Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El tipo más común de regla de análisis, las reglas Programadas, se basan en Consultas de Kusto configuradas para ejecutarse a intervalos regulares y examinar datos sin procesar de un periodo definido. Las consultas pueden realizar operaciones estadísticas complejas en sus datos de destino, mostrando líneas base y valores atípicos en grupos de eventos. Si el número de resultados capturados por la consulta supera el umbral configurado en la regla, la regla genera una alerta.
Este artículo le ayuda a comprender cómo se compilan las reglas de análisis programadas y le presenta todas las opciones de configuración y sus significados. La información de este artículo es útil en dos escenarios:
Crear una regla de análisis a partir de una plantilla: use la lógica de consulta y la configuración de programación y de búsqueda, tal como se define en la plantilla, o personalícelas para crear nuevas reglas.
Cree una regla de análisis desde cero: cree su propia consulta y regla desde cero. Para ello de forma eficaz, debe tener una base exhaustiva de ciencia de datos y en el lenguaje de consulta Kusto.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, Microsoft Sentinel solo se admitirá en el portal de Defender y los clientes restantes que usen Azure Portal se redirigirán automáticamente.
Se recomienda que los clientes que usen Microsoft Sentinel en Azure empiecen a planear la transición al portal de Defender para obtener la experiencia de operaciones de seguridad unificada completa que ofrece Microsoft Defender. Para obtener más información, consulte Planeamiento del traslado al portal de Microsoft Defender para todos los clientes de Microsoft Sentinel.
Plantillas de regla de análisis
Las consultas de las plantillas de reglas programadas se escribieron por expertos en seguridad y ciencia de datos, ya sea de Microsoft o del proveedor de la solución que proporciona la plantilla.
Use una plantilla de regla de análisis seleccionando un nombre de plantilla en la lista de plantillas y creando una regla basada en ella.
Cada plantilla tiene una lista de orígenes de datos necesarios. Al abrir la plantilla, se comprueba automáticamente la disponibilidad de los orígenes de datos. La disponibilidad significa que el origen de datos está conectado y que los datos se ingieren periódicamente a través de él. Si alguno de los orígenes de datos necesarios no está disponible, no podrá crear la regla y es posible que también vea un mensaje de error al respecto.
Al crear una regla a partir de una plantilla, el Asistente para la creación de reglas se abre en función de la plantilla seleccionada. Todos los detalles se rellenan automáticamente y puede personalizar la lógica y otras opciones de configuración de reglas para adaptarse mejor a sus necesidades específicas. Este proceso puede repetirse para crear reglas adicionales en función de la plantilla. Cuando llegue al final del asistente para la creación de reglas, se validan las personalizaciones y se crea la regla. Las nuevas reglas aparecen en la pestaña Reglas activas de la página Análisis . Del mismo modo, en la pestaña Plantillas de regla, la plantilla desde la cual creó la regla ahora se muestra con la etiqueta In use.
Los autores mantienen constantemente las plantillas de reglas de análisis, ya sea para corregir errores o para refinar la consulta. Cuando una plantilla recibe una actualización, las reglas basadas en esa plantilla se muestran con la etiqueta Update y tiene la oportunidad de modificar esas reglas para incluir los cambios realizados en la plantilla. También puede revertir los cambios realizados en una regla a su versión original basada en plantillas. Para obtener más información, consulte Administración de versiones de plantilla para las reglas de análisis programadas en Microsoft Sentinel.
Después de familiarizarse con las opciones de configuración de este artículo, consulte Creación de reglas de análisis programadas a partir de plantillas.
En el resto de este artículo se explican todas las posibilidades para personalizar la configuración de las reglas.
Configuración de reglas de análisis
En esta sección se explican las consideraciones clave que debe tener en cuenta antes de empezar a configurar las reglas.
Nombre y detalles de la regla de análisis
La primera página del Asistente para reglas de análisis contiene la información básica de la regla.
Nombre: Nombre de la regla tal como aparece en la lista de reglas y en los filtros basados en reglas. El nombre debe ser único para el área de trabajo.
Descripción: Descripción de texto libre del propósito de la regla.
Identificador: el GUID de la regla como un recurso de Azure, que se usa en las solicitudes y respuestas de API, entre otras cosas. Este GUID solo se asigna cuando se crea la regla, por lo que solo se muestra cuando se edita una regla existente. Como es un campo de solo lectura, se muestra como atenuado y no se puede cambiar. Todavía no existe al crear una nueva regla, ya sea desde una plantilla o desde cero.
