Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel

Una vez que haya conectado sus orígenes de datos a Microsoft Sentinel, visualice y supervise los datos mediante libros de trabajo en Microsoft Sentinel. Los libros de Microsoft Sentinel se basan en libros de Azure Monitor y agregan tablas y gráficos con análisis de los registros y consultas a las herramientas que ya están disponibles en Azure.

Microsoft Sentinel permite crear libros personalizados en los datos o usar plantillas de libros existentes disponibles con soluciones empaquetadas o como contenido independiente del centro de contenido. Cada libro es un recurso de Azure como cualquier otro y puede asignarlo con el control de acceso basado en roles (RBAC) de Azure para definir y limitar quién puede acceder.

En este artículo se describe cómo visualizar los datos en Microsoft Sentinel mediante libros.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

  • Debe tener al menos permisos de lector de libros o de colaborador de libros en el grupo de recursos del área de trabajo de Microsoft Sentinel.

    Los libros que ve en Microsoft Sentinel se guardan en el grupo de recursos del área de trabajo de Microsoft Sentinel y se etiquetan según el área de trabajo en el que se crearon.

  • Para usar una plantilla de libro, instale la solución que contiene el libro o instale el libro como un elemento independiente desde el Centro de contenido. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Creación de un libro a partir de una plantilla

Use una plantilla instalada desde el centro de contenido para crear un libro.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Libros.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Libros.

  2. Vaya a Libros y, a continuación, seleccione Plantillas para ver la lista de plantillas de libro instaladas.

    Para ver qué plantillas son pertinentes para los tipos de datos que ha conectado, revise el campo Tipos de datos obligatorios en cada libro donde esté disponible.

  3. Seleccione Guardar en el panel de detalles de la plantilla y la ubicación donde desea guardar el archivo JSON de la plantilla. Esta acción crea un recurso de Azure basado en la plantilla correspondiente y guarda el archivo JSON del libro, pero no los datos.

  4. Seleccione Ver libro guardado en el panel de detalles de la plantilla.

  5. Seleccione el botón Editar en la barra de herramientas del libro para personalizarlo según sus necesidades.

    Captura de pantalla que muestra el libro guardado.

    Por ejemplo, seleccione el filtro TimeRange para ver los datos de un intervalo de tiempo diferente al de la selección actual. Para editar un área de libro específica, seleccione Editar o seleccione los puntos suspensivos (...) para agregar elementos, o mover, clonar o quitar el área.

    Para clonar el libro, seleccione Guardar como. Guarde el clon con otro nombre, en la misma suscripción y grupo de recursos. Los libros clonados aparecerán en la pestaña Mis libros.

  6. Cuando haya terminado, haga clic en Guardar para guardar los cambios.

Para más información, vea:

Creación de un libro

Cree un libro desde cero en Microsoft Sentinel.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Libros.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Libros.

  2. Seleccione Agregar libro.

  3. Para editar el libro, seleccione Editar y, a continuación, agregue texto, consultas y parámetros según sea necesario. Para más información sobre cómo personalizar el libro, consulte cómo Crear informes interactivos con libros de Azure Monitor.

    Captura de pantalla que muestra un nuevo libro.

  4. Al crear una consulta, establezca Origen de datos en Registros y Tipo de recurso en Análisis de registros y, a continuación, seleccione una o varias áreas de trabajo.

    Le recomendamos que en la consulta use un analizador del Modelo avanzado de información de seguridad (ASIM) y no una tabla integrada. La consulta admitirá así cualquier origen de datos relevante, actual o futuro, en lugar de un único origen de datos.

  5. Después de crear el libro, guárdelo en el grupo de recursos y la suscripción del área de trabajo de Microsoft Sentinel.

  6. Si desea permitir que otros usuarios de su organización utilicen el libro, en Guardar en seleccione Informes compartidos. Si desea que este libro esté disponible solo para usted, seleccione Mis informes.

  7. Para cambiar entre libros del área de trabajo, seleccione AbrirIcono para abrir un libro. en la barra de herramientas de cualquier libro. La pantalla cambia a una lista de otros libros a los que puede cambiar.

    Seleccione el libro que desee abrir:

    Cambiar libros.

Creación de iconos para los libros

Para agregar un icono personalizado a un libro de Microsoft Sentinel, cree primero el icono en Log Analytics. Para más información, consulte Datos visuales en Log Analytics.

Una vez creado un icono, seleccione Anclar y, a continuación, seleccione el libro donde desea que aparezca el icono.

