¿Qué es un SIEM y por qué necesito uno?

SIEM (Security Information and Event Management) es un sistema que recolecta logs y eventos de seguridad de toda la infraestructura (firewalls, servidores, aplicaciones, identidades, endpoints) y los correlaciona para detectar patrones de ataque. Sin un SIEM, los eventos de un firewall, los logins sospechosos de Entra ID y el comportamiento anómalo de un servidor ocurren de forma aislada sin que nadie los conecte. Un SIEM ve el cuadro completo.

¿Cuánto cuesta Microsoft Sentinel?

Sentinel usa un modelo de pago por ingesta de datos (GB/día analizados) o por commitment tier si el volumen es predecible. Para organizaciones pequeñas y medianas, el costo mensual típico está entre USD 500 y 2.500/mes, dependiendo del volumen de logs. Microsoft ofrece 90 días de retención de datos gratuita. Los datos de Microsoft 365 Defender, Entra ID y Defender for Cloud se ingieren sin costo adicional (Free Data Sources).

¿Microsoft Sentinel puede integrarse con sistemas que no son de Microsoft?

Sí. Sentinel incluye más de 200 conectores para fuentes de terceros: firewalls Cisco, Palo Alto, Fortinet, AWS CloudTrail, Google Cloud, Okta, ServiceNow, Salesforce, y muchos más. También tiene conectores para CEF/Syslog que permiten integrar prácticamente cualquier dispositivo de red o servidor que genere logs estándar.

¿Se necesita un analista de seguridad para operar Sentinel?

Sentinel reduce significativamente la carga de análisis manual gracias a la IA y la automatización. Las reglas de análisis de Microsoft (Microsoft Security Analytics Rules) detectan los ataques más comunes automáticamente. Los playbooks de respuesta automática resuelven una gran proporción de incidentes sin intervención. Dicho esto, para aprovechar Sentinel al máximo y manejar incidentes complejos, se recomienda al menos una persona con conocimientos de seguridad o un servicio de MSSP (Managed Security Service Provider) como Dattics.

¿Cuál es la diferencia entre Sentinel y Microsoft Defender?

Defender protege productos específicos: Defender for Endpoint protege PCs y servidores, Defender for Identity protege los controladores de dominio, Defender for Office 365 protege el correo. Sentinel es la capa de orquestación: recibe las alertas de todos los Defenders (y de todo lo demás) y las correlaciona en una vista unificada para detectar ataques multi-vector que cruzan varios productos. Sentinel es el SIEM; Defender son los sensores.

Microsoft Sentinel: El SIEM con IA que Detecta Amenazas antes de que Causen Daño

Un atacante entra a la red de una empresa colombiana de logística en enero. Pasa cuatro meses moviéndose lateralmente: primero compromete una cuenta de servicio con pocos privilegios, luego escala privilegios aprovechando una configuración incorrecta, después accede al servidor de backups. En mayo ejecuta el ransomware. En esos cuatro meses, generó miles de eventos de seguridad — todos visibles en los logs, ninguno conectado.

Este tipo de ataque, llamado Advanced Persistent Threat (APT), es la norma para los grupos de ransomware modernos. Tienen tiempo, paciencia y conocen exactamente cómo evadir las defensas convencionales que miran cada sistema por separado.

Microsoft Sentinel fue construido para este problema: es una plataforma SIEM/SOAR nativa en la nube que usa inteligencia artificial para ver el cuadro completo, conectar eventos aparentemente inconexos y detectar los patrones que revelan un ataque en curso antes de que llegue a su fase destructiva.

¿Qué es SIEM y qué es SOAR?

SIEM (Security Information and Event Management): Sistema que recolecta, normaliza y correlaciona eventos de seguridad de múltiples fuentes — firewalls, servidores, aplicaciones, endpoints, identidades, redes — en un único repositorio centralizado donde se pueden analizar, buscar y generar alertas.

SOAR (Security Orchestration, Automation and Response): La capacidad de automatizar la respuesta a esos incidentes. En lugar de que un analista siga manualmente un runbook de 20 pasos cuando detecta un phishing, el SOAR ejecuta automáticamente esos pasos: aísla el dispositivo, revoca la sesión del usuario, envía una notificación al responsable, abre un ticket en el sistema de gestión.

Sentinel combina ambas capacidades en una plataforma unificada y nativa en Azure.

La arquitectura de Sentinel: cómo funciona

Conectores de datos

Sentinel ingiere datos de todo el ecosistema. Los conectores nativos de Microsoft se habilitan en un par de clics:

Microsoft 365 Defender (Defender for Endpoint, Identity, Office 365, Cloud Apps)
Microsoft Entra ID (logins, cambios de directorio, riesgo de identidad)
Azure Activity (operaciones en la suscripción de Azure)
Microsoft Defender for Cloud (postura de seguridad de infraestructura)

Y para el ecosistema no-Microsoft, más de 200 conectores adicionales: firewalls de red, soluciones de seguridad de terceros, plataformas cloud alternativas, aplicaciones SaaS.

