Inteligencia sobre amenazas para servidores habilitados para Azure Arc con Microsoft Sentinel
Los analistas de SOC (Centro de operaciones de seguridad) de Tailwind Traders tienen problemas para evaluar su entorno con las distintas soluciones SIEM y SOAR. En esta unidad, aprenderá a usar servidores habilitados para Azure Arc con Microsoft Sentinel, una solución SIEM y SOAR que se mantiene al día con el entorno híbrido y multinube.
Introducción a Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) escalable y nativa de la nube. Microsoft Sentinel ofrece inteligencia sobre amenazas en toda la empresa, lo que proporciona una única solución para la detección de ataques, la búsqueda proactiva y la respuesta a amenazas.
Microsoft Azure Sentinel permite obtener una vista general de toda la empresa, lo que suaviza la tensión de ataques cada vez más sofisticados, volúmenes de alertas cada vez mayores y plazos de resolución largos.
- Recopile datos a escala de nube de todos los usuarios, dispositivos, aplicaciones y de toda la infraestructura, tanto en el entorno local como en diversas nubes.
- Detecte amenazas que antes no se detectaban y minimice los falsos positivos mediante el análisis y la inteligencia sobre amenazas sin precedentes de Microsoft.
- Investigue amenazas con inteligencia artificial y busque actividades sospechosas a gran escala, aprovechando el trabajo de ciberseguridad que ha llevado a cabo Microsoft durante décadas.
- Responda a los incidentes con rapidez con la orquestación y la automatización de tareas comunes integradas.
Conectar datos
Para incorporar Microsoft Sentinel, primero debe conectarse a los orígenes de seguridad.
Microsoft Sentinel incluye varios conectores para soluciones de Microsoft, que están disponibles inmediatamente y proporcionan integración en tiempo real. Entre los conectores de Microsoft Sentinel listos para usar se incluyen orígenes de Microsoft 365, Microsoft Entra ID, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps. Además, hay conectores integrados al amplio ecosistema de seguridad para soluciones que no son de Microsoft.
Los conectores de datos pertinentes para servidores habilitados para Azure Arc pueden incluir eventos de seguridad mediante el agente antiguo, eventos de Seguridad de Windows a través de LAN o Syslog.
Libros y análisis
Después de que haya conectado los orígenes de datos a Microsoft Sentinel, puede supervisar los datos mediante la integración de Microsoft Sentinel con los libros de Azure Monitor, lo que proporciona versatilidad al crear libros personalizados. Microsoft Sentinel también incluye plantillas de libro integradas que le permiten obtener rápidamente conclusiones sobre los datos en cuanto se conecta a un origen de datos.
Para ayudarle a minimizar el número de alertas que debe investigar, Microsoft Sentinel usa análisis a fin de poner en correlación las alertas con incidentes. Los incidentes son grupos de alertas relacionadas que crean conjuntamente una posible amenaza procesable que se puede investigar y resolver. Use las reglas de correlación integrada tal cual, o úselas como punto de partida para crear las suyas propias. Microsoft Azure Sentinel también proporciona reglas de aprendizaje automático para asignar el comportamiento de red y buscar luego anomalías en los recursos.
Automatización y orquestación de seguridad
Puede automatizar las tareas comunes y simplificar la orquestación de la seguridad con cuadernos de estrategias que se integran con los servicios de Azure y sus herramientas actuales.
Con Azure Logic Apps, la solución de automatización y orquestación de Microsoft Sentinel es extensible, escalable y modernizada. Para crear cuadernos de estrategias con Azure Logic Apps, puede elegir de una galería creciente de cuadernos de estrategias integrados. Estos incluyen más de 200 conectores para servicios, como Azure Functions. Los conectores permiten aplicar cualquier lógica personalizada en el código, ServiceNow, Jira, Zendesk, solicitudes HTTP, Microsoft Teams, Slack, Windows Defender ATP y Defender for Cloud Apps.
Búsqueda y cuadernos
Use las eficaces herramientas de búsqueda y consulta de Microsoft Sentinel, basadas en el marco MITRE, para buscar de forma proactiva amenazas de seguridad en todos los orígenes de datos de la organización, antes de que se desencadene una alerta. Después de descubrir qué consulta de búsqueda proporciona información importante sobre los ataques, también puede crear reglas de detección personalizadas basadas en la consulta y mostrar esa información en forma de alertas a los responsables de tomar medidas ante incidentes de seguridad. Durante la búsqueda puede crear marcadores para los eventos interesantes. De este modo, podrá volver a ellos más tarde, compartirlos con otros usuarios y agruparlos con otros eventos correlacionados para crear un incidente acuciante que requiere investigación.
Microsoft Azure Sentinel admite cuadernos de Jupyter en áreas de trabajo de Azure Machine Learning, incluidas las bibliotecas completa para el aprendizaje automático, la visualización y el análisis de datos. Puede usar cuadernos en Microsoft Sentinel para ampliar el alcance de lo que puede hacer con los datos de Microsoft Sentinel. Por ejemplo, puede realizar análisis que no están integrados en Microsoft Sentinel, como algunas características de aprendizaje automático de Python, crear visualizaciones de datos que no están integradas en Microsoft Sentinel, como escalas de tiempo personalizadas y árboles de proceso, o bien integrar orígenes de datos que están fuera de Microsoft Sentinel, como un conjunto de datos del entorno local.