuenta de que su organización debe convertir la automatización en una parte clave de su estrategia de SOC. La automatización no era algo que la organización estudió antes, pero ahora lo analizaremos usando los cuadernos de estrategias de automatización.

Si va a recopilar registros de infraestructura o aplicación con fines de supervisión de rendimiento, también debe considerar la posibilidad de usar Azure Monitor y Azure Log Analytics para ese fin.

Y quizás quiera comprender la postura de seguridad de su entorno, asegurarse de que cumple con la directiva y comprobar si hay configuraciones inactivas de seguridad. Si es así, considere también el uso de Microsoft Defender for Cloud. Puede ingerir alertas de Defender for Cloud como conector de datos para Microsoft Sentinel.