Actualización de los datos del libro

Actualice el libro para que muestre los datos actualizados. En la barra de herramientas, seleccione una de las siguientes opciones:

  • Actualizar, para actualizar manualmente los datos del libro.

  • Actualización automática, para establecer que el libro se actualice automáticamente en un intervalo configurado.

    • Los intervalos de actualización automática admitidos oscilan entre los cinco minutos y un día.

    • La actualización automática se pausa mientras edita un libro y los intervalos se reinician cada vez que pasa al modo de vista desde el modo de edición.

    • Los intervalos de actualización automática también se reinician si actualiza manualmente los datos.

    De manera predeterminada, la actualización automática está desactivada. Para optimizar el rendimiento, la actualización automática también se desactiva cada vez que se cierra un libro. No se ejecuta en segundo plano. Vuelva a activar la actualización automática según sea necesario la próxima vez que abra el libro.

Para imprimir un libro o guardarlo como un archivo PDF, use el menú de opciones a la derecha del título del libro.

  1. Seleccione Opciones >Imprimir contenido.

  2. En la pantalla de impresión, ajuste la configuración según sea necesario o seleccione Guardar como PDF para guardarlo localmente.

    Por ejemplo:

    Captura de pantalla que muestra cómo imprimir el libro o guardarlo como PDF.

Eliminación de libros

Para eliminar un libro guardado (ya sea una plantilla guardada o un libro personalizado), seleccione el libro guardado que quiere eliminar y elija Eliminar. Esta acción quita el libro guardado. Esta acción elimina el recurso del libro y los cambios realizados en la plantilla. La plantilla original seguirá estando disponible.

Recomendaciones de libros

En esta sección, se revisan las recomendaciones básicas que tenemos para el uso de libros de Microsoft Sentinel.

Adición de libros de Microsoft Entra ID

Si usa Microsoft Entra ID con Microsoft Sentinel, se recomienda que instale la solución Microsoft Entra para Microsoft Sentinel y utilice los siguientes libros:

  • Inicios de sesión de Microsoft Entra: analiza los inicios de sesión con el tiempo para ver si hay anomalías. Este libro proporciona los errores de inicio de sesión de aplicaciones, dispositivos y ubicaciones de forma que pueda advertir de un vistazo si sucede algo inusual. Preste atención cuando se producen varios errores de inicio de sesión.
  • Registros de auditoría de Microsoft Entra: analiza las actividades de administración, como los cambios en los usuarios (agregar, quitar, etc.), la creación de grupos y las modificaciones.

Adición de libros de firewall

Se recomienda instalar la solución adecuada desde el Centro de contenido para agregar un libro para el firewall.

Por ejemplo, instale la solución de firewall Palo Alto para Microsoft Sentinel para agregar los libros de Palo Alto. Los libros analizan el tráfico del firewall, lo que proporciona correlaciones entre los datos del firewall y los eventos de amenazas, y resalta los eventos sospechosos de las distintas entidades.

Captura de pantalla del libro de Palo Alto.

Creación de libros diferentes para distintos usos

Se recomienda crear diferentes visualizaciones para cada tipo de rol que use libros, en función del rol y de lo que buscan. Por ejemplo, cree un libro para el administrador de red que incluya los datos del firewall.

Como alternativa, cree libros en función de la frecuencia con la que quiera examinarlos, ya sea que haya cosas que desee revisar diariamente y otros elementos que desee comprobar cada hora. Por ejemplo, puede que quiera ver los inicios de sesión de Microsoft Entra cada hora para buscar anomalías.

Use la consulta siguiente para crear una visualización que compare las tendencias de tráfico entre semanas. Cambie el proveedor del dispositivo y el origen de datos en el que ejecuta la consulta, en función de su entorno.

En la consulta de ejemplo siguiente, se usa la tabla SecurityEvent de Windows. Es posible que desee cambiar esto para que se ejecute en la tabla AzureActivity o CommonSecurityLog, en cualquier otro firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Consulta de ejemplo con datos de varios orígenes

Puede que quiera crear una consulta que incorpore datos de varios orígenes. Por ejemplo, cree una consulta que examine los registros de auditoría de Microsoft Entra de los nuevos usuarios que ha creado y que luego compruebe los registros de Azure para ver si el usuario ha comenzado a realizar cambios en la asignación de roles al cabo de 24 horas de la creación. Esa actividad sospechosa se mostraría en una visualización con la siguiente consulta:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Para más información, vea: