Compartir vía

Ingesta de alertas de Microsoft Defender for Cloud en Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel

Las protecciones de cargas de trabajo en la nube integradas de Microsoft Defender for Cloud permiten detectar las amenazas entre cargas de trabajo híbridas y de varias nubes, y responder rápidamente a ellas. El conector de Microsoft Defender for Cloud le permite realizar la ingesta de alertas de seguridad de Defender for Cloud en Microsoft Sentinel, para que pueda ver y analizar estas alertas, y responder a ellas, así como a los incidentes que generan, en un contexto de amenaza a la organización más amplio.

Los planes de Microsoft Defender for Cloud se habilitan por suscripción. Aunque el conector heredado de Microsoft Sentinel para Defender for Cloud Apps también se configura por suscripción, el conector de Microsoft Defender for Cloud basado en inquilinos, en la versión preliminar, permite recopilar alertas de Defender for Cloud en todo el inquilino sin tener que habilitar cada suscripción por separado. El conector basado en inquilinos también se usa con la integración de Defender for Cloud con Microsoft Defender XDR para garantizar que todas las alertas de Defender for Cloud estén totalmente incluidas en los incidentes que recibe mediante la integración de incidentes de Microsoft Defender XDR.

  • Sincronización de alertas:

    • Al conectar Microsoft Defender for Cloud a Microsoft Sentinel, el estado de las alertas de seguridad que se ingieren en Microsoft Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, esa alerta también se muestra como cerrada en Microsoft Sentinel.

    • Cambiar el estado de una alerta en Defender for Cloud no afectará al estado de ningún incidente de Microsoft Sentinel que contengan la alerta de Microsoft Sentinel, solo la de la propia alerta.

  • Sincronización de alertas bidireccionales: habilitar la sincronización bidireccional sincroniza automáticamente el estado de las alertas de seguridad originales con el de los incidentes de Microsoft Sentinel que contienen esas alertas. Por lo tanto, por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene alertas de seguridad, la alerta original correspondiente se cierra automáticamente en Microsoft Defender for Cloud.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Nota:

El conector no admite la sincronización de alertas de suscripciones que pertenecen a otros inquilinos, incluso cuando Lighthouse está habilitado para esos inquilinos.

Requisitos previos

  • Debe usar Microsoft Sentinel en Azure Portal. Si se incorpora a la plataforma de operaciones de seguridad unificadas (SecOps) de Microsoft, las alertas de Defender for Cloud ya se ingieren en XDR de Microsoft Defender y la conector de datos basado en inquilinos de Microsoft Defender for Cloud (versión preliminar) no aparece en la página Conectores de datos en el portal de Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

    Si se incorpora a la plataforma unificada de SecOps de Microsoft, todavía querrá instalar la solución Microsoft Defender for Cloud para usar contenido de seguridad integrado con Microsoft Sentinel.

    Si usa Microsoft Sentinel en el portal de Defender sin XDR de Microsoft Defender, este procedimiento sigue siendo relevante para usted.

  • Debe tener los siguientes roles y permisos:

    • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

    • Debe tener rol de colaborador o propietario en la suscripción que desea conectar a Microsoft Sentinel.

    • Para habilitar la sincronización bidireccional, debe tener el rol de Colaborador o Administrador de seguridad en la suscripción pertinente.

  • Deberá habilitar al menos un plan dentro de Microsoft Defender for Cloud para cada suscripción en la que quiera habilitar el conector. Para habilitar los planes de Microsoft Defender en una suscripción, debe tener el rol de Administrador de seguridad para esa suscripción.

  • Necesitará que el proveedor de recursos SecurityInsights se registre para cada suscripción en la que quiera habilitar el conector. Revise las instrucciones sobre el estado de registro del proveedor de recursos y las formas de registrarlo.

Conexión con Microsoft Defender for Cloud

  1. En Microsoft Sentinel, instale la solución para Microsoft Defender for Cloud desde el Centro de contenido. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

  2. Seleccione Configuración > Conectores de datos.

  3. En la página Conectores de datos, seleccione el conector de Microsoft Defender for Cloud (heredado) basado en suscripciones o el conector de Microsoft Defender for Cloud (versión preliminar) basado en inquilinos y, a continuación, seleccione Abrir página del conector.

