Información general del ejercicio

Eres un arquitecto de operaciones de seguridad que trabaja en una empresa que implementa Microsoft Sentinel. Debes aprender a conectar los datos de registro de los numerosos orígenes de datos de la organización. La organización tiene datos de Microsoft 365, Microsoft Defender, recursos de Azure y máquinas virtuales que no son de Azure. Como son los más fáciles de hacer, empezarás por conectar primero los orígenes de Microsoft.

Instrucciones del ejercicio

Tarea 1: Acceder al espacio de trabajo de Microsoft Sentinel

En esta tarea, accederás al área de trabajo de Microsoft Sentinel.

  1. Inicia sesión en la máquina virtual WIN1 como administrador con la contraseña: Pa55w.rd.

  2. Abra el explorador Microsoft Edge.

  3. En el explorador Edge, ve a Azure Portal en https://portal.azure.com.

  4. En el cuadro de diálogo Iniciar sesión, copia y pega la cuenta Correo electrónico de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Siguiente.

  5. En el cuadro de diálogo Escribir contraseña, copia y pega la Contraseña de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Iniciar sesión.

  6. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  7. Selecciona el área de trabajo de Microsoft Sentinel que has creado en la tarea anterior.

  8. Continúe con la siguiente tarea.

Tarea 2: Conexión al conector de datos de Microsoft Defender for Cloud

En esta tarea, incorporarás y configurarás Microsoft Defender for Cloud.

  1. En el menú de navegación de Microsoft Sentinel, desplázate hacia abajo hasta la sección Administración de contenido y selecciona Centro de contenido.

  2. En el Centro de contenido, busca la solución Microsoft Defender for Cloud y selecciónala en la lista.

  3. En la página de detalles de la solución Microsoft Defender for Cloud, seleccione Instalar.

  4. Cuando finalice la instalación, busque la solución Microsoft Defender for Cloud y selecciónela.

  5. En la página de detalles de la solución de Microsoft Defender for Cloud, seleccione Administrar

    Nota: la solución de Microsoft Defender for Cloud instala el conector de datos de Microsoft Defender for Cloud basado en suscripciones (heredado), el conector de datos Microsoft Defender for Cloud basado en inquilinos (versión preliminar) y una regla analítica. El conector de datos de Microsoft Defender for Cloud (versión preliminar ) basado en inquilinos se usa cuando un inquilino tiene varias suscripciones.

  6. Selecciona la casilla del conector de datos Microsoft Defender for Cloud (heredado) basado en suscripciones y haz clic en Abrir página del conector.

  7. En la sección Configuración, en la pestaña Instrucciones, selecciona la casilla de la suscripción “Pase para Azure: Patrocinio” y desliza la opción Estado a la derecha.

    Nota: Si vuelve a desconectarse, revisa los requisitos previos y confirma que se te han asignado los permisos adecuados para modificar el conector de datos.

  8. El estado debe ser ahora Conectado y la “Sincronización bidireccional” debe estar Habilitada.

Tarea 3: Establecer una conexión de fuente de inteligencia sobre amenazas

En esta tarea, configurarás el conector de inteligencia sobre amenazas de Microsoft Defender.

  1. En el menú de navegación de Microsoft Sentinel, desplázate hacia abajo hasta la sección Administración de contenido y selecciona Centro de contenido.

  2. En el Centro de contenido, busca la solución Inteligencia sobre amenazas y selecciónala en la lista.

  3. En la página de la solución, selecciona Instalar.

  4. Cuando se haya completado la instalación, selecciona Administrar.

  5. Selecciona el conector de datos Inteligencia sobre amenazas de Microsoft Defender (versión preliminar) y selecciona Abrir página del conector.

  6. En los pasos de configuración, haz clic en el botón para instalar.

Tarea 4: Establecer una conexión con el conector de datos Actividad de Azure

En esta tarea, configurarás Sentinel para usar el conector de datos Actividad de Azure.

  1. En el menú izquierdo de Microsoft Sentinel, desplázate hacia abajo hasta la sección Administración de contenido y selecciona Centro de contenido.

  2. En el Centro de contenido, busca la solución Actividad de Azure y selecciónala en la lista.

  3. En la página de solución Actividad de Azure, selecciona Instalar.

  4. Cuando se haya completado la instalación, selecciona Siguiente.

    Nota: la solución Actividad de Azure instala el conector de datos Actividad de Azure, 12 reglas analíticas, 14 consultas de búsqueda y 1 libro.

  5. Selecciona el conector de datos Actividad de Azure y luego selecciona Abrir página del conector.

  6. En el área Instrucciones, en la pestaña Instrucciones, desplázate hacia abajo hasta “2. Conecte las suscripciones…” y selecciona Iniciar asistente para asignación de directivas de Azure>.

  7. En la pestaña Básicos, selecciona el botón de puntos suspensivos (…) en Ámbito y selecciona tu suscripción “MOC Subscription-lodxxxxxxxx” en la lista desplegable y haz clic en Seleccionar.

  8. Seleccione la pestaña Parámetros y elija el área de trabajo uniquenameDefender en la lista desplegable Área de trabajo de Log Analytics. Esta acción aplicará la configuración de la suscripción para enviar la información al área de trabajo de Log Analytics.

  9. Seleccione la pestaña Corrección y active la casilla Crear una tarea de corrección. Esta acción aplicará la directiva a los recursos de Azure ya existentes.

    Nota: La tarea de corrección crea una “identidad administrada” en la región predeterminada “Este de EE. UU.”. Puedes cambiar la región si has creado el espacio de trabajo de Log Analytics en otra región.

  10. Seleccione el botón Revisar y crear para revisar la configuración.

  11. Seleccione Crear para finalizar.

Continúa con el ejercicio 3