Personalización de los detalles de la alerta de Azure Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo invalidar las propiedades predeterminadas de las alertas con contenido de los resultados de la consulta subyacente.

Durante el proceso de creación de una regla de análisis programada, deberá definir como primer paso un nombre y una descripción para la regla y asignarle una gravedad y tácticas de MITRE ATT&CK. Todas las alertas generadas por una regla determinada (y los incidentes creados como resultado) heredarán el nombre, la descripción, la gravedad y las tácticas definidas en la regla, sin tener en cuenta el contenido concreto de una instancia específica de la alerta.

Con la característica de detalles de alerta, puede invalidar estas y otras propiedades predeterminadas de las alertas de dos maneras:

• Cree descripciones y nombres de variables personalizados para las alertas. Tiene la posibilidad de seleccionar campos en la salida de la consulta de la alerta cuyo contenido se podría incluir en el nombre o la descripción de cada instancia de la alerta. Si el campo seleccionado no tiene un valor en una instancia determinada, los detalles de la alerta para esa instancia volverán a ser los valores predeterminados especificados en la primera página del asistente.

• Personalice la gravedad, las tácticas y otras propiedades para una instancia determinada de una alerta (consulte la lista completa de propiedades a continuación) con los valores de los campos pertinentes de la salida de la consulta. Si los campos seleccionados están vacíos o tienen valores que no coinciden con el tipo de datos de campo, las respectivas propiedades de alerta volverán a adoptar los valores predeterminados (para las tácticas y la gravedad, serán los especificados en la primera página del asistente).

Importante

• Algunas opciones de personalización de detalles de alertas (consulte las que se indican a continuación) se encuentran actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
• Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Siga el procedimiento que se detalla a continuación para usar la característica de detalles de alertas. Estos pasos forman parte del asistente para la creación de reglas de análisis, pero se abordan aquí de forma independiente para abordar el escenario que permite agregar o cambiar los detalles de alerta en una regla de análisis existente.

Personalización de los detalles de la alerta

1. Acceda en la página de Análisis en el portal a través del cual accede a Microsoft Sentinel:

   Azure Portal

   En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.

   Portal de Defender

   En el menú de navegación de Microsoft Defender, expanda Microsoft Sentinel, y luego Configuración. Seleccione Análisis.

2. Seleccione una regla de consulta programada y Editar. O bien cree una nueva regla seleccionando Create > Scheduled query rule en la parte superior de la pantalla.

3. Haga clic en la pestaña Establecer la lógica de la regla.

4. En la sección Alert enrichment (Enriquecimiento de alertas), expanda Detalles de la alerta.

   

5. En la sección Detalles de la alerta que se ha expandido, agregue el texto que desee con los parámetros correspondientes para los detalles que quiere mostrar en la alerta:

   1. En el campo Formato del nombre de la alerta, escriba el texto que quiere que aparezca como nombre de la alerta (el texto de la alerta) e incluya, entre llaves, los campos de salida de la consulta que integrar en el texto de la alerta.

      Ejemplo: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Haga lo mismo con el campo Formato de la descripción de la alerta.

      Nota

      Actualmente está limitado a tres parámetros cada uno en los campos Formato del nombre de la alerta y Formato de la descripción de la alerta.

   3. Para invalidar otras propiedades predeterminadas, seleccione una propiedad de alerta en la lista desplegable de propiedad de alerta. A continuación, seleccione el campo de los resultados de la consulta, cuyo contenido desea rellenar la propiedad de alerta, en la lista desplegable del valor.

   4. Para invalidar más propiedades predeterminadas, seleccione + Agregar nuevo y repita el paso anterior. Las siguientes propiedades de alerta se pueden invalidar:

      Nombre	Descripción
      AlertName	String
      Descripción	Cadena
      AlertSeverity	Uno de los siguientes valores: - Informativo - Baja - media - Alta
      Tácticas	Uno de los siguientes valores: - Reconocimiento - ResourceDevelopment - InitialAccess - Ejecución - Persistencia - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Detección - LateralMovement - Colección - Exfiltración - CommandAndControl - Impacto - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Techniques (versión preliminar)	Cadena que coincide con la siguiente expresión regular: ^T(?<Digits>\d{4})$. Por ejemplo: T1234.
      AlertLink (versión preliminar)	Cadena
      ConfidenceLevel (versión preliminar)	Uno de los siguientes valores: - Baja - Alta - Unknown
      ConfidenceScore (versión preliminar)	Un entero comprendido entre 0-1 (ambos incluidos).
      ExtendedLinks (versión preliminar)	Cadena
      ProductComponentName (versión preliminar)	Cadena
      ProductName (versión preliminar)	Cadena
      ProviderName (versión preliminar)	Cadena
      RemediationSteps (versión preliminar)	Cadena

   Si cambia de opinión o comete algún error, puede quitar un detalle de la alerta haciendo clic en el icono de la papelera situado junto a los campos Alert property/Value o eliminar el texto libre de los campos Alert Name/Description Format.

6. Cuando termine de personalizar los detalles de alerta, y si está creando la alerta, continúe con la pestaña siguiente del asistente. Si está editando una regla existente, haga clic en la pestaña Revisar y crear. Una vez que la regla se haya validado correctamente, haga clic en Guardar.

   Nota:

   Límites de servicio

   • El límite de tamaño combinado para todos los detalles personalizados y los detalles de alertas, colectivamente, es de 64 KB.

Pasos siguientes

En este documento, ha aprendido a personalizar los detalles de las alertas en las reglas de análisis de Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Explore las otras formas de enriquecer las alertas:
  • Asignación de campos de datos a entidades en Microsoft Sentinel
  • Exposición de detalles de eventos personalizados de alertas en Microsoft Sentinel
• Obtenga una visión completa de las reglas de análisis de consultas programadas.
• Obtenga más información sobre las entidades en Microsoft Sentinel.