Los equipos de seguridad no necesitan más alertas inconexas. Necesitan un contexto más claro.
Esto es especialmente cierto en el ámbito de la seguridad de identidades, donde la diferencia entre un evento sospechoso y una amenaza real suele reducirse a comprender la exposición, los privilegios, las vías de ataque y lo que más importa desde el punto de vista operativo. Si tu SOC puede ver una alerta pero no es capaz de comprender rápidamente cómo esa identidad se relaciona con los activos críticos, no has mejorado la respuesta. Simplemente has añadido otra pantalla que mirar.
Por eso me entusiasma el trabajo que ha realizado Semperis con Microsoft Sentinel y Security Copilot.
Ahora contamos con una integración operativa y lista para su uso en el entorno real que incorpora Semperis Lightning Intelligence al ecosistema de seguridad de Microsoft mediante componentes nativos de Microsoft, entre los que se incluyen Azure Functions, DCE/DCR, las tablas de espacios de trabajo de Log Analytics, KQL, Security Copilot y MCP.
Visto desde fuera, esto podría parecer una simple historia de integración. En la práctica, es algo más importante: una forma de convertir los riesgos de identidad en acciones concretas dentro de los flujos de trabajo que los equipos de seguridad ya utilizan a diario.
¿Por qué integrar Semperis con Sentinel y Copilot?
El verdadero problema no es el volumen de alertas, sino la falta de contexto sobre la identidad.
Durante años, los responsables de la seguridad se han enfrentado a una brecha entre la visibilidad de la identidad y la respuesta operativa. Es posible que se sepa que un usuario supone un riesgo o que un entorno presenta una exposición peligrosa, pero esa información suele encontrarse en una consola distinta, en un conjunto de datos diferente o en una conversación de otro equipo.
Mientras tanto, el SOC avanza a gran velocidad. Los analistas deben investigar incidentes, detectar amenazas y responder a preguntas cruciales sin perder tiempo cambiando constantemente de herramienta. Ahí es donde, con demasiada frecuencia, falla la seguridad de la identidad.
Nuestro enfoque con Lightning Intelligence siempre Lightning Intelligence consistido en centrarnos en lo que más importa desde el punto de vista del defensor, especialmente en las vías de acceso a los activos críticos de nivel 0.
La integración con Microsoft amplía esa filosofía al flujo de trabajo del SOC al permitir que los datos de Lightning estén disponibles directamente en Sentinel, donde los analistas pueden consultarlos, correlacionarlos y utilizarlos en investigaciones en curso.
Esto es importante porque la identidad ya no es un ámbito de seguridad minoritario. Es un elemento fundamental en las vías de ataque actuales en entornos híbridos.
Cómo funciona la integración: nativa de Microsoft, diseñada para operaciones reales
Una de las cosas que me preocupan en cualquier integración de seguridad es si resulta práctica.
- ¿Es escalable?
- ¿Es compatible con la arquitectura actual del cliente?
- ¿Los equipos pueden utilizarlo realmente en entorno de producción?
En este caso, todas las respuestas son «sí».
La integración utiliza un conector basado en Azure Functions de nivel de producción para extraer datos de las API REST de Lightning según una programación configurable y transmitirlos a Sentinel a través de DCE/DCR. Esto ofrece a los clientes una opción más sólida que la de depender únicamente del marco de conectores sin código, sin dejar de ser totalmente nativo de Azure.
También es importante destacar que esto no se limita a un subconjunto reducido de datos de telemetría. La integración recoge todos los tipos de datos de Lightning y los proveedores de identidad compatibles que expone la API, incluidos Active Directory, Entra ID y otras fuentes compatibles. En otras palabras, Sentinel obtiene una visión más amplia y completa del estado de la identidad híbrida y de las vías de ataque, y no solo una visión parcial de los eventos específicos de AD.
Cada tipo de datos de Lightning se asigna a su propia tabla personalizada en el espacio de trabajo de Log Analytics, lo que significa que los equipos pueden utilizar esos datos como entrada de primer orden para consultas KQL, paneles, escenarios de búsqueda y reglas de análisis. Se trata de una decisión de diseño importante.
Las buenas integraciones no se limitan a transferir datos. Hacen que los datos sean útiles.
¿Qué cambios supone la integración de Semperis para el SOC?
El valor más inmediato reside en la respuesta ante incidentes y la detección proactiva de amenazas.