Log Analytics Workspace

Todos los datos ingeridos se almacenan en un Log Analytics Workspace de Azure — una base de datos altamente escalable optimizada para búsqueda sobre logs. Las consultas se escriben en KQL (Kusto Query Language), un lenguaje diseñado para análisis de datos temporales que permite hacer búsquedas complejas sobre terabytes de logs en segundos.

Reglas de análisis: la inteligencia de detección

Aquí es donde Sentinel convierte datos crudos en alertas de seguridad relevantes. Hay tres tipos de reglas:

Reglas programadas (Scheduled): Queries KQL que se ejecutan cada cierto intervalo y generan alertas cuando encuentran patrones específicos. Microsoft publica cientos de plantillas de reglas para las amenazas más comunes (fuerza bruta, movimiento lateral, exfiltración de datos, etc.) que se pueden activar con un clic.

Reglas de correlación NRT (Near Real-Time): Similar a las programadas pero con latencia de un minuto — para amenazas que requieren respuesta casi inmediata.

Reglas de análisis de Machine Learning: Modelos de ML que aprenden el comportamiento normal de la organización y alertan sobre anomalías: un usuario que descarga 10 veces más datos de lo habitual, un proceso que accede a cientos de archivos en minutos, un login a las 3 AM desde un país donde la empresa no tiene presencia.

Incidentes y correlación

Sentinel no solo genera alertas individuales — las agrupa en incidentes. Si el mismo usuario tiene un login sospechoso, luego intenta acceder a recursos no habituales y después descarga un volumen inusual de archivos, Sentinel correlaciona esas tres alertas en un único incidente con toda la cadena de eventos, el contexto del usuario, los dispositivos involucrados y una puntuación de severidad.

Esto reduce el “alert fatigue” — el fenómeno donde los analistas reciben tantas alertas individuales que comienzan a ignorarlas — y permite enfocarse en los incidentes verdaderamente relevantes.

Playbooks de respuesta automática (SOAR)

Los playbooks son flujos de trabajo automatizados (construidos con Azure Logic Apps) que se ejecutan cuando se crea o actualiza un incidente. Ejemplos:

Ante una alerta de credenciales comprometidas: Deshabilitar la cuenta en Entra ID automáticamente → revocar todas las sesiones activas → notificar al usuario por Teams o SMS → crear ticket en ITSM → notificar al equipo de seguridad.

Ante malware detectado en un endpoint: Aislar el dispositivo de la red (a través de Defender) → iniciar investigación automática → notificar al responsable del endpoint → escalar si la investigación encuentra actividad de movimiento lateral.

Estos playbooks reducen el tiempo de respuesta de horas a minutos y garantizan que el proceso se ejecute de forma consistente sin depender de que el analista correcto esté disponible a las 2 AM.

Threat Intelligence: el contexto global

Sentinel se integra con plataformas de Threat Intelligence que proveen contexto sobre actores de amenazas, campañas activas e indicadores de compromiso (IoCs): IPs maliciosas, dominios de phishing, hashes de malware conocido.

Microsoft alimenta Sentinel con inteligencia de amenazas del equipo Microsoft Threat Intelligence Center (MSTIC), que rastrea grupos APT patrocinados por estados, grupos de ransomware-as-a-service y operaciones de fraude a nivel global. Cuando un atacante usa una infraestructura que ya fue identificada como maliciosa en otras campañas, Sentinel lo detecta inmediatamente.

UEBA: comportamiento de usuarios y entidades

User and Entity Behavior Analytics (UEBA) es la capacidad de Sentinel que construye líneas base de comportamiento para cada usuario, dispositivo y recurso, y detecta desviaciones estadísticamente significativas.

No se trata de reglas rígidas (“si el usuario descarga más de X GB, alertar”) sino de modelos adaptativos que aprenden que el CFO normalmente trabaja de 8 AM a 7 PM, accede principalmente a documentos financieros, rara vez sale de Colombia. Si esa cuenta hace un login desde Asia a las 11 PM y descarga el directorio completo de empleados, UEBA detecta la anomalía aunque no violó ninguna regla explícita.

¿Sentinel es para empresas grandes solamente?

Históricamente, los SIEMs eran herramientas de grandes corporaciones con equipos de seguridad dedicados. Sentinel cambia ese paradigma con su modelo de precios basado en consumo (paga por lo que ingiere) y sus capacidades de automatización que reducen la dependencia de analistas especializados.

Para empresas medianas colombianas con 50-500 usuarios, una implementación básica de Sentinel (Microsoft 365 Defender, Entra ID, y firewall principal) proporciona visibilidad significativa a un costo mensual manejable, con alertas automáticas que cualquier administrador de sistemas puede interpretar y actuar.

El escenario ideal para el mercado colombiano es un modelo co-gestionado: la empresa configura Sentinel y recibe las alertas; Dattics ofrece el servicio de revisión periódica, fine-tuning de reglas y respuesta a incidentes críticos cuando se necesita profundidad de expertise en seguridad.

¿Tiene claridad sobre qué está pasando en su red en este momento? Hablemos y evaluamos si Sentinel es el nivel de visibilidad de seguridad que su organización necesita.