SESIÓN 04 — Operations + Data Lake
Details
SOC Hands-On Workshop · Sesión 04
Operations + Data Lake
Hay algo que nadie te dice cuando empiezas con Sentinel: la factura puede subir sin que nadie lo decida conscientemente. Esta sesión es sobre entender por qué y cómo controlarlo sin perder visibilidad.
── Lo que harás ──
El primer ejercicio usa KQL sobre la tabla Usage del workspace para ver qué tablas consumen más GB de ingesta, cuánto representan en costo estimado y cuáles deberían estar en un tier más barato. Es la consulta que deberías ejecutar en cualquier workspace de producción antes de que llegue la primera factura sorpresa.
El segundo ejercicio mueve los logs de firewall de Palo Alto de Analytics tier (el más caro) a Basic tier: menos costo de ingesta, retención configurada, y los datos siguen accesibles vía search job. El ahorro estimado en ese ejercicio solo es del 80% para esa tabla.
El tercer ejercicio es el más revelador: lanzar un search job sobre 90 días de logs históricos en el Data Lake para encontrar el patrón de movimiento lateral del atacante — conexiones desde la IP comprometida hacia múltiples destinos internos que ocurrieron semanas antes del incidente visible. El atacante que ninguna regla de ventana de 10 minutos puede detectar.
El cuarto ejercicio configura una summary rule que agrega el tráfico de Palo Alto por hora antes de que llegue a la tabla de destino. Misma señal de detección. El costo de ingesta del firewall baja un 99% sin tocar ninguna regla existente.
Un invitado que opera Sentinel en producción hablará de la primera factura que no esperaba, qué tabla fue la más cara y cómo convenció al CFO de que Sentinel vale lo que cuesta.
── Lo que te llevas ──
→ Diagnóstico de costos del workspace con KQL
→ Table tier configurado y ahorro validado
→ Primer search job sobre datos históricos ejecutado
→ Summary rule activa que reduce ingesta sin perder detección
── Prerequisitos ──
→ Haber completado S01, S02 y S03
→ KQL intermedio (summarize, join, where con condiciones múltiples)
Related topics
Sponsors
Microsoft
Instalaciones
Subway
Catering