Supervisión del estado y auditoría de la integridad de las reglas de análisis
Para garantizar una detección completa, ininterrumpida y sin alteraciones de amenazas en el servicio de Microsoft Sentinel, realice un seguimiento del estado y la integridad de las reglas de análisis y mantenga su funcionamiento óptimo, mediante la supervisión de su información de ejecución, consultando los registros de mantenimiento y auditoría, y usando una nueva ejecución manual para probar y optimizar las reglas.
Configure notificaciones de eventos de estado y auditoría para las partes interesadas competentes, que luego puedan tomar medidas. Por ejemplo, defina y envíe mensajes de correo electrónico o de Microsoft Teams, cree nuevos vales en el sistema de vales, etc.
En este artículo se describe cómo se usan las características de seguimiento de estado y auditoría de Microsoft Sentinel para realizar un seguimiento del estado y la integridad de las reglas de análisis desde Microsoft Sentinel.
Para obtener información sobre la información de reglas y la nueva ejecución manual de reglas, consulte Supervisión y optimización de la ejecución de las reglas de análisis programadas.
Importante
Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Registros de estado de las reglas de análisis de Microsoft Sentinel:
- Este registro captura eventos que registran la ejecución de reglas de análisis y el resultado final de estas ejecuciones (si se han realizado correctamente o no y, en caso de error, el motivo).
- Para cada ejecución de una regla de análisis, el registro también registrará:
- Número de eventos que captura la consulta de la regla.
- Indica si el número de eventos ha superado el umbral definido en la regla, lo que hace que la regla active una alerta.
Estos registros se recopilan en la tabla SentinelHealth de Log Analytics.
Registros de auditoría de las reglas de análisis de Microsoft Sentinel:
- Este registro captura los eventos que registran los cambios realizados en cualquier regla de análisis, incluidos los detalles siguientes:
- Nombre de la regla que se cambió.
- Qué propiedades de la regla se cambiaron.
- Estado de la configuración de la regla antes y después del cambio.
- El usuario o la identidad que realizó el cambio.
- Dirección IP de origen y fecha y hora del cambio.
- ...y muchos más.
Estos registros se recopilan en la tabla SentinelAudit de Log Analytics.
- Este registro captura los eventos que registran los cambios realizados en cualquier regla de análisis, incluidos los detalles siguientes:
Para obtener los datos de estado y auditoría de las tablas de datos descritas anteriormente, debe activar primero la característica de mantenimiento de Microsoft Sentinel para el área de trabajo. Para más información, consulte Activación del seguimiento de estado para Microsoft Sentinel.
Una vez que active la característica de estado, la tabla de datos SentinelHealth se crea en el primer evento de éxito o error generado para las reglas de automatización y los cuadernos de estrategias.
Los siguientes tipos de eventos de estado de la regla de análisis se registran en la tabla SentinelHealth:
Ejecución de la regla de análisis programada.
Ejecución de la regla de análisis de NRT.
Para más información, vea Esquema de columnas de la tabla SentinelHealth.
Los siguientes tipos de eventos de auditoría de la regla de análisis se registran en la tabla SentinelAudit:
Cree o actualice la regla de análisis.
Regla de análisis eliminada.
Para más información, consulte Esquema de columnas de la tabla SentinelHealth.
Para los mejores resultados, debe crear las consultas en las funciones pregeneradas en estas tablas, _SentinelHealth() y _SentinelAudit(), en lugar de consultar las tablas directamente. Estas funciones garantizan el mantenimiento de la compatibilidad con versiones anteriores de las consultas en caso de que se realicen cambios en el esquema de las propias tablas.
Como primer paso, las consultas deben filtrar las tablas por los datos relacionados con las reglas de análisis. Use el parámetro SentinelResourceType
.
_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
Si lo desea, puede filtrar aún más la lista por un tipo determinado de regla de análisis. Para esto, use el parámetro SentinelResourceKind
.
| where SentinelResourceKind == "Scheduled"
# OR
| where SentinelResourceKind == "NRT"
Aquí encontrará algunas consultas de ejemplo que le ayudarán a ponerse en marcha:
Busque reglas que no se ejecutaron correctamente:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Status != "Success"
Busque reglas que se hayan "deshabilitado automáticamente":
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | where Reason == "The analytics rule is disabled and was not executed."
