Compartir vía


Microsoft Sentinel en el portal de Microsoft Defender

En este artículo se describe la experiencia de Microsoft Sentinel en el portal de Microsoft Defender. Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender con Microsoft Defender XDR. Para más información, vea:

Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5.

Funcionalidades nuevas y mejoradas

En la tabla siguiente se describen las funcionalidades nuevas o mejoradas disponibles en el portal de Defender con la integración de Microsoft Sentinel. Microsoft sigue innovando en esta nueva experiencia con características que podrían ser exclusivas del portal de Defender.

Capabilities Descripción
Búsqueda avanzada Consulta desde un único portal en distintos conjuntos de datos para que la búsqueda sea más eficaz y no sea necesario cambiar de contexto. Use Security Copilot para ayudar a generar KQL. Visualización y consulta de todos los datos, incluidos los datos de los servicios de seguridad de Microsoft y Microsoft Sentinel. Uso de todo el contenido del área de trabajo de Microsoft Sentinel existente, incluidas las consultas y las funciones.

Vea los siguientes artículos para más información:
- Búsqueda avanzada de amenazas en el portal de Microsoft Defender
- Security Copilot en la búsqueda avanzada
Optimizaciones de SOC Obtenga recomendaciones útiles y de alta fidelidad para ayudarle a identificar las áreas a las que:
- Reducir los costos
- Añadir controles de seguridad
- Añadir los datos que faltan
Las optimizaciones de SOC están disponibles en Defender y Azure Portal, se adaptan a su entorno y se basan en la cobertura actual y el panorama de amenazas.

Vea los siguientes artículos para más información:
- Optimizar las operaciones de seguridad
- Referencia de optimización de SOC de recomendaciones
Microsoft Copilot en Microsoft Defender Al investigar incidentes en el portal de Defender,
- Resumen de incidentes
- Análisis de scripts
- Análisis de archivos
- Crear informes de incidentes

Al buscar amenazas en la búsqueda avanzada, cree consultas KQL listas para ejecutarse mediante el asistente de consultas. Para obtener más información, consulte Microsoft Security Copilot en la búsqueda avanzada.

En la tabla siguiente se describen las funcionalidades adicionales disponibles en el portal de Defender con la integración de Microsoft Sentinel y Microsoft Defender XDR como parte de la plataforma de operaciones de seguridad unificada de Microsoft.

Capabilities Descripción
Interrupción de ataques Implemente la interrupción automática de ataques para SAP con el portal de Defender y la solución Microsoft Sentinel para aplicaciones SAP. Por ejemplo, contenga los activos en peligro bloqueando usuarios de SAP sospechosos en caso de un ataque de manipulación de procesos financieros.

Las funcionalidades de interrupción de ataques para SAP solo están disponibles en el portal de Defender. Para usar la interrupción de ataques para SAP, actualice la versión del agente del conector de datos y asegúrese de que el rol de Azure correspondiente esté asignado a la identidad del agente.

Para obtener más información, consulte Interrupción automática de ataques para SAP.
Entidades unificadas Las páginas de entidad para dispositivos, usuarios, direcciones IP y recursos de Azure en el portal de Defender muestran información de los orígenes de datos de Microsoft Sentinel y Defender. Estas páginas de entidad proporcionan un contexto expandido para las investigaciones de incidentes y alertas en el portal de Defender.

Para obtener más información, consulte Investigación de entidades con páginas de entidad en Microsoft Sentinel.
Incidentes unificados Administre e investigue incidentes de seguridad en una sola ubicación y desde una sola cola en el portal de Defender. Use Security Copilot para resumir, responder e informar. Los incidentes incluyen:
- Datos de diferentes orígenes
- Herramientas de análisis de inteligencia artificial de la administración de eventos e información de seguridad (SIEM)
- Herramientas de contexto y mitigación ofrecidas por la detección y respuesta extendidas (XDR)

Vea los siguientes artículos para más información:
- Respuesta a incidentes en el portal de Microsoft Defender
- Investigación de incidentes de Microsoft Sentinel en Security Copilot
Microsoft Copilot en Microsoft Defender Al investigar incidentes con Microsoft Sentinel integrado con Microsoft Defender XDR,
- Evaluar e investigar incidentes con respuestas guiadas
- Resumir la información del dispositivo
- Resumir la información de identidad

Resumir las amenazas pertinentes que afectan a su entorno, para priorizar la resolución de amenazas en función de los niveles de exposición, o para encontrar actores de amenazas que podrían dirigirse a su sector mediante Security Copilot en inteligencia sobre amenazas. Para obtener más información, consulte Uso de Microsoft Security Copilot para la inteligencia sobre amenazas.

