Supervisión del estado y auditoría de la integridad de las reglas de análisis

  • Artículo

Para garantizar una detección completa, ininterrumpida y sin alteraciones de amenazas en el servicio de Microsoft Sentinel, realice un seguimiento del estado y la integridad de las reglas de análisis y mantenga su funcionamiento óptimo, mediante la supervisión de su información de ejecución, consultando los registros de mantenimiento y auditoría, y usando una nueva ejecución manual para probar y optimizar las reglas.

Configure notificaciones de eventos de estado y auditoría para las partes interesadas competentes, que luego puedan tomar medidas. Por ejemplo, defina y envíe mensajes de correo electrónico o de Microsoft Teams, cree nuevos vales en el sistema de vales, etc.

En este artículo se describe cómo se usan las características de seguimiento de estado y auditoría de Microsoft Sentinel para realizar un seguimiento del estado y la integridad de las reglas de análisis desde Microsoft Sentinel.

Para obtener información sobre la información de reglas y la nueva ejecución manual de reglas, consulte Supervisión y optimización de la ejecución de las reglas de análisis programadas.

Importante

Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Resumen

  • Registros de estado de las reglas de análisis de Microsoft Sentinel:

    • Este registro captura eventos que registran la ejecución de reglas de análisis y el resultado final de estas ejecuciones (si se han realizado correctamente o no y, en caso de error, el motivo).
    • Para cada ejecución de una regla de análisis, el registro también registrará:
      • Número de eventos que captura la consulta de la regla.
      • Indica si el número de eventos ha superado el umbral definido en la regla, lo que hace que la regla active una alerta.

    Estos registros se recopilan en la tabla SentinelHealth de Log Analytics.

  • Registros de auditoría de las reglas de análisis de Microsoft Sentinel:

    • Este registro captura los eventos que registran los cambios realizados en cualquier regla de análisis, incluidos los detalles siguientes:
      • Nombre de la regla que se cambió.
      • Qué propiedades de la regla se cambiaron.
      • Estado de la configuración de la regla antes y después del cambio.
      • El usuario o la identidad que realizó el cambio.
      • Dirección IP de origen y fecha y hora del cambio.
      • ...y muchos más.

    Estos registros se recopilan en la tabla SentinelAudit de Log Analytics.

Uso de las tablas de datos SentinelHealth y SentinelAudit (versión preliminar)

Para obtener los datos de estado y auditoría de las tablas de datos descritas anteriormente, debe activar primero la característica de mantenimiento de Microsoft Sentinel para el área de trabajo. Para más información, consulte Activación del seguimiento de estado para Microsoft Sentinel.

Una vez que active la característica de estado, la tabla de datos SentinelHealth se crea en el primer evento de éxito o error generado para las reglas de automatización y los cuadernos de estrategias.

Descripción de los eventos de la tabla SentinelHealth y SentinelAudit

Los siguientes tipos de eventos de estado de la regla de análisis se registran en la tabla SentinelHealth:

Los siguientes tipos de eventos de auditoría de la regla de análisis se registran en la tabla SentinelAudit:

Ejecución de consultas para detectar problemas de estado e integridad

Para los mejores resultados, debe crear las consultas en las funciones pregeneradas en estas tablas, _SentinelHealth() y _SentinelAudit(), en lugar de consultar las tablas directamente. Estas funciones garantizan el mantenimiento de la compatibilidad con versiones anteriores de las consultas en caso de que se realicen cambios en el esquema de las propias tablas.

Como primer paso, las consultas deben filtrar las tablas por los datos relacionados con las reglas de análisis. Use el parámetro SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Si lo desea, puede filtrar aún más la lista por un tipo determinado de regla de análisis. Para esto, use el parámetro SentinelResourceKind.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Aquí encontrará algunas consultas de ejemplo que le ayudarán a ponerse en marcha:

  • Busque reglas que no se ejecutaron correctamente:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Busque reglas que se hayan "deshabilitado automáticamente":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Cuente las reglas y las ejecuciones que se realizaron correctamente o con errores, por motivo:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Buscar actividad de eliminación de reglas:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Busque la actividad en las reglas, por nombre de regla y nombre de actividad:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Busque la actividad en las reglas, por nombre del autor de la llamada (la identidad que realizó la actividad):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Estados, errores y pasos sugeridos

Para la ejecución de reglas de análisis programadas o la ejecución de reglas de análisis de NRT, puede ver cualquiera de los siguientes estados y descripciones:

  • Correcto: la regla se ejecutó correctamente y generó alertas <n>.

  • Correcto: la regla se ejecutó correctamente, pero no alcanzó el umbral (<n>) necesario para generar una alerta.

  • Error: estas son las posibles descripciones por error de regla y lo que puede hacer para solucionarlos.

