gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-13 13:26:31 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:32:09 +00:00
parent 87447d8ab5
commit 49c46f3b35
3 changed files with 183 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,37 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud es una solución integral de gestión de seguridad que abarca Azure, entornos locales y multi-nube. Se clasifica como una Plataforma de Protección de Aplicaciones Nativas de la Nube (CNAPP), combinando capacidades de Gestión de Postura de Seguridad en la Nube (CSPM) y Protección de Cargas de Trabajo en la Nube (CWPP). Su propósito es ayudar a las organizaciones a encontrar **mala configuración y puntos débiles en los recursos de la nube**, fortalecer la postura de seguridad general y proteger las cargas de trabajo de amenazas en evolución en Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), configuraciones híbridas locales y más.
En términos prácticos, Defender for Cloud **evalúa continuamente sus recursos en función de las mejores prácticas y estándares de seguridad**, proporciona un panel unificado para visibilidad y utiliza detección avanzada de amenazas para alertarlo sobre ataques. Los beneficios clave incluyen una **vista unificada de la seguridad a través de nubes**, recomendaciones accionables para prevenir brechas y protección de amenazas integrada que puede reducir el riesgo de incidentes de seguridad. Al soportar AWS y GCP y otras plataformas SaaS de forma nativa y usar Azure Arc para servidores locales, asegura que puede **gestionar la seguridad en un solo lugar** para todos los entornos.
### Características Clave
- **Recomendaciones**: Esta sección presenta una lista de recomendaciones de seguridad accionables basadas en evaluaciones continuas. Cada recomendación explica las malas configuraciones o vulnerabilidades identificadas y proporciona pasos de remediación, para que sepa exactamente qué corregir para mejorar su puntuación de seguridad.
- **Análisis de Rutas de Ataque**: El Análisis de Rutas de Ataque mapea visualmente las posibles rutas de ataque a través de sus recursos en la nube. Al mostrar cómo se conectan y podrían ser explotadas las vulnerabilidades, le ayuda a entender y romper estas rutas para prevenir brechas.
- **Alertas de Seguridad**: La página de Alertas de Seguridad le notifica sobre amenazas en tiempo real y actividades sospechosas. Cada alerta incluye detalles como severidad, recursos afectados y acciones recomendadas, asegurando que pueda responder rápidamente a problemas emergentes.
- Las técnicas de detección se basan en **inteligencia de amenazas, análisis de comportamiento y detección de anomalías**.
- Es posible encontrar todas las alertas posibles en https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Basado en el nombre y la descripción, es posible saber **qué está buscando la alerta** (para eludirla).
- **Inventario**: En la sección de Inventario, encuentra una lista completa de todos los activos monitoreados en sus entornos. Proporciona una vista rápida del estado de seguridad de cada recurso, ayudándole a identificar rápidamente activos desprotegidos o riesgosos que necesitan remediación.
- **Explorador de Seguridad en la Nube**: El Explorador de Seguridad en la Nube ofrece una interfaz basada en consultas para buscar y analizar su entorno en la nube. Le permite descubrir riesgos de seguridad ocultos y explorar relaciones complejas entre recursos, mejorando sus capacidades generales de caza de amenazas.
- **Libros de Trabajo**: Los Libros de Trabajo son informes interactivos que visualizan sus datos de seguridad. Usando plantillas preconstruidas o personalizadas, le ayudan a monitorear tendencias, rastrear cumplimiento y revisar cambios en su puntuación de seguridad a lo largo del tiempo, facilitando decisiones de seguridad basadas en datos.
- **Comunidad**: La sección de Comunidad lo conecta con compañeros, foros de expertos y guías de mejores prácticas. Es un recurso valioso para aprender de las experiencias de otros, encontrar consejos de solución de problemas y mantenerse actualizado sobre los últimos desarrollos de Defender for Cloud.
- **Diagnosticar y Resolver Problemas**: Este centro de solución de problemas le ayuda a identificar y resolver rápidamente problemas relacionados con la configuración o recolección de datos de Defender for Cloud. Proporciona diagnósticos guiados y soluciones para asegurar que la plataforma funcione de manera efectiva.
- **Postura de Seguridad**: La página de Postura de Seguridad agrega su estado general de seguridad en una única puntuación de seguridad. Proporciona información sobre qué áreas de su nube son fuertes y dónde se necesitan mejoras, sirviendo como un chequeo rápido de salud de su entorno.
- **Cumplimiento Regulatorio**: Este panel evalúa qué tan bien sus recursos se adhieren a los estándares de la industria y requisitos regulatorios. Muestra puntuaciones de cumplimiento contra referencias como PCI DSS o ISO 27001, ayudándole a identificar brechas y rastrear remediaciones para auditorías.
