Home Blog Productos Autor Contacto

SIEM y SOAR con Microsoft Sentinel

azure ciberseguridad defender xdr entra microsoft 365 seguridad Aug 01, 2024
SIEM y SOAR con Microsoft Sentinel

Cada actividad realizada en la organización, ya sea en la red interna, en la nube o en otros entornos, genera logs y eventos. Examinar manualmente cada uno de estos registros, especialmente en entornos con múltiples servicios y diversas fuentes, es una tarea compleja para el SOC. Sin las herramientas adecuadas, monitorear actividades sospechosas y distinguir entre comportamientos normales y anómalos no es factible. Aquí es donde un SIEM (Security Information and Event Management) resulta esencial.

Un SIEM permite la ingesta de logs de múltiples fuentes desconectadas, analizando en tiempo real y alertando sobre actividades anómalas. Proporciona visibilidad y monitoreo continuo de la red, la nube y todos los sistemas conectados, mejorando las posibilidades de una detección temprana de incidentes y facilitando la investigación de incidentes pasados.

Microsoft Sentinel: SIEM y SOAR en la Nube

Microsoft Sentinel es una solución nativa en la nube de SIEM y SOAR (Security Orchestration, Automation, and Response) que permite a las organizaciones modernizar sus operaciones de seguridad. Sentinel no solo ofrece las capacidades tradicionales de un SIEM, sino que las amplía con características avanzadas de análisis y automatización, permitiendo detectar, investigar y responder proactivamente a amenazas sofisticadas.

Características principales de Microsoft Sentinel

  • Recolección de datos y escalabilidad en la nube. Sentinel recopila datos de los usuarios, dispositivos, aplicaciones e infraestructuras, tanto on-premises como de otras nubes. Utiliza conectores integrados para simplificar la recolección de datos de diferentes fuentes. Estos conectores incluyen tanto fuentes Microsoft como de terceros, en complemento también es posible el uso de distintos formatos para conectar orígenes de datos con Sentinel.
  • Detección de Amenazas. Utiliza análisis avanzados y Microsoft Threat Intelligence para descubrir amenazas previamente no detectadas y minimizar falsos positivos.
  • Investigación con IA y Defender XDR. Facilita la investigación de amenazas y la caza de actividades sospechosas a gran escala. La integración con Microsoft Defender XDR combina capacidades de SIEM y XDR para proporcionar una plataforma unificada de operaciones de seguridad.
  • Respuesta Rápida a Incidentes con SOAR. Ofrece orquestación y automatización integradas para tareas comunes, permitiendo una respuesta rápida y eficiente a los incidentes de seguridad. Simplifica las operaciones de seguridad y acelera la respuesta a amenazas con la automatización y orquestación integradas. 

Dashboard de Sentinel:

Integración de Microsoft Defender XDR con Sentinel

La integración con Microsoft Defender XDR proporciona una defensa coordinada y extendida contra amenazas avanzadas. Esta integración permite a las organizaciones combinar capacidades de detección y respuesta (XDR) con las de gestión de eventos e información de seguridad (SIEM). Esto proporciona:

  • Visibilidad Unificada. La integración de Defender XDR con Sentinel permite una vista unificada de todas las alertas y datos de seguridad, facilitando la correlación de eventos y la reducción de falsos positivos.
  • Correlación de Datos. Al combinar datos de diversas fuentes, incluyendo endpoints, identidades, correos electrónicos y aplicaciones, se mejoran las capacidades de detección y se optimiza la identificación de amenazas complejas.
  • Automatización de Respuestas. Utilizando los playbooks de Sentinel, las organizaciones pueden automatizar respuestas a incidentes detectados por Defender XDR, acelerando la mitigación de amenazas y asegurando una respuesta consistente y eficaz.
  • Investigación Integral. La integración facilita una investigación más profunda y completa de los incidentes, permitiendo a los analistas de seguridad rastrear la cadena de ataque desde el inicio hasta su resolución. Sentinel proporciona herramientas avanzadas de análisis y visualización para investigar incidentes y entender el impacto y alcance de una amenaza.

