Microsoft Sentinel en el portal de Microsoft Defender
En este artículo se describe la experiencia de Microsoft Sentinel en el portal de Microsoft Defender. Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender con Microsoft Defender XDR. Para más información, vea:
- Entrada de blog: Disponibilidad general de la plataforma de operaciones de seguridad unificadas de Microsoft
- Entrada de blog: preguntas más frecuentes sobre la plataforma unificada de operaciones de seguridad
- Conexión de Microsoft Sentinel a Microsoft Defender XDR
- Compatibilidad con características de Microsoft Sentinel para nubes comerciales y otras nubes de Azure
Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5.
Funcionalidades nuevas y mejoradas
En la tabla siguiente se describen las funcionalidades nuevas o mejoradas disponibles en el portal de Defender con la integración de Microsoft Sentinel. Microsoft sigue innovando en esta nueva experiencia con características que podrían ser exclusivas del portal de Defender.
Capabilities | Descripción |
---|---|
Búsqueda avanzada | Consulta desde un único portal en distintos conjuntos de datos para que la búsqueda sea más eficaz y no sea necesario cambiar de contexto. Use Security Copilot para ayudar a generar KQL. Visualización y consulta de todos los datos, incluidos los datos de los servicios de seguridad de Microsoft y Microsoft Sentinel. Uso de todo el contenido del área de trabajo de Microsoft Sentinel existente, incluidas las consultas y las funciones. Vea los siguientes artículos para más información: - Búsqueda avanzada de amenazas en el portal de Microsoft Defender - Security Copilot en la búsqueda avanzada |
Optimizaciones de SOC | Obtenga recomendaciones útiles y de alta fidelidad para ayudarle a identificar las áreas a las que: - Reducir los costos - Añadir controles de seguridad - Añadir los datos que faltan Las optimizaciones de SOC están disponibles en Defender y Azure Portal, se adaptan a su entorno y se basan en la cobertura actual y el panorama de amenazas. Vea los siguientes artículos para más información: - Optimizar las operaciones de seguridad - Referencia de optimización de SOC de recomendaciones |
Microsoft Copilot en Microsoft Defender | Al investigar incidentes en el portal de Defender, - Resumen de incidentes - Análisis de scripts - Análisis de archivos - Crear informes de incidentes Al buscar amenazas en la búsqueda avanzada, cree consultas KQL listas para ejecutarse mediante el asistente de consultas. Para obtener más información, consulte Microsoft Security Copilot en la búsqueda avanzada. |
En la tabla siguiente se describen las funcionalidades adicionales disponibles en el portal de Defender con la integración de Microsoft Sentinel y Microsoft Defender XDR como parte de la plataforma de operaciones de seguridad unificada de Microsoft.
Capabilities | Descripción |
---|---|
Interrupción de ataques | Implemente la interrupción automática de ataques para SAP con el portal de Defender y la solución Microsoft Sentinel para aplicaciones SAP. Por ejemplo, contenga los activos en peligro bloqueando usuarios de SAP sospechosos en caso de un ataque de manipulación de procesos financieros. Las funcionalidades de interrupción de ataques para SAP solo están disponibles en el portal de Defender. Para usar la interrupción de ataques para SAP, actualice la versión del agente del conector de datos y asegúrese de que el rol de Azure correspondiente esté asignado a la identidad del agente. Para obtener más información, consulte Interrupción automática de ataques para SAP. |
Entidades unificadas | Las páginas de entidad para dispositivos, usuarios, direcciones IP y recursos de Azure en el portal de Defender muestran información de los orígenes de datos de Microsoft Sentinel y Defender. Estas páginas de entidad proporcionan un contexto expandido para las investigaciones de incidentes y alertas en el portal de Defender. Para obtener más información, consulte Investigación de entidades con páginas de entidad en Microsoft Sentinel. |
Incidentes unificados | Administre e investigue incidentes de seguridad en una sola ubicación y desde una sola cola en el portal de Defender. Use Security Copilot para resumir, responder e informar. Los incidentes incluyen: - Datos de diferentes orígenes - Herramientas de análisis de inteligencia artificial de la administración de eventos e información de seguridad (SIEM) - Herramientas de contexto y mitigación ofrecidas por la detección y respuesta extendidas (XDR) Vea los siguientes artículos para más información: - Respuesta a incidentes en el portal de Microsoft Defender - Investigación de incidentes de Microsoft Sentinel en Security Copilot |
Microsoft Copilot en Microsoft Defender | Al investigar incidentes con Microsoft Sentinel integrado con Microsoft Defender XDR, - Evaluar e investigar incidentes con respuestas guiadas - Resumir la información del dispositivo - Resumir la información de identidad Resumir las amenazas pertinentes que afectan a su entorno, para priorizar la resolución de amenazas en función de los niveles de exposición, o para encontrar actores de amenazas que podrían dirigirse a su sector mediante Security Copilot en inteligencia sobre amenazas. Para obtener más información, consulte Uso de Microsoft Security Copilot para la inteligencia sobre amenazas. |
Diferencias de funcionalidad entre portales
La mayoría de las funcionalidades de Microsoft Sentinel están disponibles en los portales de Azure y Defender. En el portal de Defender, algunas experiencias de Microsoft Sentinel se abren en Azure Portal para que complete una tarea.