Cuando un analista recibe una alerta sobre una identidad, puede acceder directamente desde Sentinel a información contextual derivada de Lightning —como rutas de ataque, exposición de nivel 0 e indicadores de estado de seguridad— sin salir del entorno de seguridad de Microsoft. Esto reduce las dificultades justo en el momento en que la rapidez y la claridad son más importantes.
El modelo de datos también permite tanto la clasificación de incidencias en tiempo real como la investigación retrospectiva. Dado que los datos son de solo adición y cuentan con marca de tiempo —y que la retención se puede ajustar en los distintos niveles de análisis y del lago de datos—, los equipos pueden utilizarlos tanto para investigaciones en tiempo real como para análisis retrospectivos y de tendencias. La deduplicación se puede gestionar a nivel de consulta o de agente.
Desde el punto de vista operativo, la sincronización por defecto cada hora ofrece un equilibrio práctico entre la actualidad de los datos y el coste, al tiempo que permite ajustar la frecuencia de consulta en función de las necesidades del cliente. Ese es el tipo de equilibrio que valoran los equipos de seguridad con experiencia.
No necesitas la perfección teórica. Necesitas datos útiles, lo suficientemente actuales como para que sean relevantes, en un formato que se adapte a tus procesos de trabajo y a tu presupuesto.
Dónde la IA resulta realmente útil
Hay mucho revuelo en el mercado en torno a la inteligencia artificial aplicada a la seguridad. Mi opinión es sencilla:
La IA solo resulta útil cuando ayuda a los analistas a actuar con mayor rapidez y con mejor criterio.
Por eso considero que la parte de Security Copilot de esta historia es especialmente interesante.
Semperis ha desarrollado y puesto a prueba agentes personalizados de Security Copilot que funcionan íntegramente dentro de la pila de seguridad de Microsoft, utilizando herramientas basadas en KQL sobre las tablas de Lightning en Sentinel.
- Estos agentes pueden funcionar tanto en modo basado en tareas como en modo conversacional. Pueden recibir una identidad como entrada y devolver un resumen estructurado del riesgo y la postura de seguridad, que incluye rutas expuestas, proximidad de nivel 0 e indicadores de riesgo.
- Además, son capaces de gestionar los errores tipográficos y las coincidencias aproximadas buscando identidades similares y volviendo a intentarlo automáticamente, algo que puede parecer insignificante hasta que uno se da cuenta de la frecuencia con la que ese tipo de obstáculos ralentizan las investigaciones en el mundo real.
- Y lo que es más importante, pueden responder a preguntas de mayor complejidad que son relevantes para los responsables de la seguridad, como quiénes son los atacantes más peligrosos o qué objetivos de nivel 0 están más expuestos, utilizando herramientas KQL adicionales sobre los datos integrados.
Ahí es donde la IA empieza a pasar de ser una novedad a aportar valor operativo. No sustituye al analista, sino que potencia su capacidad para convertir los datos de telemetría de identidad en información útil.
Y dado que estos agentes pueden publicarse a través de Microsoft Security Store, los clientes comunes pueden encontrar, implementar y gestionar el conector y los agentes directamente desde el ecosistema de Microsoft.
Por qué esto es importante desde el punto de vista estratégico
En un plano más general, esta integración refleja la evolución de la arquitectura de seguridad.
- Sentinel se convierte en la plataforma central de análisis y detección. El almacenamiento por niveles favorece la flexibilidad operativa y el control de costes.
- Security Copilot incorpora una capa de coordinación basada en IA para analistas y personal de respuesta.
Para las organizaciones que ya están adoptando Security Copilot como estándar, el modelo también se ajusta al enfoque de Microsoft en materia de computación de IA segura, gestionada por el cliente, y medición del consumo.
Esa combinación es muy eficaz porque no obliga a los defensores a elegir entre la profundidad de la identidad y la coherencia de la plataforma. Pueden tener ambas cosas.
Los equipos de seguridad ya saben que la identidad es un ámbito clave. El siguiente paso es poner la inteligencia de identidad a disposición de quienes toman las decisiones. Gracias a la colaboración entre Semperis Lightning Intelligence, Microsoft Sentinel y Security Copilot, ese futuro ya está tomando forma.
Obtén más información sobre Lightning Intelligence mira vídeos en los que se muestra su funcionamiento.
¿Quieres saber exactamente cómo Lightning Intelligence beneficiar a tu organización? Solicita una demostración. Estamos aquí para ayudarte.