Diferencias de funcionalidad entre portales

La mayoría de las funcionalidades de Microsoft Sentinel están disponibles en los portales de Azure y Defender. En el portal de Defender, algunas experiencias de Microsoft Sentinel se abren en Azure Portal para que complete una tarea.

En esta sección se tratan las funcionalidades o integraciones de Microsoft Sentinel que solo están disponibles en Azure Portal o en el portal de Defender, u otras diferencias significativas entre los portales. Excluye las experiencias de Microsoft Sentinel que abren Azure Portal desde el portal de Defender.

Funcionalidad Disponibilidad Descripción
Búsqueda avanzada mediante marcadores Azure Portal solamente Los marcadores no se admiten en la experiencia de búsqueda avanzada en el portal de Microsoft Defender. En el portal de Defender, se admiten en la Administración de amenazas> Microsoft Sentinel> Búsqueda.

Para obtener más información, consulte Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel.
Interrupción de ataques para SAP Portal de Defender solo con Defender XDR Esta funcionalidad no está disponible en Azure Portal.

Para obtener más información, consulte Interrupción automática de ataques en el portal de Microsoft Defender.
Automation Algunos procedimientos de automatización solo están disponibles en Azure Portal.

Otros procedimientos de automatización son los mismos en el portal de Defender y Azure Portal, pero difieren en Azure Portal entre las áreas de trabajo que están incorporadas al portal de Defender y las áreas de trabajo que no lo están.


Para más información, consulte Automatización con la plataforma unificada de operaciones de seguridad.
Conectores de datos: visibilidad de los conectores usados por la plataforma unificada de operaciones de seguridad Azure Portal solamente En el portal de Defender, después de incorporar Microsoft Sentinel, los siguientes conectores de datos que forman parte de la plataforma unificada de operaciones de seguridad no se muestran en la página Conectores de datos:
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365 (versión preliminar)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud basado en suscripciones (heredado)
  • Microsoft Defender for Cloud basado en inquilinos (versión preliminar)

    En Azure Portal, estos conectores de datos siguen apareciendo con los conectores de datos instalados en Microsoft Sentinel.
  • Entidades: agregar entidades a la inteligencia sobre amenazas de incidentes Azure Portal solamente Esta funcionalidad no está disponible en el portal de Defender.

    Para obtener más información, consulte Agregar entidad a los indicadores de amenazas.
    Fusión: detección avanzada de ataques de varias fases Azure Portal solamente La regla de análisis de Fusion, que crea incidentes basados en correlaciones de alertas realizadas por el motor de correlación de Fusion, se deshabilita al incorporar Microsoft Sentinel al portal de Defender.

    El portal de Defender usa las funcionalidades de creación y correlación de incidentes de Microsoft Defender XDR para reemplazar las del motor de Fusion.

    Para obtener más información, consulte Detección avanzada de ataques de varias fases en Microsoft Sentinel
    Incidentes: Adición de alertas a incidentes/
    Eliminación de alertas de incidentes
    Solo portal de Defender Después de incorporar Microsoft Sentinel al portal de Defender, ya no es posible agregar ni quitar alertas de incidentes en Azure Portal.

    Es posible quitar una alerta de un incidente en el portal de Defender, pero solo vinculando la alerta a otro incidente (existente o nuevo).
    Incidentes: edición de comentarios Azure Portal solamente Después de incorporar Microsoft Sentinel al portal de Defender, es posible agregar comentarios a incidentes en cualquier portal, pero no es posible editar los comentarios existentes.

    Las modificaciones realizadas en los comentarios de Azure Portal no se sincronizan con el portal de Defender.
    Incidentes: creación mediante programación y manual de incidentes Azure Portal solamente Los incidentes creados en Microsoft Sentinel a través de la API, mediante un cuaderno de estrategias de aplicación lógica o manualmente desde Azure Portal, no se sincronizan con el portal de Defender. Estos incidentes siguen siendo compatibles con Azure Portal y la API. Consulte Creación manual de incidentes propios en Microsoft Sentinel.
    Incidentes: volver a abrir incidentes cerrados Azure Portal solamente En el portal de Defender, no se puede establecer la agrupación de alertas en reglas de análisis de Microsoft Sentinel para volver a abrir incidentes cerrados si se agregan nuevas alertas.
    Los incidentes cerrados no se vuelven a abrir en este caso y las nuevas alertas desencadenan nuevos incidentes.
    Incidentes: Tareas Azure Portal solamente Las tareas no están disponibles en el portal de Defender.

