Las operaciones de seguridad son una de esas cosas difíciles de aprender solo con diapositivas. Necesitas sentir lo que es clasificar un incidente de múltiples etapas, ajustar una regla de detección ruidosa o rastrear a un atacante pivotando desde un endpoint hasta la nube.
Exactamente por eso han creado el Microsoft Sentinel Training Lab.
¿Qué es?
El Sentinel Training Lab es un entorno de formación de código abierto, desplegable en minutos, que te proporciona un workspace de Microsoft Sentinel completamente funcional cargado con telemetría de ataques realistas. Un solo clic despliega todo: datos pregrabados de seis productos de seguridad diferentes, reglas de detección personalizadas que generan incidentes reales, workbooks, watchlists y playbooks.
No necesitas configurar agentes, conectores ni simular ataques tú mismo. El laboratorio hace todo eso por ti para que puedas concentrarte en lo que importa: aprender a detectar, investigar y responder.
¿Qué incluye?
El laboratorio simula un ataque de múltiples etapas que abarca seis fuentes de datos — tal como lo encontraría un analista SOC real:
- CrowdStrike — detecciones en endpoints (ejecución de malware, volcado de credenciales)
- Palo Alto Networks — logs de firewall (escaneo de puertos, exfiltración de datos, tráfico C2)
- Okta — eventos de identidad (toma de control de cuentas, manipulación de MFA)
- AWS CloudTrail — actividad en la nube (escalación de IAM, cuentas backdoor)
- GCP Audit Logs — abuso de infraestructura cloud (creación de cuentas de servicio, cambios en firewall)
- MailGuard365 — seguridad de correo electrónico (campañas de phishing que evaden filtros)
Todos estos datos alimentan 22 reglas de detección personalizadas que generan automáticamente un incidente unificado y de múltiples etapas en Microsoft Defender XDR, con alertas correlacionadas, grafos de entidades y una cadena de ataque completa mapeada a MITRE ATT&CK.
Los Ejercicios
El laboratorio incluye 16 ejercicios guiados que cubren todo el espectro de las operaciones de seguridad:
Primeros Pasos
- Onboarding — Configura tu workspace y despliega el laboratorio en menos de 30 minutos
- Ejercicio 1 — Explora tus datos con Advanced Hunting y crea tu primera regla de detección
- Ejercicio 2 — Habilita Microsoft Defender Threat Intelligence y consulta IOCs
- Ejercicio 3 — Visualiza tu cobertura de detección en la matriz MITRE ATT&CK
- Ejercicio 4 — Automatiza el enriquecimiento de incidentes con reglas de automatización
Ingeniería de Detección
- Ejercicio 5 — Aislamiento de dispositivos multiplataforma (alerta de CrowdStrike → respuesta de MDE)
- Ejercicio 6 — Ajusta los umbrales de detección de escaneo de puertos
- Ejercicio 7 — Detecta la manipulación de factores MFA en Okta
- Ejercicio 8 — Enriquece las detecciones con watchlists
Operaciones y Gestión de Costos
- Ejercicio 9 — Monitorea los costos de ingesta y configura políticas de umbral
- Ejercicio 10 — Gestiona los niveles de tablas y la configuración de retención
Data Lake
- Ejercicio 11 — Crea jobs KQL para agregar telemetría del data lake
- Ejercicio 12 — Compara enfoques de detección en tiempo real vs. data lake
- Ejercicio 13 — Investigaciones interactivas con Jupyter notebooks
Avanzado
- Ejercicio 14 — 10 prompts potenciados con IA que demuestran el Sentinel MCP Server
- Ejercicio 15 — Federa datos externos desde ADLS Gen2
- Ejercicio 16 — Transformación dividida para enrutar datos entre los niveles Analytics y Data Lake
¿Qué lo hace diferente?
| Característica | Lo que significa para ti |
|---|---|
| Despliegue con un clic | Botón de Deploy to Azure — sin configuración manual |
| Datos realistas de múltiples fuentes | Seis productos de seguridad generando incidentes correlacionados |
| 22 reglas de detección | Reglas preconstruidas que generan incidentes XDR reales con mapeo de entidades |
| Cobertura MITRE ATT&CK | 10 tácticas cubiertas a lo largo de la cadena de ataque |
| Ejercicios de data lake | Jobs KQL, notebooks, federación y transformaciones divididas |
| Prompts del MCP Server | Investigación potenciada con IA con GitHub Copilot |
| Gestión de costos | Políticas de umbral y guía de optimización de niveles |
Cómo Empezar
¿Listo para probarlo? Esto es todo lo que necesitas:
- Una suscripción de Azure (la prueba gratuita funciona)
- Rol de Owner o Contributor en la suscripción
- Un workspace de Microsoft Sentinel incorporado a Defender XDR
Luego dirígete al repositorio, sigue la guía de Onboarding y haz clic en Deploy to Azure.
El despliegue toma aproximadamente 30 minutos. Después de eso, tu workspace tendrá datos ingestados, reglas de detección generando incidentes y los 16 ejercicios listos para comenzar.
Código Abierto y Comunidad
Todo el laboratorio es de código abierto bajo el repositorio Azure/Azure-Sentinel. Las contribuciones, comentarios e ideas son bienvenidos. Si encuentras algo que podría mejorar, abre un issue o envía un PR.
Construimos este laboratorio porque creemos que la mejor manera de aprender operaciones de seguridad es practicando. Esperamos que te sea útil — ya sea que estés defendiendo tu primer tenant o el centésimo.