    Descripción Corrección
    Error interno del servidor al ejecutar la consulta.
    El tiempo de espera de ejecución de la consulta se ha agotado.
    No se encontró una tabla a la que se hace referencia en la consulta. Compruebe que el origen de datos pertinente esté conectado.
    Error semántico al ejecutar la consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración).
    Una función a la que llamó la consulta se denomina con una palabra reservada. Quite o cambie el nombre de la función.
    Error de sintaxis al ejecutar la consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración).
    El área de trabajo no existe.
    Se encontró que esta consulta usa demasiados recursos del sistema y se ha impedido su uso. Revise y ajuste la regla de análisis. Consulte nuestra descripción general del Lenguaje de consulta Kusto y la documentación de procedimiento recomendado.
    No se encontró una función a la que llame la consulta. Compruebe que existe en el área de trabajo de todas las funciones a las que llama la consulta.
    No se encontró el área de trabajo usada en la consulta. Compruebe que todas las áreas de trabajo de la consulta existan.
    No tiene permisos para ejecutar esta consulta. Intente restablecer la regla de análisis editándola y guardándola (sin cambiar la configuración).
    No tiene permisos de acceso a uno o varios de los recursos de la consulta.
    La consulta hace referencia a una ruta de acceso de almacenamiento que no se encontró.
    Se denegó el acceso a la consulta a una ruta de acceso de almacenamiento.
    En esta área de trabajo se definen varias funciones con el mismo nombre. Quite o cambie el nombre de la función redundante y restablezca la regla editándola y guardándola.
    Esta consulta no devolvió ningún resultado.
    No se permiten varios conjuntos de resultados en esta consulta.
    Los resultados de la consulta contienen un número incoherente de campos por fila.
    La ejecución de la regla se retrasó por tiempos de ingesta de datos prolongados.
    La ejecución de la regla se ha retrasado por problemas temporales.
    La alerta no se enriqueció por problemas temporales.
    La alerta no se ha enriquecido por problemas de asignación de entidades.
    <Número> entidades se quitaron en la alerta <nombre> debido al límite de tamaño de alerta de 32 KB.
    <Número> entidades se quitaron en la alerta <nombre> debido problemas de asignación de entidades.
    La consulta produjo <número> eventos, lo cual supera el máximo de <límite> resultados permitidos para las reglas de <tipo de alerta> con configuración de agrupación por eventos de alerta por fila. La alerta por fila se generó para los primeros <límite-1> eventos y se generó una alerta agregada adicional para tener en cuenta todos los eventos.
    - <número> = número de eventos que devuelve la consulta
    - <límite> = actualmente 150 alertas para las reglas programadas, 30 para las reglas de NRT
    - <tipo de regla> = programada o de NRT

Uso de la auditoría y libro de seguimiento de estado

  1. Para que el libro esté disponible en el área de trabajo, debe instalar la solución del libro desde el centro de contenido de Microsoft Sentinel:

    1. En el portal de Microsoft Sentinel, seleccione Centro de contenido (versión preliminar) en el menú Administración de contenido.

    2. En el Centro de contenido, escriba estado en la barra de búsqueda y seleccione Análisis de estado y auditoría entre las soluciones del libro en Independiente en los resultados.

      Captura de pantalla de la selección del libro de análisis de estado del centro de contenido.

    3. Seleccione Instalar en el panel de detalles y, a continuación, seleccione Guardar que aparece en su lugar.

  2. Cuando la solución indique que está instalada, seleccione Libros en el menú Administración de amenazas.

    Captura de pantalla de la indicación de que la solución del libro de análisis de estado está instalada desde el centro de contenido.

  3. En la galería Libros, seleccione la pestaña Plantillas, escriba estado en la barra de búsqueda y seleccione Análisis de estado y auditoría entre los resultados.

    Captura de pantalla de la selección del libro de análisis de estado de la galería de plantillas.

  4. Seleccione Guardar en el panel de detalles para crear una copia editable y utilizable del libro. Cuando se cree la copia, seleccione Ver libro guardado.

  5. Una vez dentro del libro, seleccione primero la suscripción y el área de trabajo que desea ver (puede que ya estén seleccionados) y, a continuación, defina el intervalo de tiempo para filtrar los datos según sus necesidades. Use el conmutador de alternancia Mostrar ayuda para mostrar la explicación en contexto del libro.

    Captura de pantalla de la pestaña Información general del libro de estado de las reglas de análisis.

Hay tres secciones con pestañas en este libro:

Pestaña Información general

En la pestaña Información general se muestran los resúmenes de estado y auditoría:

  • Resúmenes de estado del estado de las ejecuciones de reglas de análisis en el área de trabajo seleccionada: número de ejecuciones, número de operaciones correctas y con errores, y detalles del evento de error.
  • Resúmenes de auditoría de actividades sobre reglas de análisis en el área de trabajo seleccionada: número de actividades a lo largo del tiempo, número de actividades por tipo, y número de actividades de diferentes tipos por regla.

