Compartir vía


Guía operativa de Microsoft Sentinel

En este artículo se enumeran las actividades operativas que recomendamos a los equipos de operaciones de seguridad (SOC) y a los administradores de seguridad planear y ejecutar como parte de sus actividades de seguridad periódicas con Microsoft Sentinel. Para obtener más información sobre cómo administrar las operaciones de seguridad, consulte Introducción a las operaciones de seguridad.

Tareas diarias

Programe las siguientes actividades diarias.

Tarea descripción
Evaluación de prioridades e investigación de incidentes Revise la página Incidentes de Microsoft Sentinel para comprobar si hay nuevos incidentes generados por las reglas analíticas configuradas actualmente y empezar a buscar incidentes nuevos. Para más información, consulte el documento Investigación de incidentes con Microsoft Sentinel.
Exploración de consultas y marcadores de búsqueda Explore los resultados de todas las consultas integradas y actualice los marcadores y las consultas de búsqueda existentes. Genere manualmente nuevos incidentes o actualice los incidentes antiguos si procede. Para obtener más información, consulte:
-
Creación automática de incidentes a partir de alertas
-
de seguridad de Microsoft Búsqueda de amenazas con Microsoft Sentinel

- Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel
Reglas de análisis Revise y habilite las nuevas reglas analíticas según corresponda, incluidas las reglas recién publicadas o recientemente disponibles de los conectores de datos conectados recientemente.
Conectores de datos Revise el estado, la fecha y la hora del último registro recibido de cada conector de datos para asegurarse de que los datos fluyen. Compruebe si hay nuevos conectores y revise la ingesta para asegurarse de que no se superan los límites establecidos. Para obtener más información, consulte Procedimientos recomendados para la recopilación de datos y Conexión con orígenes de datos.
Agente de Azure Monitor Compruebe que los servidores y estaciones de trabajo están conectados activamente al área de trabajo y corrija las conexiones fallidas. Para obtener más información, consulte la Información general del agente de Azure Monitor.
Errores del cuaderno de estrategias Compruebe los estados de ejecución del cuaderno de estrategias y solucione los errores. Para obtener más información, consulte Tutorial: Respuesta a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel.

Tareas semanales

Programe las actividades siguientes semanalmente.

Tarea descripción
Revisión de contenido de soluciones o contenido independiente Obtenga las actualizaciones de contenido de las soluciones instaladas o contenido independiente del Centro de contenido. Revise nuevas soluciones o contenido independiente que podría ser de valor para su entorno, como reglas de análisis, libros, consultas de búsqueda o cuadernos de estrategias.
Auditoría de Microsoft Sentinel Revise la actividad de Microsoft Sentinel para ver quién actualizó o eliminó los recursos, como reglas de análisis, marcadores, etc. Para más información, consulte Auditoría de consultas y actividades de Microsoft Sentinel.

Tareas mensuales

Programe las actividades siguientes mensualmente.

Tarea descripción
Revisión del acceso de usuario Revise los permisos de los usuarios y compruebe si hay usuarios inactivos. Para más información, consulte Permisos de Microsoft Sentinel.
Revisión del área de trabajo de Log Analytics Revise que la directiva de retención de datos del área de trabajo de Log Analytics se sigue ajustando a la directiva de su organización. Para obtener más información, vea la Directiva de retención de datos y la sección Integración con Azure Data Explorer para conservar registros a largo plazo.