En esta sección se tratan las funcionalidades o integraciones de Microsoft Sentinel que solo están disponibles en Azure Portal o en el portal de Defender, u otras diferencias significativas entre los portales. Excluye las experiencias de Microsoft Sentinel que abren Azure Portal desde el portal de Defender.
Funcionalidad | Disponibilidad | Descripción |
---|---|---|
Búsqueda avanzada mediante marcadores | Azure Portal solamente | Los marcadores no se admiten en la experiencia de búsqueda avanzada en el portal de Microsoft Defender. En el portal de Defender, se admiten en la Administración de amenazas> Microsoft Sentinel> Búsqueda. Para obtener más información, consulte Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel. |
Interrupción de ataques para SAP | Portal de Defender solo con Defender XDR | Esta funcionalidad no está disponible en Azure Portal. Para obtener más información, consulte Interrupción automática de ataques en el portal de Microsoft Defender. |
Automation | Algunos procedimientos de automatización solo están disponibles en Azure Portal. Otros procedimientos de automatización son los mismos en el portal de Defender y Azure Portal, pero difieren en Azure Portal entre las áreas de trabajo que están incorporadas al portal de Defender y las áreas de trabajo que no lo están. |
Para más información, consulte Automatización con la plataforma unificada de operaciones de seguridad. |
Conectores de datos: visibilidad de los conectores usados por la plataforma unificada de operaciones de seguridad | Azure Portal solamente | En el portal de Defender, después de incorporar Microsoft Sentinel, los siguientes conectores de datos que forman parte de la plataforma unificada de operaciones de seguridad no se muestran en la página Conectores de datos: En Azure Portal, estos conectores de datos siguen apareciendo con los conectores de datos instalados en Microsoft Sentinel. |
Entidades: agregar entidades a la inteligencia sobre amenazas de incidentes | Azure Portal solamente | Esta funcionalidad no está disponible en el portal de Defender. Para obtener más información, consulte Agregar entidad a los indicadores de amenazas. |
Fusión: detección avanzada de ataques de varias fases | Azure Portal solamente | La regla de análisis de Fusion, que crea incidentes basados en correlaciones de alertas realizadas por el motor de correlación de Fusion, se deshabilita al incorporar Microsoft Sentinel al portal de Defender. El portal de Defender usa las funcionalidades de creación y correlación de incidentes de Microsoft Defender XDR para reemplazar las del motor de Fusion. Para obtener más información, consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel |
Incidentes: Adición de alertas a incidentes/ Eliminación de alertas de incidentes |
Solo portal de Defender | Después de incorporar Microsoft Sentinel al portal de Defender, ya no es posible agregar ni quitar alertas de incidentes en Azure Portal. Es posible quitar una alerta de un incidente en el portal de Defender, pero solo vinculando la alerta a otro incidente (existente o nuevo). |
Incidentes: edición de comentarios | Azure Portal solamente | Después de incorporar Microsoft Sentinel al portal de Defender, es posible agregar comentarios a incidentes en cualquier portal, pero no es posible editar los comentarios existentes. Las modificaciones realizadas en los comentarios de Azure Portal no se sincronizan con el portal de Defender. |
Incidentes: creación mediante programación y manual de incidentes | Azure Portal solamente | Los incidentes creados en Microsoft Sentinel a través de la API, mediante un cuaderno de estrategias de aplicación lógica o manualmente desde Azure Portal, no se sincronizan con el portal de Defender. Estos incidentes siguen siendo compatibles con Azure Portal y la API. Consulte Creación manual de incidentes propios en Microsoft Sentinel. |
Incidentes: volver a abrir incidentes cerrados | Azure Portal solamente | En el portal de Defender, no se puede establecer la agrupación de alertas en reglas de análisis de Microsoft Sentinel para volver a abrir incidentes cerrados si se agregan nuevas alertas. Los incidentes cerrados no se vuelven a abrir en este caso y las nuevas alertas desencadenan nuevos incidentes. |
Incidentes: Tareas | Azure Portal solamente | Las tareas no están disponibles en el portal de Defender. Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel. |
Administración de varias áreas de trabajo para Microsoft Sentinel | Portal de Defender: limitado a un área de trabajo de Microsoft Sentinel por inquilino Azure Portal: administración centralizada de varias áreas de trabajo de Microsoft Sentinel para inquilinos |
Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en el portal de Defender. Por lo tanto, la administración multiinquilino de Microsoft Defender admite un área de trabajo de Microsoft Sentinel por inquilino. Vea los siguientes artículos para más información: - Portal de Defender: administración multiinquilino de Microsoft Defender - Azure Portal: administrar varias áreas de trabajo de Microsoft Sentinel con el administrador de áreas de trabajo |
Funcionalidades limitadas o no disponibles
Al incorporar Microsoft Sentinel al portal de Defender sin Defender XDR u otros servicios habilitados, las siguientes características que se muestran en el portal de Defender están actualmente limitadas o no están disponibles.