- **Protecciones de Carga de Trabajo**: Las Protecciones de Carga de Trabajo se centran en asegurar tipos específicos de recursos (como servidores, bases de datos y contenedores). Indica qué planes de Defender están activos y proporciona alertas y recomendaciones personalizadas para cada carga de trabajo para mejorar su protección. Es capaz de encontrar comportamientos maliciosos en recursos específicos.
- También existe la opción de **`Habilitar Microsoft Defender para X`** que puede encontrar en ciertos servicios.
- **Seguridad de Datos y AI (Vista Previa)**: En esta sección de vista previa, Defender for Cloud extiende su protección a almacenes de datos y servicios de AI. Destaca brechas de seguridad y monitorea datos sensibles, asegurando que tanto sus repositorios de datos como sus plataformas de AI estén protegidos contra amenazas.
- **Administrador de Firewall**: El Administrador de Firewall se integra con Azure Firewall para darle una vista centralizada de sus políticas de seguridad de red. Simplifica la gestión y monitoreo de implementaciones de firewall, asegurando la aplicación consistente de reglas de seguridad a través de sus redes virtuales.
- **Seguridad en DevOps**: La Seguridad en DevOps se integra con sus tuberías de desarrollo y repositorios de código para incorporar seguridad desde el principio del ciclo de vida del software. Ayuda a identificar vulnerabilidades en el código y configuraciones, asegurando que la seguridad esté integrada en el proceso de desarrollo.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) escanea y mapea continuamente los activos expuestos a Internet de su organización—incluyendo dominios, subdominios, direcciones IP y aplicaciones web—para proporcionar una vista integral y en tiempo real de su huella digital externa. Aprovecha técnicas avanzadas de rastreo, comenzando desde semillas de descubrimiento conocidas, para descubrir automáticamente tanto activos gestionados como de IT sombra que de otro modo podrían permanecer ocultos. EASM identifica **configuraciones riesgosas** como interfaces administrativas expuestas, buckets de almacenamiento accesibles públicamente y servicios vulnerables a diferentes CVEs, permitiendo que su equipo de seguridad aborde estos problemas antes de que sean explotados.
Además, el monitoreo continuo también puede mostrar **cambios en la infraestructura expuesta** comparando diferentes resultados de escaneo para que el administrador esté al tanto de cada cambio realizado.
Al proporcionar información en tiempo real e inventarios detallados de activos, Defender EASM empodera a las organizaciones para **monitorear y rastrear continuamente los cambios en su exposición externa**. Utiliza análisis basado en riesgos para priorizar hallazgos según severidad y factores contextuales, asegurando que los esfuerzos de remediación se enfoquen donde más importan. Este enfoque proactivo no solo ayuda a descubrir vulnerabilidades ocultas, sino que también apoya la mejora continua de su postura de seguridad general al alertarlo sobre cualquier nueva exposición a medida que surja.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Logs
Hay 3 tipos de logs disponibles en Entra ID:
- **Sign-in Logs**: Los logs de inicio de sesión documentan cada intento de autenticación, ya sea exitoso o fallido. Ofrecen detalles como direcciones IP, ubicaciones, información del dispositivo y políticas de acceso condicional aplicadas, que son esenciales para monitorear la actividad del usuario y detectar comportamientos de inicio de sesión sospechosos o posibles amenazas de seguridad.
- **Audit Logs**: Los logs de auditoría proporcionan un registro de todos los cambios realizados dentro de su entorno de Entra ID. Capturan actualizaciones a usuarios, grupos, roles o políticas, por ejemplo. Estos logs son vitales para el cumplimiento y las investigaciones de seguridad, ya que le permiten revisar quién hizo qué cambio y cuándo.
- **Provisioning Logs**: Los logs de aprovisionamiento proporcionan información sobre los usuarios aprovisionados en su inquilino a través de un servicio de terceros (como directorios locales o aplicaciones SaaS). Estos logs le ayudan a entender cómo se sincroniza la información de identidad.
> [!WARNING]
> Tenga en cuenta que estos logs solo se almacenan durante **7 días** en la versión gratuita, **30 días** en la versión P1/P2 y 60 días adicionales en señales de seguridad para actividades de inicio de sesión arriesgadas. Sin embargo, ni siquiera un administrador global podría **modificarlos o eliminarlos antes**.