Cuente las reglas y las ejecuciones que se realizaron correctamente o con errores, por motivo:
_SentinelHealth() | where SentinelResourceType == "Analytics Rule" | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
Buscar actividad de eliminación de reglas:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | where Description =="Analytics rule deleted"
Busque la actividad en las reglas, por nombre de regla y nombre de actividad:
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
Busque la actividad en las reglas, por nombre del autor de la llamada (la identidad que realizó la actividad):
_SentinelAudit() | where SentinelResourceType =="Analytic Rule" | extend Caller= tostring(ExtendedProperties.CallerName) | summarize Count = count() by Caller, Activity=Description
Para la ejecución de reglas de análisis programadas o la ejecución de reglas de análisis de NRT, puede ver cualquiera de los siguientes estados y descripciones:
Correcto: la regla se ejecutó correctamente y generó alertas
<n>
.Correcto: la regla se ejecutó correctamente, pero no alcanzó el umbral (
<n>
) necesario para generar una alerta.Error: estas son las posibles descripciones por error de regla y lo que puede hacer para solucionarlos.
Descripción Corrección Error interno del servidor al ejecutar la consulta. El tiempo de espera de ejecución de la consulta se ha agotado. No se encontró una tabla a la que se hace referencia en la consulta. Compruebe que el origen de datos pertinente esté conectado. Error semántico al ejecutar la consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración). Una función a la que llamó la consulta se denomina con una palabra reservada. Quite o cambie el nombre de la función. Error de sintaxis al ejecutar la consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración). El área de trabajo no existe. Se encontró que esta consulta usa demasiados recursos del sistema y se ha impedido su uso. Revise y ajuste la regla de análisis. Consulte nuestra descripción general del Lenguaje de consulta Kusto y la documentación de procedimiento recomendado. No se encontró una función a la que llame la consulta. Compruebe que existe en el área de trabajo de todas las funciones a las que llama la consulta. No se encontró el área de trabajo usada en la consulta. Compruebe que todas las áreas de trabajo de la consulta existan. No tiene permisos para ejecutar esta consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración). No tiene permisos de acceso a uno o varios de los recursos de la consulta. La consulta hace referencia a una ruta de acceso de almacenamiento que no se encontró. Se denegó el acceso a la consulta a una ruta de acceso de almacenamiento. En esta área de trabajo se definen varias funciones con el mismo nombre. Quite o cambie el nombre de la función redundante y restablezca la regla editándola y guardándola. Esta consulta no devolvió ningún resultado. No se permiten varios conjuntos de resultados en esta consulta. Los resultados de la consulta contienen un número incoherente de campos por fila. La ejecución de la regla se retrasó por tiempos de ingesta de datos prolongados. La ejecución de la regla se ha retrasado por problemas temporales. La alerta no se enriqueció por problemas temporales. La alerta no se ha enriquecido por problemas de asignación de entidades. <Número> entidades se quitaron en la alerta <nombre> debido al límite de tamaño de alerta de 32 KB. <Número> entidades se quitaron en la alerta <nombre> debido problemas de asignación de entidades. La consulta produjo <número> eventos, lo cual supera el máximo de <límite> resultados permitidos para las reglas de <tipo de alerta> con configuración de agrupación por eventos de alerta por fila. La alerta por fila se generó para los primeros <límite-1> eventos y se generó una alerta agregada adicional para tener en cuenta todos los eventos.
- <número> = número de eventos que devuelve la consulta
- <límite> = actualmente 150 alertas para las reglas programadas, 30 para las reglas de NRT
- <tipo de regla> = programada o de NRT
Para que el libro esté disponible en el área de trabajo, debe instalar la solución del libro desde el centro de contenido de Microsoft Sentinel:
En el portal de Microsoft Sentinel, seleccione Centro de contenido (versión preliminar) en el menú Administración de contenido.
En el Centro de contenido, escriba estado en la barra de búsqueda y seleccione Análisis de estado y auditoría entre las soluciones del libro en Independiente en los resultados.
Seleccione Instalar en el panel de detalles y, a continuación, seleccione Guardar que aparece en su lugar.
Cuando la solución indique que está instalada, seleccione Libros en el menú Administración de amenazas.
En la galería Libros, seleccione la pestaña Plantillas, escriba estado en la barra de búsqueda y seleccione Análisis de estado y auditoría entre los resultados.
Seleccione Guardar en el panel de detalles para crear una copia editable y utilizable del libro. Cuando se cree la copia, seleccione Ver libro guardado.