Pestaña Estado

La pestaña Estado permite explorar en profundidad los eventos de estado concretos.

Captura de pantalla de la selección de la pestaña de estado en el libro de análisis de estado.

  • Filtrar los datos de toda la página por estado (correcto/error) y tipo de regla (programada/NRT).
  • Consulte las tendencias de ejecuciones de reglas correctas o con errores (según el filtro de estado) durante el período de tiempo seleccionado. Puede usar el "pincel de tiempo" en el gráfico de tendencias para ver un subconjunto del intervalo de tiempo original. Captura de pantalla de las ejecuciones de reglas analíticas a lo largo del tiempo en el libro de análisis de estado.
  • Filtrar el resto de la página por motivo.
  • Consulte el número total de ejecuciones de todas las reglas de análisis, mostradas proporcionalmente por estado en un gráfico circular.
  • A continuación se muestra una tabla que muestra el número de reglas de análisis únicas que se ejecutaron, desglosadas por tipo de regla y estado.
    • Seleccione un estado para filtrar los gráficos restantes para ese estado.
    • Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla del número de reglas ejecutadas por estado y tipo en el libro de análisis de estado.
  • Ver cada estado, con el número de posibles motivos para ese estado. (Solo se mostrarán los motivos representados en las ejecuciones en el período de tiempo seleccionado).
    • Seleccione un estado para filtrar los gráficos restantes para ese estado.
    • Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla del número de razones únicas por estado en el libro de análisis de estado.
  • A continuación, vea una lista de esos motivos, con el número de ejecuciones de reglas totales combinadas y el número de reglas únicas que se ejecutaron.
    • Seleccione un motivo para filtrar los gráficos siguientes en función de ese motivo.
    • Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla de ejecuciones de reglas por motivo único en el libro de análisis de estado.
  • A continuación, se muestra una lista de las reglas de análisis únicas que se han ejecutado, con los últimos resultados y las líneas de tendencia de su éxito o error (según el estado seleccionado para filtrar la lista).
    • Seleccione una regla para explorar en profundidad y mostrar una nueva tabla con todas las ejecuciones de esa regla (en el período de tiempo seleccionado).
    • Para borrar esa tabla, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla de la lista de reglas únicas ejecutadas, con estado y líneas de tendencia, en el libro de análisis de estado.
  • Si seleccionó una regla en la lista anterior, aparecerá una nueva tabla con los detalles de estado de la regla seleccionada. Captura de pantalla de la lista de ejecuciones de la regla de análisis seleccionada, en el libro de análisis de estado.

Pestaña Auditoría

La pestaña Auditoría permite explorar en profundidad determinados eventos de auditoría.

Captura de pantalla de la selección de la pestaña de auditoría en el libro de análisis de estado.

  • Filtrar los datos de toda la página por tipo de regla de auditoría (programada/fusión).
  • Ver las tendencias de la actividad auditada en las reglas de análisis durante el período de tiempo seleccionado. Puede usar el "pincel de tiempo" en el gráfico de tendencias para ver un subconjunto del intervalo de tiempo original. Captura de pantalla de la actividad de auditoría de tendencias en el libro de análisis de estado.
  • Ver el número de eventos auditados, desglosados por actividad y tipo de regla.
    • Seleccione una actividad para filtrar los gráficos siguientes para esa actividad.
    • Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla del número de eventos de auditoría por actividad y tipo en el libro de análisis de estado.
  • Ver el número de eventos auditados por nombre de regla.
    • Seleccione un nombre de regla para filtrar la tabla siguiente para esa regla y para explorar en profundidad y mostrar una nueva tabla con toda la actividad de esa regla (en el período de tiempo seleccionado). (Ver después de la captura de pantalla siguiente).
    • Para borrar el filtro, seleccione el icono "Borrar selección" (parece un icono "Deshacer") en la esquina superior derecha del gráfico. Captura de pantalla de los eventos auditados por nombre de regla y autor de la llamada en el libro de análisis de estado.
  • Ver el número de eventos auditados por autor de llamada (la identidad que realizó la actividad).
  • Si seleccionó un nombre de regla en el gráfico mostrado anteriormente, aparecerá otra tabla que muestra las actividades auditadas en esa regla. Seleccione el valor que aparece como un vínculo en la columna ExtendedProperties para abrir un panel lateral que muestre los cambios realizados en la regla. Captura de pantalla de la actividad de auditoría para la regla seleccionada en el libro de trabajo de análisis de estado.

Pasos siguientes