¿Qué es Microsoft Sentinel?

  • 6 minutos

Empezará con algunas definiciones y el examen de los sistemas de Administración de eventos e información de seguridad (SIEM) y Microsoft Sentinel.

¿Qué es la Administración de eventos e información de seguridad (SIEM)?

Un sistema SIEM es una herramienta que una organización usa para recopilar, analizar y realizar operaciones de seguridad en sus sistemas informáticos. Estos sistemas pueden ser dispositivos de hardware, aplicaciones o ambos.

En su forma más simple, un sistema SIEM permite hacer lo siguiente:

  • Recopilar y consultar registros
  • Llevar a cabo alguna forma de correlación o realizar detección de anomalías
  • Crear alertas e incidentes basados en los hallazgos

Un sistema SIEM podría ofrecer funcionalidades como las siguientes:

  • Administración de registros: la capacidad de recopilar, almacenar y consultar los datos de registro de los recursos de nuestro entorno.

  • Alertas: examen proactivo de los datos de registro para detectar posibles incidentes de seguridad y anomalías.

  • Visualización: gráficos y paneles que proporcionan información visual sobre los datos de registro.

  • Administración de incidentes: la capacidad de crear, actualizar, asignar e investigar los incidentes que se han identificado.

  • Consulta de datos: un lenguaje de consulta enriquecido, similar al de administración de registros, que puede usar para consultar y comprender los datos.

¿Qué es Microsoft Sentinel?

Microsoft Sentinel es un sistema SIEM nativo de nube que permite al equipo de operaciones de seguridad hacer lo siguiente:

  • Obtener conclusiones de seguridad en toda la empresa mediante la recopilación de datos desde prácticamente cualquier origen.
  • Detectar e investigar amenazas rápidamente con el aprendizaje automático integrado y la inteligencia sobre amenazas de Microsoft.
  • Automatizar las respuestas a amenazas usando los cuadernos de estrategias e integrando Azure Logic Apps.

A diferencia de las soluciones SIEM tradicionales, no es necesario instalar ningún servidor local o en la nube para ejecutar Microsoft Sentinel. Microsoft Sentinel es un servicio que se implementa en Azure. Puede empezar a usar Sentinel en tan solo unos minutos en Azure Portal.

Microsoft Sentinel está totalmente integrado con otros servicios en la nube. No solo puede ingerir registros rápidamente, sino que también puede usar otros servicios en la nube de forma nativa (por ejemplo, autorización y automatización).

Microsoft Sentinel le ayudará a habilitar operaciones de seguridad de un extremo a otro, como las de recopilación, detección, investigación y respuesta:

Diagrama que muestra la funcionalidad de un extremo a otro de Microsoft Sentinel.

Ahora se examinarán los componentes clave de Microsoft Sentinel.