Una vez dentro del libro, seleccione primero la suscripción y el área de trabajo que desea ver (puede que ya estén seleccionados) y, a continuación, defina el intervalo de tiempo para filtrar los datos según sus necesidades. Use el conmutador de alternancia Mostrar ayuda para mostrar la explicación en contexto del libro.
Hay tres secciones con pestañas en este libro:
En la pestaña Información general se muestran los resúmenes de estado y auditoría:
- Resúmenes de estado del estado de las ejecuciones de reglas de análisis en el área de trabajo seleccionada: número de ejecuciones, número de operaciones correctas y con errores, y detalles del evento de error.
- Resúmenes de auditoría de actividades sobre reglas de análisis en el área de trabajo seleccionada: número de actividades a lo largo del tiempo, número de actividades por tipo, y número de actividades de diferentes tipos por regla.
La pestaña Estado permite explorar en profundidad los eventos de estado concretos.
- Filtrar los datos de toda la página por estado (correcto/error) y tipo de regla (programada/NRT).
- Consulte las tendencias de ejecuciones de reglas correctas o con errores (según el filtro de estado) durante el período de tiempo seleccionado. Puede usar el "pincel de tiempo" en el gráfico de tendencias para ver un subconjunto del intervalo de tiempo original.
- Filtrar el resto de la página por motivo.
- Consulte el número total de ejecuciones de todas las reglas de análisis, mostradas proporcionalmente por estado en un gráfico circular.
- A continuación se muestra una tabla que muestra el número de reglas de análisis únicas que se ejecutaron, desglosadas por tipo de regla y estado.
- Seleccione un estado para filtrar los gráficos restantes para ese estado.
- Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- Ver cada estado, con el número de posibles motivos para ese estado. (Solo se mostrarán los motivos representados en las ejecuciones en el período de tiempo seleccionado).
- Seleccione un estado para filtrar los gráficos restantes para ese estado.
- Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- A continuación, vea una lista de esos motivos, con el número de ejecuciones de reglas totales combinadas y el número de reglas únicas que se ejecutaron.
- Seleccione un motivo para filtrar los gráficos siguientes en función de ese motivo.
- Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- A continuación, se muestra una lista de las reglas de análisis únicas que se han ejecutado, con los últimos resultados y las líneas de tendencia de su éxito o error (según el estado seleccionado para filtrar la lista).
- Seleccione una regla para explorar en profundidad y mostrar una nueva tabla con todas las ejecuciones de esa regla (en el período de tiempo seleccionado).
- Para borrar esa tabla, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- Si seleccionó una regla en la lista anterior, aparecerá una nueva tabla con los detalles de estado de la regla seleccionada.
La pestaña Auditoría permite explorar en profundidad determinados eventos de auditoría.
- Filtrar los datos de toda la página por tipo de regla de auditoría (programada/fusión).
- Ver las tendencias de la actividad auditada en las reglas de análisis durante el período de tiempo seleccionado. Puede usar el "pincel de tiempo" en el gráfico de tendencias para ver un subconjunto del intervalo de tiempo original.
- Ver el número de eventos auditados, desglosados por actividad y tipo de regla.
- Seleccione una actividad para filtrar los gráficos siguientes para esa actividad.
- Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- Ver el número de eventos auditados por nombre de regla.
- Seleccione un nombre de regla para filtrar la tabla siguiente para esa regla y para explorar en profundidad y mostrar una nueva tabla con toda la actividad de esa regla (en el período de tiempo seleccionado). (Ver después de la captura de pantalla siguiente).
- Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico.
- Ver el número de eventos auditados por autor de llamada (la identidad que realizó la actividad).
- Si seleccionó un nombre de regla en el gráfico mostrado anteriormente, aparecerá otra tabla que muestra las actividades auditadas en esa regla. Seleccione el valor que aparece como un vínculo en la columna ExtendedProperties para abrir un panel lateral que muestre los cambios realizados en la regla.
- Supervise y optimice la ejecución de reglas de análisis en Microsoft Sentinel.
- Descubra qué son las auditorías y el seguimiento de estado en Microsoft Sentinel.
- Activación de la auditoría y seguimiento de estado en Microsoft Sentinel.
- Supervisión del estado de las reglas de automatización y los cuadernos de estrategias.
- Supervisión del estado de los conectores de datos.
- Consulte más información sobre los esquemas de las tablas SentinelHealth y SentinelAudit.