SESIÓN 01 — Onboarding + Exploración de datos
Details
SOC Hands-On Workshop · Sesión 01
Onboarding + Exploración de datos
Hay una diferencia enorme entre ver una demo de Sentinel y tener un workspace propio con un ataque activo esperándote. En esta primera sesión, esa diferencia desaparece.
── Lo que harás ──
En los primeros 30 minutos desplegarás en tu suscripción Azure un entorno SOC completo usando el Microsoft Sentinel Training Lab — el repositorio oficial de Microsoft. Seis fuentes de datos simuladas (CrowdStrike, Palo Alto, Okta, AWS CloudTrail, GCP Audit Logs y MailGuard365), 22 reglas de detección activas y un incidente multi-etapa ya en curso. Los datos tienen estructura y formato reales.
Luego harás tu primera consulta KQL sobre esos datos: no para aprender sintaxis en abstracto, sino para encontrar el email de phishing que inició el ataque, rastrear al usuario comprometido y ver cómo Sentinel correlaciona 22 alertas individuales en un solo incidente cohesivo en Defender XDR.
El segundo ejercicio conecta los indicadores de compromiso del ataque — IPs, dominios, hashes — con Microsoft Defender Threat Intelligence y muestra cómo Sentinel los consume automáticamente.
── Lo que te llevas ──
→ Lab desplegado en tu propia suscripción Azure, listo para las siguientes 4 sesiones
→ Primera consulta KQL funcional sobre datos reales de un ataque multi-etapa
→ Threat Intelligence conectada al workspace
→ El incidente unificado del escenario visible en Defender XDR
── Prerequisitos ──
→ Suscripción Azure activa con rol Owner o Contributor (prueba gratuita válida)
→ Conocimiento básico de seguridad — no se requiere experiencia previa con Sentinel
→ Recomendado: desplegar el lab antes de la sesión siguiendo el video guía (enlace enviado al confirmar asistencia)
Sponsors
Microsoft
Instalaciones
Subway
Catering