Activación de la auditoría y el seguimiento de estado en Microsoft Sentinel (versión preliminar)

Supervise el estado y realice una auditoría de la integridad de los recursos de Microsoft Sentinel admitidos mediante la activación de la característica de seguimiento de estado en la página de Configuración de Microsoft Sentinel. Obtenga información sobre los desfases de estado, como los eventos de error más recientes o los cambios de un estado correcto a un estado de error, así como sobre las acciones no autorizadas y use esta información para crear notificaciones y otras acciones automatizadas.

Para obtener datos de mantenimiento de la tabla de datos de SentinelHealth o para obtener información de auditoría de la tabla de datos de SentinelAudit, primero debe activar la característica de auditoría y supervisión de estado de Microsoft Sentinel para el área de trabajo.

En este artículo se indica cómo activar estas características.

Para implementar la característica de mantenimiento y auditoría mediante una API (Bicep/ARM/REST), consulte las operaciones de configuración de diagnóstico.

Para configurar el tiempo de retención de los eventos de mantenimiento y auditoría, consulte Configuración de directivas de archivado y retención de datos en los registros de Azure Monitor.

Importante

Las tablas de datos SentinelHealth y SentinelAudit se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Tablas de datos y tipos de recursos

Cuando la característica está activada, las tablas de datos de SentinelHealth y SentinelAudit se crean en el primer evento generado para los recursos seleccionados.

Actualmente se admiten los siguientes tipos de recursos para el seguimiento de estado:

  • Reglas de análisis (novedad)
  • Conectores de datos
  • Regalas de automatización
  • Cuadernos de estrategias (flujos de trabajo de Azure Logic Apps)

    Nota

    Al supervisar el estado de los cuadernos de estrategias, también deberá recopilar eventos de diagnóstico de Azure Logic Apps de dichos cuadernos para obtener una visión global de la actividad del cuaderno de estrategias. Consulte Supervisión del estado de las reglas de automatización y los cuadernos de estrategias para obtener más información.

Actualmente, solo se admite el tipo de recurso de regla de análisis para la auditoría.

Activación de la auditoría y del seguimiento del estado del área de trabajo

  1. En Microsoft Sentinel, en el menú Configuración de la izquierda, seleccione Configuración.

  2. Seleccione Configuración en el banner.

  3. Desplácese hacia abajo hasta la sección Auditoría y seguimiento de estado que aparece a continuación y selecciónela para expandirla.

  4. Seleccione Habilitar para habilitar la auditoría y el seguimiento de estado en todos los tipos de recursos y enviar los datos de auditoría y supervisión al área de trabajo de Microsoft Sentinel (y en ningún otro lugar).

    O bien, seleccione el vínculo Configurar opciones de diagnóstico para habilitar el seguimiento de estado solo para los recursos de automatización o recopilador de datos, o para configurar opciones avanzadas, como lugares adicionales para enviar los datos.

    Captura de pantalla en la que se muestra cómo acceder a la configuración del seguimiento de estado.

    Si ha seleccionado Habilitar, el botón aparecerá atenuado y cambiará para indicar Habilitar... y, a continuación, Habilitado. En ese momento, la auditoría y el seguimiento de estado estarán habilitados y ya habrá terminado. La configuración de diagnóstico adecuada se ha agregado en segundo plano y puede verla y editarla seleccionando el vínculo Configurar opciones de diagnóstico.

  5. Si ha seleccionado Configurar opciones de diagnóstico, en la pantalla Configuración de diagnóstico, seleccione + Agregar configuración de diagnóstico.

    (Si va a editar una configuración existente, selecciónela en la lista de configuración de diagnóstico).

    • En el campo Nombre de configuración de diagnóstico, escriba un nombre descriptivo para la configuración.

    • En la columna Registros, seleccione las categorías adecuadas para los tipos de recursos que quiere supervisar, por ejemplo, Data Collection - Connectors (Recopilación de datos: conectores). Seleccione allLogs si quiere supervisar las reglas de análisis.

    • En Detalles del destino, seleccione Send to Log Analytics workspace (Enviar al área de trabajo de Log Analytics) y elija la suscripción y el área de trabajo de Log Analytics en los menús desplegables.

      Captura de pantalla de la pantalla de configuración de diagnóstico para habilitar la auditoría y el seguimiento de estado.

      Si lo necesita, puede seleccionar otros destinos a los que enviar los datos, además del área de trabajo de Log Analytics.

  6. Seleccione Guardar en el banner superior para guardar la nueva configuración.

Las tablas de datos de SentinelHealth y SentinelAudit se crean en el primer evento generado para los recursos seleccionados.

Comprobación de que las tablas reciben datos

En la página Registros de Microsoft Sentinel, ejecute una consulta en la tabla SentinelHealth. Por ejemplo:

_SentinelHealth()
 | take 20

Pasos siguientes