  4. En Configuración, verá una lista de las suscripciones del inquilino y el estado de su conexión a Microsoft Defender for Cloud. Seleccione el botón de alternancia Estado situado junto a cada suscripción cuyas alertas quiera transmitir a Microsoft Sentinel. Para conectar varias suscripciones a la vez, marque las casillas situadas junto a las suscripciones pertinentes y, a continuación, seleccione el botón Conectar en la barra situada encima de la lista.

    • Las casillas y los botones de alternancia Conectar solo estarán activos en las suscripciones para las que tenga los permisos necesarios.
    • El botón Conectar solo estará activo si se ha marcado al menos una casilla de suscripción.

  5. Para habilitar la sincronización bidireccional en una suscripción, localice esa suscripción en la lista y elija Habilitado en la lista desplegable de la columna Sincronización bidireccional. Para habilitar la sincronización bidireccional en varias suscripciones a la vez, marque sus casillas y seleccione el botón Habilitar sincronización bidireccional en la barra situada encima de la lista.

    • Las casillas y listas desplegables solo están activas en las suscripciones para las que tiene los permisos necesarios.
    • El botón Habilitar sincronización bidireccional solo está activo si se ha marcado al menos una casilla de suscripción.

  6. En la columna Planes de Microsoft Defender de la lista, puede ver si los planes de Microsoft Defender están habilitados en la suscripción, que es un requisito previo para habilitar el conector.

    El valor de cada suscripción de esta columna está en blanco, lo que significa que no hay planes de Defender habilitados, Todos habilitados o Algunos habilitados. Los que dicen Algunos habilitados también tienen un vínculo Habilitar todos que puede seleccionar, que le llevará al panel de configuración de Microsoft Defender for Cloud para esa suscripción, donde puede elegir planes de Defender para habilitar.

    El botón del vínculo habilitar Microsoft Defender para todas las suscripciones de la barra situada encima de la lista le lleva a la página Introducción de Microsoft Defender for Cloud, donde puede elegir en qué suscripciones habilitar Microsoft Defender for Cloud por completo. Por ejemplo:

    Captura de pantalla de la configuración del conector de Microsoft Defender for Cloud.

  7. Puede seleccionar si quiere que las alertas de Microsoft Defender for Cloud generen incidentes automáticamente en Microsoft Sentinel. En Create incidents (Crear incidentes), seleccione Enabled (Habilitado) para activar la regla de análisis predeterminada que crea automáticamente incidentes a partir de alertas. Luego, puede editar esta regla en Análisis, en la pestaña Reglas activas.

    Sugerencia

    Cuando configure reglas de análisis personalizadas para las alertas de Microsoft Defender for Cloud, tenga en cuenta la gravedad de la alerta para evitar la apertura de incidentes para alertas informativas.

    Las alertas informativas de Microsoft Defender for Cloud no representan un riesgo de seguridad por sí mismas y solo son importantes en el contexto de un incidente abierto existente. Para más información, consulte Alertas e incidentes de seguridad en Microsoft Defender for Cloud.

Búsqueda y análisis de los datos

Las alertas de seguridad se almacenan en la tabla SecurityAlert del área de trabajo de Log Analytics. Para consultar las alertas de seguridad en Log Analytics, copie lo siguiente en la ventana de consulta como punto de partida:

SecurityAlert 
| where ProductName == "Azure Security Center"

La sincronización de alertas en ambas direcciones puede tardar varios minutos. Es posible que los cambios en el estado de las alertas no aparezcan inmediatamente.

Consulte la pestaña Próximos pasos en la página del conector para obtener más consultas de muestra útiles, plantillas de reglas de análisis y libros de trabajo recomendados.

Contenido relacionado

En este documento, ha aprendido a conectar Microsoft Defender for Cloud a Microsoft Sentinel y a sincronizar alertas entre ellas. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos: