Por: Scott Woodgate y Krishna Kumar Parthasarathy.
No se puede proteger lo que no se ve. Los equipos de operaciones de seguridad se han enfrentado durante mucho tiempo al desafío de administrar conjuntos de datos masivos y de rápido crecimiento, y el costo de escalar las herramientas tradicionales de administración de datos para manejar estos volúmenes de datos se ha vuelto insostenible. Evolucionamos nuestra solución de administración de eventos e incidentes de seguridad (SIEM, por sus siglas en inglés) líder en la industria, Microsoft Sentinel, para incluir un lago de datos moderno y rentable. Al unificar todos sus datos de seguridad, el lago de datos de Microsoft Sentinel, ahora en versión preliminar pública, acelera la adopción de la IA agentiva e impulsa una visibilidad sin precedentes, lo que permite a los equipos detectar y responder más rápido. Con el lago de datos Sentinel, ya no se verán obligados a elegir entre conservar datos críticos y mantenerse dentro del presupuesto.
Más información sobre Microsoft Sentinel
Microsoft Sentinel comenzó este camino hace cinco años con la introducción del primer SIEM nativo de la nube para simplificar la incorporación de datos y llevar el poder de la IA a la detección de amenazas.¹ Desde entonces, hemos integrado Sentinel con Microsoft Defender y lo hemos enriquecido con inteligencia de amenazas en tiempo real, recomendaciones guiadas y capacidades de respuesta automatizada. El lago de datos Microsoft Sentinel es el siguiente paso en ese recorrido, creado para ayudar a los líderes de seguridad a superar las limitaciones de los SIEM tradicionales al poner los datos de seguridad en el centro del centro de operaciones de seguridad (SOC, por sus siglas en inglés), a escala y sin concesiones. Ahora, pueden continuar su propio recorrido e incorporar el lago de datos de Microsoft Sentinel.
Eliminación de los silos de datos para mejorar la seguridad
Con el rápido crecimiento de los volúmenes de registros de seguridad, los equipos se ven obligados a hacer dolorosas concesiones: reducir el registro y arriesgar puntos ciegos, acortar la retención con la posibilidad de comprometer la profundidad forense o absorber costes insostenibles cuando pretenden gestionar todos sus datos de seguridad dentro de un SIEM. Esta es la paradoja de la seguridad moderna: cuantos más datos tienen, más difícil se vuelve usarlos de manera efectiva. Y sin una visibilidad unificada a largo plazo, incluso los modelos de IA más avanzados no pueden desarrollar todo su potencial. Los datos aislados significan amenazas cibernéticas perdidas, investigaciones retrasadas y herramientas infrautilizadas.
El lago de datos de Microsoft Sentinel se creó en específico para resolver este desafío y proporciona la base para la defensa de agentes. Reúne todos sus datos de seguridad, de Microsoft y de terceros, en un único lago de datos rentable, con más de 350 conectores nativos. Con un precio de retención de datos de menos del 15% de los registros de análisis tradicionales, permite un enriquecimiento sin problemas con inteligencia de amenazas y detección impulsada por IA en todo su entorno. No se trata solo de un nuevo producto, sino de una nueva arquitectura para las operaciones de seguridad, que permite a los equipos de seguridad perseguir las ciberamenazas durante meses o años, reconstruir incidentes con precisión y desbloquear todo el valor de la IA.
La visión de Microsoft para el lago de datos Sentinel refleja lo que más importa en ciberseguridad: claridad, escala e impacto en el mundo real. Con más de 1.200 despliegues de Sentinel en todo el mundo, BlueVoyant ha visto la necesidad de primera mano. Los desafíos de datos a gran escala son ahora la norma. El lago de datos de Sentinel marca una evolución natural del modelo SIEM y SOAR, que respalda de manera crítica la analítica moderna, la ciencia de datos y la estrategia de ingesta flexible. Es un paso crítico hacia adelante para los clientes que buscan modernizar sus operaciones de seguridad.
—Milan Patel, director de ingresos de BlueVoyant
Para ayudar aún más a los defensores a sacar el máximo provecho de sus datos, democratizamos la inteligencia de amenazas mediante la convergencia de las capacidades de Inteligencia de amenazas de Microsoft Defender (MDTI, por sus siglas en inglés) en Defender XDR y Sentinel sin costo adicional; esto significa que los equipos de seguridad ya no necesitarán comprar una SKU independiente para acceder a estas características eficaces. El valor de MDTI se combinará en Sentinel y Defender XDR a lo largo del tiempo, a partir de octubre de 2025, cuando todos los informes de amenazas propias de Microsoft, incluidos los perfiles de Intel y los indicadores de riesgo (IoC, por sus siglas en inglés), estarán disponibles en Defender XDR. Además, los IoC se incorporarán a la gestión de casos de Sentinel para que los clientes puedan colaborar y compartir inteligencia de amenazas entre los equipos de su organización. El resto de las funciones estarán disponibles con el tiempo.
Con este cambio, los equipos de seguridad pueden acceder con facilidad a un potente repositorio de inteligencia de amenazas de primera línea, procedente de 84 billones de señales diarias y respaldada por la experiencia de más de 10 mil especialistas en seguridad de Microsoft. Obtengan más información sobre cómo este valor agregado en Sentinel y Defender mejorará en gran medida las capacidades con datos de amenazas de alta calidad y en tiempo real.