Funcionalidad | Servicio necesario |
---|---|
Administración de exposición | Administración de exposición de seguridad de Microsoft |
Reglas de detección personalizadas | Microsoft Defender XDR |
Centro de actividades | Microsoft Defender XDR |
Las siguientes limitaciones también se aplican a Microsoft Sentinel en el portal de Defender sin Defender XDR ni otros servicios habilitados:
- Los nuevos clientes de Microsoft Sentinel no son aptos para incorporar un área de trabajo de Log Analytics que se crea en la región de Israel. Para incorporarlo al portal de Defender, cree otra área de trabajo para Microsoft Sentinel en otra región. Esta área de trabajo adicional no necesita contener ningún dato.
- Los clientes que usan análisis de comportamiento de entidades y usuarios de Microsoft Sentinel (UEBA) se proporcionan con una versión limitada de la tabla IdentityInfo.
Referencia rápida
Algunas funcionalidades de Microsoft Sentinel, como la cola unificada de incidentes, se integran con Microsoft Defender XDR en la plataforma unificada de operaciones de seguridad de Microsoft. Muchas otras funcionalidades de Microsoft Sentinel están disponibles en la sección Microsoft Sentinel del portal de Defender.
En la imagen siguiente se muestra el menú Microsoft Sentinel en el portal de Defender:
En las secciones siguientes se describe dónde encontrar las características de Microsoft Sentinel en el portal de Defender. Las secciones están organizadas como lo está Microsoft Sentinel en Azure Portal.
General
La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección General de Azure Portal.
Azure portal | 365 Defender |
---|---|
Información general | Información general |
Registros | Investigación y respuesta > Búsqueda > Búsqueda avanzada |
Novedades y guías | No disponible |
Buscar | Microsoft Sentinel > Buscar |
Administración de amenazas
En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de amenazas de Azure Portal.
Azure portal | 365 Defender |
---|---|
Incidentes | Investigación y respuesta > Incidentes y alertas > Incidentes |
Libros | Microsoft Sentinel > Administración de amenazas> Libros |
Búsqueda | Microsoft Sentinel > Administración de amenazas> Búsqueda |
Cuaderno | Microsoft Sentinel > Administración de amenazas> Cuadernos |
Comportamiento de la entidad | Página de entidad de usuario: Recursos > Identidades >{usuario}> Eventos de Sentinel Página de entidad de dispositivo: Recursos > Dispositivos >{dispositivo}> Eventos de Sentinel Además, busque en las páginas de entidad los tipos de entidad de usuario, dispositivo, IP y recursos de Azure a partir de incidentes y alertas a medida que aparecen. |
Información sobre amenazas | Microsoft Sentinel > Administración de amenazas > Inteligencia sobre amenazas |
MITRE ATT&CK | Microsoft Sentinel > Administración de amenazas > MITRE ATT&CK |
Administración de contenido
En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de contenido de Azure Portal.
Azure portal | 365 Defender |
---|---|
Centro de contenido | Microsoft Sentinel > Administración de contenido > Centro de contenido |
Repositorios | Microsoft Sentinel > Administración de contenido > Repositorios |
Comunidad | Microsoft Sentinel > Administración de contenido > Comunidad |
Configuración
La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección Configuración de Azure Portal.
Azure portal | 365 Defender |
---|---|
Administrador del área de trabajo | No disponible |
Conectores de datos | Microsoft Sentinel > Configuración > Conectores de datos |
Análisis | Microsoft Sentinel > Configuración > Análisis |
Listas de seguimiento | Microsoft Sentinel > Configuración > Listas de reproducción |
Automation | Microsoft Sentinel > Configuración > Automatización |
Configuración | Sistema > Configuración > Microsoft Sentinel |