Sentinel Data Lake, ya está disponible en Public Preview, ofrece a los equipos de seguridad una forma potente y rentable de unificar, retener y analizar todos los datos de seguridad. Diseñado para eliminar silos de datos, simplificar la gestión de datos de seguridad y proporcionar datos y analítica listos para IA sin tener que gestionar infraestructuras complejas.
Microsoft anuncia una importante expansión de las capacidades de Microsoft Sentinel con la introducción de Sentinel Data Lake, actualmente en Public Preview.
Los equipos de seguridad no pueden defender lo que no pueden ver y analizar.
Con el aumento exponencial de volúmenes de datos de seguridad, las organizaciones luchan por gestionar los costes manteniendo una cobertura eficaz frente a amenazas. Las arquitecturas de datos de seguridad “hazlo tú mismo” perpetúan los silos de información, reduciendo la eficacia de las soluciones de IA en operaciones de seguridad. Con Sentinel Data Lake, da un gran paso para afrontar estos retos.
Microsoft Sentinel Data Lake permite un lago de datos totalmente gestionado, nativo en la nube, diseñado específicamente para seguridad y directamente integrado en Sentinel. Basado en una arquitectura moderna y potenciado por Azure, Sentinel Data Lake simplifica la gestión de datos de seguridad, elimina los silos y permite una retención económica a largo plazo, así como aplicar múltiples formas de análisis sobre una sola copia de los datos. Los equipos de seguridad pueden ahora almacenar y administrar todos sus datos de seguridad. Esto potencia aún más las capacidades líderes del mercado de Sentinel SIEM.
Los clientes pueden aprovechar el Data Lake para correlaciones retroactivas de inteligencia de amenazas (TI), para búsquedas prolongadas, rastreo de ataques lentos, análisis forense, construcción de insights de anomalía y cumplir con necesidades regulatorias y de cumplimiento. Unificando los datos de seguridad, Sentinel Data Lake proporciona la base de datos lista para soluciones de IA.
A continuación, algunas de sus características principales.
Incorporación y activación simplificada desde el portal Defender: Los clientes pueden descubrir y habilitar el nuevo Data Lake directamente desde el portal Defender, ya sea desde el banner de la página principal o desde la sección de configuración. Ahora es cuestión de un clic configurar un lago de datos moderno, lo que permite a los equipos de seguridad comenzar rápidamente sin complejidades.
Figura 1: Incorporación simplificada a Sentinel Data Lake
Gestión de datos de seguridad simplificada: Sentinel Data Lake funciona de manera integrada con los conectores existentes de Sentinel. Consolida logs de seguridad de servicios de Microsoft en M365, Defender, Azure, Entra, Purview, Intune y de fuentes de terceros como AWS, GCP y datos de red/firewall de más de 350 conectores y soluciones. El Data Lake soporta los esquemas de tabla actuales de Sentinel, además de permitir crear conectores personalizados para traer datos sin procesar o transformarlos durante la ingesta. En el futuro se habilitarán esquemas estándar adicionales de la industria.
El Data Lake expande el alcance más allá de los logs de actividad, incluyendo un almacén nativo de activos. Información crítica de activos es añadida mediante nuevos conectores para Microsoft 365, Entra y Azure, permitiendo un análisis unificado enriquecido con inteligencia frente a amenazas.
Una nueva experiencia de gestión de tablas facilita a los clientes escoger dónde enviar y almacenar los datos, así como establecer políticas de retención para optimizar su entorno de seguridad. Se puede enviar datos críticos y de alta fidelidad a la capa de analítica, o logs de bajo valor a la capa de Data Lake, de mayor volumen. Cualquier dato traído a la capa de analítica se replica automáticamente en el Data Lake sin costes extra, centralizando así todo en un solo lugar.
Figura 2: Gestión de datos flexible en Sentinel Data Lake
Capacidades avanzadas de análisis de datos en el Data Lake: Sentinel Data Lake almacena toda la información de seguridad en formato abierto, permitiendo análisis multimodal sobre copias únicas de los datos. En el portal Defender, la experiencia de exploración del Data Lake permite usar el lenguaje de consulta Kusto para analizar datos históricos, explotando todas sus capacidades. Al soportar el esquema de tablas de Sentinel, es posible correr búsquedas avanzadas directamente. También se pueden programar tareas complejas, una vez o de forma periódica, para análisis en profundidad de datos históricos. Los insights generados pueden elevarse a la capa de analítica y utilizarse en Sentinel para investigación y respuesta ante amenazas.
Figura 3: Analíticas avanzadas de datos
Además, como parte de la vista Public Preview, Microsoft lanza una nueva extensión de Visual Studio Code para Sentinel que permite a los equipos de seguridad conectar fácilmente con el Data Lake y trabajar con cuadernos de Python, así como librerías de Spark y ML para análisis profundo de anomalías. Al ser un entorno completamente gestionado, no se requiere infraestructura de cómputo adicional. Basta instalar la extensión y usar agentes de IA como GitHub Copilot para construir y ejecutar cuadernos en el entorno gestionado. Estos cuadernos pueden también programarse como trabajos, y los insights resultantes usarse en la capa de analítica de Sentinel.
Figura 4: Notebooks de Python con la nueva extensión de Sentinel para Visual Studio Code
Modelo de negocio flexible: Sentinel Data Lake permite separar las necesidades de ingestión/retención de los datos de las de analizar datos por seguridad, ofreciendo una forma rentable de almacenamiento y pago por análisis según necesidades específicas.
Un ejemplo de cómo un cliente puede operacionalizar y obtener valor del Data Lake para correlaciones retrospectivas de amenazas en Microsoft Sentinel.
Los logs de red son de alto volumen, pero pueden contener pistas clave de intrusiones, movimientos laterales o intentos de exfiltración. Ahora es posible enviar estos logs de gran volumen al Data Lake; después se puede crear un cuaderno de Python que utilice la inteligencia de amenazas de Microsoft Defender para analizar conexiones sospechosas. Ese cuaderno puede programarse y sus insights añadirlos a la capa de analítica y enriquecer investigaciones, búsquedas, respuestas y análisis forense. Todo esto de manera rentable y sin montar infraestructuras complejas.
Esta vista previa está siendo desplegada para clientes en el portal Defender en regiones soportadas. Para obtener más información, consulte el vídeo sobre Mecánica o la documentación.
Más información:
- Onboard Sentinel Data Lake: https://aka.ms/sentineldatalakedocs
- Consulta precios: https://aka.ms/sentinel/pricingblog
- Regiones soportadas: https://aka.ms/sentinel/datalake/geos
- Noticias MDTI: http://aka.ms/mdti-convergence
- Logs auxiliares y precios reducidos: (enlace oficial Microsoft blog)