    Para más información, consulte Uso de tareas para administrar incidentes en Microsoft Sentinel.
    Administración de varias áreas de trabajo para Microsoft Sentinel Portal de Defender: limitado a un área de trabajo de Microsoft Sentinel por inquilino

    Azure Portal: administración centralizada de varias áreas de trabajo de Microsoft Sentinel para inquilinos
    Actualmente, solo se admite un área de trabajo de Microsoft Sentinel por inquilino en el portal de Defender. Por lo tanto, la administración multiinquilino de Microsoft Defender admite un área de trabajo de Microsoft Sentinel por inquilino.

    Vea los siguientes artículos para más información:
    - Portal de Defender: administración multiinquilino de Microsoft Defender
    - Azure Portal: administrar varias áreas de trabajo de Microsoft Sentinel con el administrador de áreas de trabajo

    Funcionalidades limitadas o no disponibles

    Al incorporar Microsoft Sentinel al portal de Defender sin Defender XDR u otros servicios habilitados, las siguientes características que se muestran en el portal de Defender están actualmente limitadas o no están disponibles.

    Funcionalidad Servicio necesario
    Administración de exposición Administración de exposición de seguridad de Microsoft
    Reglas de detección personalizadas Microsoft Defender XDR
    Centro de actividades Microsoft Defender XDR

    Las siguientes limitaciones también se aplican a Microsoft Sentinel en el portal de Defender sin Defender XDR ni otros servicios habilitados:

    • Los nuevos clientes de Microsoft Sentinel no son aptos para incorporar un área de trabajo de Log Analytics que se crea en la región de Israel. Para incorporarlo al portal de Defender, cree otra área de trabajo para Microsoft Sentinel en otra región. Esta área de trabajo adicional no necesita contener ningún dato.
    • Los clientes que usan análisis de comportamiento de entidades y usuarios de Microsoft Sentinel (UEBA) se proporcionan con una versión limitada de la tabla IdentityInfo.

    Referencia rápida

    Algunas funcionalidades de Microsoft Sentinel, como la cola unificada de incidentes, se integran con Microsoft Defender XDR en la plataforma unificada de operaciones de seguridad de Microsoft. Muchas otras funcionalidades de Microsoft Sentinel están disponibles en la sección Microsoft Sentinel del portal de Defender.

    En la imagen siguiente se muestra el menú Microsoft Sentinel en el portal de Defender:

    Captura de pantalla del panel de navegación izquierdo del portal de Defender con la sección Microsoft Sentinel.

    En las secciones siguientes se describe dónde encontrar las características de Microsoft Sentinel en el portal de Defender. Las secciones están organizadas como lo está Microsoft Sentinel en Azure Portal.

    General

    La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección General de Azure Portal.

    Azure portal 365 Defender
    Información general Información general
    Registros Investigación y respuesta > Búsqueda > Búsqueda avanzada
    Novedades y guías No disponible
    Buscar Microsoft Sentinel > Buscar

    Administración de amenazas

    En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de amenazas de Azure Portal.

    Azure portal 365 Defender
    Incidentes Investigación y respuesta > Incidentes y alertas > Incidentes
    Libros Microsoft Sentinel > Administración de amenazas> Libros
    Búsqueda Microsoft Sentinel > Administración de amenazas> Búsqueda
    Cuaderno Microsoft Sentinel > Administración de amenazas> Cuadernos
    Comportamiento de la entidad Página de entidad de usuario: Recursos > Identidades >{usuario}> Eventos de Sentinel
    Página de entidad de dispositivo: Recursos > Dispositivos >{dispositivo}> Eventos de Sentinel

    Además, busque en las páginas de entidad los tipos de entidad de usuario, dispositivo, IP y recursos de Azure a partir de incidentes y alertas a medida que aparecen.
    Información sobre amenazas Microsoft Sentinel > Administración de amenazas > Inteligencia sobre amenazas
    MITRE ATT&CK Microsoft Sentinel > Administración de amenazas > MITRE ATT&CK

    Administración de contenido

    En la tabla siguiente se enumeran los cambios en la navegación entre Azure Portal y el portal de Defender para la Administración de contenido de Azure Portal.

    Azure portal 365 Defender
    Centro de contenido Microsoft Sentinel > Administración de contenido > Centro de contenido
    Repositorios Microsoft Sentinel > Administración de contenido > Repositorios
    Comunidad Microsoft Sentinel > Administración de contenido > Comunidad

    Configuración

    La siguiente tabla enumera los cambios en la navegación entre Azure Portal y el portal de portal de Defender para la sección Configuración de Azure Portal.

    Azure portal 365 Defender
    Administrador del área de trabajo No disponible
    Conectores de datos Microsoft Sentinel > Configuración > Conectores de datos
    Análisis Microsoft Sentinel > Configuración > Análisis
    Listas de seguimiento Microsoft Sentinel > Configuración > Listas de reproducción
    Automation Microsoft Sentinel > Configuración > Automatización
    Configuración Sistema > Configuración > Microsoft Sentinel