## Entra ID - Log Systems
- **Diagnostic Settings**: Una configuración de diagnóstico especifica una lista de categorías de logs de plataforma y/o métricas que desea recopilar de un recurso, y uno o más destinos a los que los transmitirá. Se aplicarán cargos normales de uso para el destino. Aprenda más sobre las diferentes categorías de logs y el contenido de esos logs.
- **Destinations**:
- **Analytics Workspace**: Investigación a través de Azure Log Analytics y creación de alertas.
- **Storage account**: Análisis estático y respaldo.
- **Event hub**: Transmitir datos a sistemas externos como SIEMs de terceros.
- **Monitor partner solutions**: Integraciones especiales entre Azure Monitor y otras plataformas de monitoreo que no son de Microsoft.
- **Workbooks**: Los workbooks combinan texto, consultas de logs, métricas y parámetros en informes interactivos ricos.
- **Usage & Insights**: Útil para ver las actividades más comunes en Entra ID.
## Azure Monitor
Estas son las principales características de Azure Monitor:
- **Activity Logs**: Los logs de actividad de Azure capturan eventos a nivel de suscripción y operaciones de gestión, dándole una visión general de los cambios y acciones realizadas en sus recursos.
- **Activily logs** no pueden ser modificados o eliminados.
- **Change Analysis**: El análisis de cambios detecta y visualiza automáticamente cambios de configuración y estado en sus recursos de Azure para ayudar a diagnosticar problemas y rastrear modificaciones a lo largo del tiempo.
- **Alerts**: Las alertas de Azure Monitor son notificaciones automatizadas que se activan cuando se cumplen condiciones o umbrales especificados en su entorno de Azure.
- **Workbooks**: Los workbooks son paneles interactivos y personalizables dentro de Azure Monitor que le permiten combinar y visualizar datos de diversas fuentes para un análisis integral.
- **Investigator**: Investigator le ayuda a profundizar en los datos de logs y alertas para realizar un análisis profundo e identificar la causa de los incidentes.
- **Insights**: Insights proporcionan análisis, métricas de rendimiento y recomendaciones accionables (como las de Application Insights o VM Insights) para ayudarle a monitorear y optimizar la salud y eficiencia de sus aplicaciones e infraestructura.
### Log Analytics Workspaces
Los espacios de trabajo de Log Analytics son repositorios centrales en Azure Monitor donde puede **recopilar, analizar y visualizar datos de logs y rendimiento** de sus recursos de Azure y entornos locales. Aquí están los puntos clave:
- **Centralized Data Storage**: Sirven como la ubicación central para almacenar logs de diagnóstico, métricas de rendimiento y logs personalizados generados por sus aplicaciones y servicios.
- **Powerful Query Capabilities**: Puede ejecutar consultas utilizando Kusto Query Language (KQL) para analizar los datos, generar insights y solucionar problemas.
- **Integration with Monitoring Tools**: Los espacios de trabajo de Log Analytics se integran con varios servicios de Azure (como Azure Monitor, Azure Sentinel y Application Insights) permitiéndole crear paneles, configurar alertas y obtener una vista integral de su entorno.
En resumen, un espacio de trabajo de Log Analytics es esencial para el monitoreo avanzado, la solución de problemas y el análisis de seguridad en Azure.
Puede configurar un recurso para enviar datos a un espacio de trabajo de análisis desde los **diagnostic settings** del recurso.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,42 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel es una solución **SIEM** (Gestión de Información y Eventos de Seguridad) y **SOAR** (Orquestación, Automatización y Respuesta de Seguridad) nativa de la nube en Azure.
Agrega datos de seguridad de toda una organización (local y en la nube) en una sola plataforma y utiliza **analíticas integradas e inteligencia de amenazas** para identificar amenazas potenciales.
Sentinel aprovecha servicios de Azure como Log Analytics (para almacenamiento y consulta masiva de registros) y Logic Apps (para flujos de trabajo automatizados), lo que significa que puede escalar bajo demanda e integrarse con las capacidades de IA y automatización de Azure.
En esencia, Sentinel recopila y analiza registros de diversas fuentes, **detecta anomalías o actividades maliciosas**, y permite a los equipos de seguridad investigar y responder a amenazas rápidamente, todo a través del portal de Azure sin necesidad de infraestructura SIEM local.
### Configuración de Microsoft Sentinel
Comienza habilitando Sentinel en un espacio de trabajo de Azure Log Analytics (el espacio de trabajo es donde se almacenarán y analizarán los registros). A continuación se presentan los pasos generales para comenzar:
1. **Habilitar Microsoft Sentinel en un Espacio de Trabajo**: En el portal de Azure, crea o utiliza un espacio de trabajo de Log Analytics existente y añade Microsoft Sentinel a él. Esto despliega las capacidades de Sentinel en tu espacio de trabajo.
