arrow_backVolver a field notes
BLUE TEAM Publicado 10 jul 2026

Aprende Microsoft Sentinel: Una Guía Práctica para Principiantes

Una introducción práctica a Microsoft Sentinel que abarca configuración, conectores de datos, reglas de análisis y tu primer flujo de trabajo de investigación.

Microsoft Sentinel es una plataforma SIEM y SOAR nativa de la nube construida sobre Azure, y se ha convertido rápidamente en una herramienta esencial en los SOC modernos. Si eres nuevo en esto, la gran cantidad de componentes—espacios de trabajo, conectores, reglas de análisis, libros, cuadernos de estrategias—puede resultar abrumadora. Esta guía lo desglosa en un camino práctico que puedes seguir para familiarizarte rápidamente.

Qué Hace Realmente Sentinel

En esencia, Sentinel ingiere registros de todo tu entorno (recursos Azure, servidores locales, firewalls, herramientas de endpoint, proveedores de identidad) en un espacio de trabajo de Log Analytics, y luego te permite consultar esos datos con Kusto Query Language (KQL), crear reglas de detección, visualizar tendencias y automatizar respuestas. Piénsalo como cuatro capas apiladas juntas: recopilación de datos, detección, investigación y respuesta.

Configurar Tu Primer Espacio de Trabajo

Necesitarás una suscripción de Azure para seguir. Comienza creando un espacio de trabajo de Log Analytics, luego habilita Sentinel sobre él desde el portal de Azure. Algunos consejos para principiantes:

  • Usa un grupo de recursos dedicado para tu laboratorio para que la limpieza sea fácil después.
  • Elige una región cerca de tus otros recursos de prueba para reducir la latencia y los costos de salida.
  • La facturación de Sentinel se basa en el volumen de ingesta de datos, así que si estás experimentando, mantén un ojo en las fuentes de datos conectadas—los créditos de prueba gratuita desaparecen rápidamente si conectas fuentes de registros ruidosas.

Una vez que el espacio de trabajo existe, la página de descripción general de Sentinel se convierte en tu base de operaciones, mostrando incidentes, estado del conector de datos y actividad reciente.

Conectar Fuentes de Datos

Los conectores de datos son cómo Sentinel ingiere registros. Para un laboratorio de principiantes, comienza poco a poco:

  1. Registro de Actividad de Azure — gratuito e integrado, muestra eventos del plano de administración en tu suscripción.
  2. Registros de Microsoft Entra ID (Azure AD) — los registros de inicio de sesión y auditoría son excelentes para practicar lógica de detección en torno a anomalías de autenticación.
  3. Eventos de Seguridad de Windows a través de AMA (Agente de Azure Monitor) — si ejecutas una VM de prueba, esto te permite practicar con telemetría estilo endpoint.

Evita conectar grandes flujos de terceros de firewall o proxy hasta que entiendas los costos de ingesta—estos pueden producir volúmenes de registros enormes.

Aprender lo Básico de KQL

Kusto Query Language es innegociable para trabajar con Sentinel. Comienza con estos patrones:

SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5

Esta consulta simple expone cuentas con intentos de inicio de sesión fallidos repetidos por hora—un indicador clásico de fuerza bruta. Practica con where, summarize, join y bin hasta que se sientan naturales. Los módulos de KQL de Microsoft Learn y las consultas de ejemplo de Sentinel bajo Analytics son buenas referencias gratuitas.

Crear Tu Primera Regla de Analytics

Las reglas de Analytics convierten consultas KQL en detecciones automatizadas que generan incidentes. Para crear una:

  • Ve a Analytics > Create > Scheduled query rule.
  • Pega una consulta similar al ejemplo de fuerza bruta anterior.
  • Establece la frecuencia de consulta y el período de búsqueda (por ejemplo, ejecutar cada hora, mirar hacia atrás una hora).
  • Asigna entidades (como UserPrincipalName) para que Sentinel pueda correlacionar este incidente con otros que involucren la misma cuenta.
  • Elige configuraciones de agrupación de alertas para evitar fatiga de incidentes.

Microsoft también envía muchas plantillas de reglas de análisis integradas—revisa estas primero para entender patrones de detección comunes antes de escribir los tuyos desde cero.

Investigar Incidentes

Cuando una regla se activa, crea un incidente en la hoja Incidents. Haz clic en uno y usa el gráfico de investigación para ver entidades relacionadas—usuarios, IPs, hosts—y cómo se conectan en otras alertas. Esta vista de gráfico es una de las características más amigables para principiantes de Sentinel porque asigna visualmente el

Este artículo se generó con asistencia de IA y se publicó en la base de conocimiento de Korra Studio.

¿Listo para ir más allá?

Esta es una nota de la base de conocimiento de Korra Studio — la plataforma combina cada tema con mentoría 1 a 1.

Empezar gratisarrow_forward