Capacitar a los equipos de seguridad para que hagan más
La promesa de la IA en la ciberseguridad siempre ha sido audaz: detección más rápida, respuesta más inteligente y la capacidad de superar incluso a los ciberatacantes más sofisticados. Pero la mayoría de los equipos de seguridad se ven frenados por datos fragmentados y un contexto incompleto. La centralización de sus datos en un lago de datos enriquecido con Intel para amenazas elimina los silos y garantiza que los modelos de IA como Security Copilot tengan el contexto completo que necesitan para detectar patrones sutiles de ciberataques, correlacionar señales a través del tiempo y el espacio, y mostrar alertas de alta fidelidad. Esto crea la base para el futuro de la defensa agentica, en la que la IA no solo ayuda, sino que actúa. Este cambio ahora permite a los equipos de seguridad:
- Descubrir el comportamiento de los ciberatacantes que se remonta a años atrás sin preocuparse tanto por los límites de almacenamiento
- Abordar los casos de uso previos y posteriores a la violación al correlacionar los datos de activos, actividad y TI
- Utilizar la información de amenazas en tiempo real para clasificar más rápido y buscar datos históricos de forma retroactiva
- Desencadenar detecciones de manera automática, en función de los IoC más recientes y las tácticas, técnicas y procedimientos (TTP)
- Usar el lenguaje de consulta Kusto (KQL, por sus siglas en inglés) y Apache Spark para realizar consultas en horizontes temporales extendidos y detectar patrones sutiles de ciberataques
- Respaldar las necesidades normativas y de cumplimiento con una retención de datos escalable y rentable
Estos son los trabajos que más importan en las operaciones de seguridad modernas y ahora son más fáciles, rápidos y rentables de ejecutar.
Para los equipos cibernéticos, la proliferación masiva de datos puede desviar el enfoque o retrasar las respuestas a las amenazas [cibernéticas] genuinas. El lago de datos de Microsoft Sentinel puede ser una herramienta valiosa para la centralización y visibilidad de datos, así como para el análisis histórico de grandes volúmenes de conjuntos de datos. Junto con Microsoft, Accenture puede ayudar a nuestros clientes a aprovechar el lago de datos para ampliar el poder de Microsoft Sentinel para potenciar la detección de ataques y la corrección proactiva.
—Rex Thexton, director de tecnología, Accenture Security
Simplificación de las operaciones a la vez que se está preparado para la IA
El lago de datos de Microsoft Sentinel simplifica la administración de datos con una experiencia flexible y centralizada en el portal de Microsoft Defender, al reunir sus datos de seguridad junto con las herramientas que sus defensores usan para prevenir, detectar y responder a las ciberamenazas todos los días. Los analistas pueden moverse sin problemas entre los niveles de análisis y lago de datos, lo que permite una respuesta en tiempo real y una investigación profunda desde una única interfaz. Al mismo tiempo, todos los datos almacenados en el nivel de análisis están disponibles de manera automática en el nivel de lago de datos, y debido a que se basa en formatos abiertos, las organizaciones pueden adaptar los flujos de trabajo de análisis, crear modelos personalizados de aprendizaje automático (ML, por sus siglas en inglés) y aprovechar las herramientas conocidas, en lugar de una sola copia de sus datos de seguridad, para ampliar el valor del lago de datos y satisfacer sus necesidades únicas. Ya sea que estén en el proceso de consolidación de herramientas, ampliación de su SOC o preparándose para la defensa impulsada por IA, el lago de datos Sentinel se adapta a su estrategia y recorrido de seguridad.
El lago de datos de Sentinel permite a los equipos de SOC entrar en la próxima era de operaciones de seguridad. Ser capaz de garantizar la cobertura de su patrimonio de seguridad, en todas las fuentes de datos de seguridad y en amplios horizontes temporales, permite a los equipos de seguridad detectar de forma proactiva los ciberataques latentes, detectar las ciberamenazas emergentes con modelos impulsados por IA, reconstruir las líneas de tiempo de los ciberataques con detalles forenses y descubrir de manera retroactiva, indicadores de compromiso que, de otro modo, podrían pasar desapercibidos.
La superficie de ataque cibernético se expande con cada aplicación y aplicación de IA implementadas en entornos de nube híbrida, y los ataques impulsados por IA evolucionan con la misma rapidez. Lo que a muchas organizaciones todavía les falta no es solo mejores herramientas, sino visibilidad en tiempo real de su patrimonio de TI, sus configuraciones y contexto empresarial. Para comprender su exposición completa, las organizaciones necesitan la inteligencia de activos adecuada y un esfuerzo compartido de la industria. El nuevo lago de datos de Microsoft Sentinel representa un paso valioso en esa dirección; IBM se compromete a trabajar en todo el ecosistema para ayudar a resolver ese desafío.
—Srini Tummalapenta, ingeniero distinguido de IBM, director de tecnología de IBM Consulting Cybersecurity Services
Este lanzamiento marca más que una evolución del producto, al permitir a los equipos de operaciones de seguridad responder más rápido y con la máxima visibilidad. Microsoft Sentinel sigue con la ampliación de los límites con una arquitectura escalable que combina SIEM, detección y respuesta extendidas (XDR, por sus siglas en inglés) e inteligencia sobre amenazas en una única experiencia integrada. El lago de datos Sentinel es la base de esta evolución, ya que permite a los equipos de seguridad procesar más datos, de forma más inteligente y más asequible que nunca.
Comiencen hoy mismo
El lago de datos de Microsoft Sentinel ya está en versión preliminar. Únanse a nosotros para redefinir lo que es posible en las operaciones de seguridad:
- Lago de datos Sentinel integrado
- Obtengan más información sobre las últimas noticias en nuestro blog de Tech Community
- Explorar nuestros precios
- Más información sobre nuestras noticias MDTI
- Regístrense para la próxima ola de innovación
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
¹Anuncio de una nueva tecnología basada en la nube para empoderar a los defensores cibernéticos, Blog oficial de Microsoft. Ann Johnson. 28 de febrero de 2019.