2. **Conectar Fuentes de Datos (Conectores de Datos)**: Una vez habilitado Sentinel, conecta tus fuentes de datos utilizando conectores de datos integrados. Ya sean registros de Entra ID, Office 365 o incluso registros de firewall, Sentinel comienza a ingerir registros y alertas automáticamente. Esto se hace comúnmente creando configuraciones de diagnóstico para enviar registros al espacio de trabajo de registros que se está utilizando.
3. **Aplicar Reglas de Análisis y Contenido**: Con los datos fluyendo, habilita las reglas de análisis integradas o crea las personalizadas para detectar amenazas. Utiliza el Content Hub para plantillas de reglas preempaquetadas y libros de trabajo que inicien tus capacidades de detección.
4. **(Opcional) Configurar Automatización**: Configura la automatización con libros de jugadas para responder automáticamente a incidentes, como enviar alertas o aislar cuentas comprometidas, mejorando tu respuesta general.
## Características Principales
- **Registros**: La pestaña de Registros abre la interfaz de consulta de Log Analytics, donde puedes profundizar **en tus datos utilizando Kusto Query Language (KQL)**. Esta área es crucial para la solución de problemas, análisis forense e informes personalizados. Puedes escribir y ejecutar consultas para filtrar eventos de registro, correlacionar datos de diferentes fuentes e incluso crear paneles o alertas personalizadas basadas en tus hallazgos. Es el centro de exploración de datos en bruto de Sentinel.
- **Búsqueda**: La herramienta de Búsqueda ofrece una interfaz unificada para **localizar rápidamente eventos de seguridad, incidentes e incluso entradas de registro específicas**. En lugar de navegar manualmente a través de múltiples pestañas, puedes escribir palabras clave, direcciones IP o nombres de usuario para recuperar instantáneamente todos los eventos relacionados. Esta función es particularmente útil durante una investigación cuando necesitas conectar rápidamente diferentes piezas de información.
- **Incidentes**: La sección de Incidentes centraliza todas las **alertas agrupadas en casos manejables**. Sentinel agrega alertas relacionadas en un solo incidente, proporcionando contexto como severidad, cronología y recursos afectados. Dentro de un incidente, puedes ver un gráfico de investigación detallado que mapea la relación entre alertas, facilitando la comprensión del alcance y el impacto de una amenaza potencial. La gestión de incidentes también incluye opciones para asignar tareas, actualizar estados e integrarse con flujos de trabajo de respuesta.
- **Libros de Trabajo**: Los libros de trabajo son paneles y informes personalizables que te ayudan a **visualizar y analizar tus datos de seguridad**. Combinan varios gráficos, tablas y consultas para ofrecer una vista integral de tendencias y patrones. Por ejemplo, podrías usar un libro de trabajo para mostrar una línea de tiempo de actividades de inicio de sesión, mapeo geográfico de direcciones IP o la frecuencia de alertas específicas a lo largo del tiempo. Los libros de trabajo son tanto preconstruidos como completamente personalizables para adaptarse a las necesidades específicas de monitoreo de tu organización.
- **Caza**: La función de Caza proporciona un enfoque proactivo para **encontrar amenazas que podrían no haber activado alertas estándar**. Viene con consultas de caza preconstruidas que se alinean con marcos como MITRE ATT&CK, pero también te permite escribir consultas personalizadas. Esta herramienta es ideal para **analistas avanzados que buscan descubrir amenazas sigilosas o emergentes** explorando datos históricos y en tiempo real, como patrones de red inusuales o comportamientos anómalos de usuarios.
- **Cuadernos**: Con la integración de Cuadernos, Sentinel aprovecha **Jupyter Notebooks para análisis de datos avanzados e investigaciones automatizadas**. Esta función te permite ejecutar código Python directamente contra tus datos de Sentinel, lo que hace posible realizar análisis de aprendizaje automático, construir visualizaciones personalizadas o automatizar tareas de investigación complejas. Es particularmente útil para científicos de datos o analistas de seguridad que necesitan realizar análisis profundos más allá de las consultas estándar.
- **Comportamiento de Entidad**: La página de Comportamiento de Entidad utiliza **Analítica de Comportamiento de Usuario y Entidad (UEBA)** para establecer líneas base de actividad normal en tu entorno. Muestra perfiles detallados para usuarios, dispositivos y direcciones IP, **destacando desviaciones del comportamiento típico**. Por ejemplo, si una cuenta de actividad normalmente baja de repente exhibe transferencias de datos de alto volumen, esta desviación será señalada. Esta herramienta es crítica para identificar amenazas internas o credenciales comprometidas basadas en anomalías de comportamiento.