La ingesta de logs en Sentinel es fundamental, en la siguiente imagen se puede ver el detalle de posibles fuentes:

En complemento a la ingesta de logs y alertas desde otras fuentes, Sentinel utiliza esta información con Machine Learning para una mejor correlación de eventos y detección de anomalías entre otros, en base a esto elabora y presenta la información gráficamente a través de workbooks, lo que permite ver tendencias, información relacionada y clave para la administración del servicio e investigaciones. Estas investigciones pueden ser enriquecidas con datos proporcionados por plataformas de Threat Intelligence.

También en base a una determinada alerta puede correr un playbook lo que permite tomar diversas acciones incluyendo el envío de notificaciones a varias plataformas.

Consideraciones de costos

Antes del despliegue de Microsoft Sentinel es importante considerar el modelo de precios, este se basa en consumo y también se ofrecen niveles de compromiso que en grandes organizaciones permitiría un ahorro importante en cuanto a costos. Una buena opción en este sentido, sería comenzar con el trial gratuito que ofrece Microsoft e ir monitoreando el servicio durante este período para no caer en costos adicionales y tener una idea precisa de costo y en base a esto planificar acorde.

Otro tema no menor son las fuentes de datos desde donde sea planea la ingesta de logs, algunos casos no tienen costo mientras que otros implican cargos. Entre las fuentes de datos gratuitas se incluyen logs de actividad de Azure, inicios de sesión de Entra ID, logs de auditoría de Office 365 incluyendo Exchange, SharePoint y Teams y alertas de seguridad de productos de Microsoft Defender. Si bien en este último caso las alertas son gratuitas, los logs pueden tener costo adicional, en la página de costos de Sentinel se detallan las tablas que no tienen cargo.

Implementando Zero Trust con Sentinel y Defender XDR

La arquitectura Zero Trust se basa en los principios de verificar explícitamente, usar acceso con privilegios mínimos y asumir brechas. Microsoft Sentinel y Defender XDR ayudan a implementar estos principios de la siguiente manera:

  • Verificación Explícita. Sentinel recopila y analiza datos del entorno y puede responder con automatización. Defender XDR proporciona detección y respuesta extendida a través de usuarios, identidades, dispositivos, aplicaciones y correos electrónicos.
  • Acceso con Privilegios Mínimos. Sentinel detecta actividades anómalas mediante análisis de comportamiento de entidades y usuarios (UEBA) y utiliza Threat Intelligence para detectar nuevas amenazas.
  • Asumir Brechas. Defender XDR escanea continuamente el entorno en busca de amenazas y vulnerabilidades. Sentinel analiza los datos recopilados para detectar actividades sospechosas y amenazas de múltiples etapas.

Características destacadas para Zero Trust

  • Investigación y Respuesta Automática (AIR). Examina alertas y toma acciones inmediatas para resolver brechas.
  • Caza Avanzada de Amenazas. Permite inspeccionar eventos en la red para localizar indicadores de amenazas.
  • Indicadores Personalizados. Permite bloquear archivos maliciosos, IPs, URLs o dominios basados en inteligencia de amenazas.
  • Protección de Aplicaciones en la Nube. Proporciona visibilidad y control sobre aplicaciones en la nube.
  • Análisis de Comportamiento de Usuarios y Entidades (UEBA). Analiza el comportamiento de usuarios y entidades para detectar anomalías.
  • Automatización y Orquestación (SOAR). Reglas de automatización y playbooks para responder eficientemente a las amenazas.

En definitiva, Microsoft Sentinel no es solo una solución SIEM en la nube, es una herramienta integral que combina la recolección y análisis de datos con capacidades avanzadas de automatización e inteligencia artificial. Al integrar Sentinel dentro de la estrategia de ciberseguridad de la organización es posible mejorar de forma significativa la postura de seguridad y estar mejor preparado para detectar y responder a las amenazas modernas de manera eficiente y efectiva.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.