Microsoft Azure · Software · ficha YoctoIT

Sentinel

El SIEM/SOAR cloud-native: recogida, correlación y respuesta automatizada a escala cloud, pagando por lo que se ingesta.

FOCUS · EL SIEM SIN HIERROLogs de todo, reglas que cuentan y playbooks que responden: el SOC sobre Azure
Material YoctoIT para clientes y partners · Microsoft, Azure, Entra, Defender y los demás productos citados son marcas de Microsoft Corporation.
01 · Qué es

Microsoft Sentinel, en claro.

Sentinel es el SIEM nacido en la nube: conectores listos para Microsoft y terceros, analytics rules y machine learning para correlacionar, hunting con KQL, y playbooks Logic Apps que automatizan la respuesta. Sin appliances que dimensionar: escala con los logs, y se paga por el ingest — que hay que gobernar.

300+
conectores listos: de M365 a los firewalls, de las nubes a SAP
KQL
el lenguaje de hunting: preguntas potentes sobre miles de millones de eventos
SOAR
playbooks automáticos: enriquecer, contener, notificar sin manos
Microsoft Sentinel
IMAGEN OFICIAL MICROSOFT · SENTINEL
CONSOLE REALE · MICROSOFT SENTINEL DASHBOARD · FONTE: MICROSOFT LEARN
CONSOLA REAL · MICROSOFT SENTINEL DASHBOARD · FUENTE: MICROSOFT LEARN
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

El flujo

Fuentes: cloud, on-prem, SaaStodo lo que loguea
Ingesta & parsing
Analytics rules
Incidents
recoger · correlacionar · decidir
Playbooks SOARla respuesta que arranca sola
Log Analytics workspaceel lago de los logs, con retención elegida
Del log a la acción, en un flujo

Ingesta gobernada

El SIEM cloud se paga por GB: filtros, tiers basic y retenciones diferenciadas mantienen la cuenta sensata.

Reglas a medida

Las analytics rules adaptadas a TU entorno: menos falsos positivos, más señal.

Playbooks de respuesta

El phishing confirmado deshabilita al usuario y abre el ticket: de noche trabaja el playbook.

Casos de uso OT y SAP

Los conectores para fábrica y ERP: el SIEM que ve también donde otros no miran.

03 · En profundidad

Ingesta, analytics y SOAR en serio

Sentinel ahora vive en el Defender portal: los data connectors (nativos, S3, API) alimentan el workspace Log Analytics; los tiers (Analytics vs Basic vs Auxiliary logs) y las DCR transformations recortan los costes de ingesta; las analytics rules (programadas, NRT, UEBA) generan incidents enriquecidos por las entidades; los playbooks Logic Apps automatizan contención y notificación; los workbooks cuentan. El repositorio de contenidos (solutions) trae reglas listas por vendor.

  • Log tier — Analytics para lo security-relevant, Basic/Aux para el volumen: la cuenta se diseña
  • DCR transform — filtros y parsing a la entrada: dentro solo lo que hace falta
  • NRT rules — las reglas near-real-time para las señales que no esperan
  • UEBA — líneas base de comportamiento sobre usuarios y hosts: la anomalía contextual
  • Playbook — deshabilitar usuario, aislar host, abrir ticket: de noche trabaja Logic Apps
  • Content hub — solutions para M365, firewalls, SAP: reglas y workbooks listos
04 · Números y ciclo de vida

Los números que cuentan.

300+
los conectores en catálogo
90 gg
retención incluida (hasta 12 años con archive)
-50%
la ingesta ahorrada típica con tiers y DCR bien hechos
SAP
el conector dedicado: el SIEM que ve también el ERP
Un SIEM cloud se juzga por las reglas y la factura: tuning, tiers y playbooks nuestros — la señal sube, la ingesta baja.
05 · Casos de uso

Dónde rinde de verdad.

SOC corporativo

El corazón de la monitorización de seguridad, sin infraestructura.

Compliance de logs

Retención y búsquedas para NIS2, GDPR, auditorías.

MSSP-ready

Multi-tenant y workspaces separados: el modelo con el que servimos a los clientes.

Un SIEM vale las reglas que contiene y quién lo mira: Sentinel con nuestros contenidos y nuestra vigilancia.