- **Inteligencia de Amenazas**: La sección de Inteligencia de Amenazas te permite **gestionar y correlacionar indicadores de amenazas externas**—como direcciones IP maliciosas, URLs o hashes de archivos—con tus datos internos. Al integrarse con fuentes de inteligencia externas, Sentinel puede marcar automáticamente eventos que coincidan con amenazas conocidas. Esto te ayuda a detectar y responder rápidamente a ataques que son parte de campañas más amplias y conocidas, añadiendo otra capa de contexto a tus alertas de seguridad.
- **MITRE ATT&CK**: En la pestaña de MITRE ATT&CK, Sentinel **mapea tus datos de seguridad y reglas de detección al ampliamente reconocido marco MITRE ATT&CK**. Esta vista te ayuda a entender qué tácticas y técnicas se están observando en tu entorno, identificar posibles brechas en la cobertura y alinear tu estrategia de detección con patrones de ataque reconocidos. Proporciona una forma estructurada de analizar cómo los adversarios podrían estar atacando tu entorno y ayuda a priorizar acciones defensivas.
- **Content Hub**: El Content Hub es un repositorio centralizado de **soluciones preempaquetadas, incluidos conectores de datos, reglas de análisis, libros de trabajo y libros de jugadas**. Estas soluciones están diseñadas para acelerar tu implementación y mejorar tu postura de seguridad al proporcionar configuraciones de mejores prácticas para servicios comunes (como Office 365, Entra ID, etc.). Puedes explorar, instalar y actualizar estos paquetes de contenido, facilitando la integración de nuevas tecnologías en Sentinel sin una configuración manual extensa.
- **Repositorios**: La función de Repositorios (actualmente en vista previa) permite el control de versiones para tu contenido de Sentinel. Se integra con sistemas de control de versiones como GitHub o Azure DevOps, permitiéndote **gestionar tus reglas de análisis, libros de trabajo, libros de jugadas y otras configuraciones como código**. Este enfoque no solo mejora la gestión de cambios y la colaboración, sino que también facilita volver a versiones anteriores si es necesario.
- **Gestión de Espacios de Trabajo**: El administrador de Espacios de Trabajo de Microsoft Sentinel permite a los usuarios **gestionar centralmente múltiples espacios de trabajo de Microsoft Sentinel** dentro de uno o más inquilinos de Azure. El espacio de trabajo central (con el administrador de Espacios de Trabajo habilitado) puede consolidar elementos de contenido para ser publicados a gran escala en los espacios de trabajo de miembros.
- **Conectores de Datos**: La página de Conectores de Datos enumera todos los conectores disponibles que traen datos a Sentinel. Cada conector está **preconfigurado para fuentes de datos específicas** (tanto de Microsoft como de terceros) y muestra su estado de conexión. Configurar un conector de datos generalmente implica unos pocos clics, después de lo cual Sentinel comienza a ingerir y analizar registros de esa fuente. Esta área es vital porque la calidad y amplitud de tu monitoreo de seguridad dependen del rango y la configuración de tus fuentes de datos conectadas.
- **Análisis**: En la pestaña de Análisis, **creas y gestionas las reglas de detección que alimentan las alertas de Sentinel**. Estas reglas son esencialmente consultas que se ejecutan en un horario (o casi en tiempo real) para identificar patrones sospechosos o violaciones de umbrales en tus datos de registro. Puedes elegir entre plantillas integradas proporcionadas por Microsoft o crear tus propias reglas personalizadas utilizando KQL. Las reglas de análisis determinan cómo y cuándo se generan las alertas, impactando directamente en cómo se forman y priorizan los incidentes.
- **Lista de Vigilancia**: La lista de vigilancia de Microsoft Sentinel permite la **recolección de datos de fuentes de datos externas para correlacionar contra los eventos** en tu entorno de Microsoft Sentinel. Una vez creada, aprovecha las listas de vigilancia en tu búsqueda, reglas de detección, caza de amenazas, libros de trabajo y libros de jugadas de respuesta.
- **Automatización**: Las reglas de automatización te permiten **gestionar centralmente toda la automatización del manejo de incidentes**. Las reglas de automatización optimizan el uso de la automatización en Microsoft Sentinel y te permiten simplificar flujos de trabajo complejos para tus procesos de orquestación de incidentes.
{{#include ../../../banners/hacktricks-training.md}}