Severidad: Una clasificación para proporcionar las alertas generadas por esta regla. La gravedad de una actividad es un cálculo del posible impacto negativo de la aparición de la actividad.
| Gravedad | Descripción |
|---|---|
| Informativo | No afecta al sistema, pero la información podría ser indicativo de los pasos futuros planeados por un actor de amenazas. |
| Baja | El impacto inmediato sería mínimo. Es probable que un actor de amenazas tenga que llevar a cabo varios pasos antes de lograr un impacto en un entorno. |
| Medio | El actor de amenazas podría tener algún impacto en el entorno con esta actividad, pero sería limitado en el ámbito o requeriría actividad adicional. |
| Alto | La actividad identificada proporciona al actor de amenazas acceso amplio para realizar acciones en el entorno o se desencadena mediante el impacto en el entorno. |
Los valores predeterminados del nivel de gravedad no son una garantía del nivel de impacto actual o ambiental. Personalice los detalles de alerta para personalizar la gravedad, las tácticas y otras propiedades de una instancia determinada de una alerta con los valores de los campos pertinentes de una salida de consulta.
Las definiciones de gravedad de las plantillas de reglas de análisis de Microsoft Sentinel solo son relevantes para las alertas creadas por las reglas de análisis. Para las alertas ingeridas desde otros servicios, el servicio de seguridad de origen define la gravedad.
MITRE ATT&CK: Especificación de las tácticas y técnicas de ataque representadas por las actividades capturadas por esta regla. Se basan en las tácticas y técnicas del marco MITRE ATT&CK®.
Las tácticas y técnicas de MITRE ATT&CK definidas aquí en la regla se aplican a las alertas generadas por la regla. También se aplican a los incidentes creados a partir de estas alertas.
Para obtener más información sobre cómo maximizar su cobertura del panorama de amenazas de MITRE ATT&CK, consulte Descripción de la cobertura de seguridad por el marco MITRE ATT&CK®.
Estado: Al crear la regla, su estado está habilitado de forma predeterminada, lo que significa que se ejecuta inmediatamente después de terminar de crearla. Si no quiere que se ejecute inmediatamente, tiene dos opciones:
- Seleccione Deshabilitado y la regla se crea sin ejecutar. Cuando quieras que se ejecute la regla, encuéntrala en la pestaña Reglas activas y habilítela desde allí.
- Programe la regla para que se ejecute por primera vez en una fecha y hora específicas. Este método se encuentra actualmente en VERSIÓN PRELIMINAR. Consulte Programación de consultas más adelante en este artículo.
Consulta de regla
Esta es la esencia de la regla: decide qué información se encuentra en las alertas creadas por esta regla y cómo se organiza la información. Esta configuración tiene efectos de seguimiento sobre el aspecto de los incidentes resultantes y lo fácil o difícil que son de investigar, corregir y resolver. Es importante hacer que las alertas sean tan enriquecidas como sea posible y que esa información sea fácilmente accesible.
Vea o escriba la consulta de Kusto que analiza los datos de registro sin procesar. Si va a crear una regla desde cero, es una buena idea planear y diseñar la consulta antes de abrir este asistente. Puede compilar y probar consultas en la página Registros .
Todo lo que escribe en la ventana de consulta de reglas se valida al instante, por lo que se descubre inmediatamente si comete algún error.
Procedimientos recomendados para las consultas de reglas de análisis
Se recomienda usar un analizador de Advanced Security Information Model (ASIM) como origen de consulta, en lugar de usar una tabla nativa. Esto garantizará que la consulta admita cualquier origen de datos o familia de orígenes de datos relevante, actuales o futuros, en lugar de un origen de datos único.
La longitud de la consulta debe tener entre 1 y 10 000 caracteres y no puede contener "
search *" o "union *". Puede usar funciones definidas por el usuario para superar la limitación de longitud de consulta, ya que una sola función puede reemplazar docenas de líneas de código.No se admite el uso de funciones de ADX para crear consultas de Azure Data Explorer dentro de la ventana de consulta de Log Analytics.
Al usar la
bag_unpackfunción en una consulta, si proyecta las columnas como campos mediante "project field1" y la columna no existe, se produce un error en la consulta. Para protegerse frente a esto, debe proyectar la columna de la siguiente manera:project field1 = column_ifexists("field1","")
Para más información, consulte:
- Kusto Query Language en Microsoft Sentinel
- Guía de referencia rápida de KQL
- Procedimientos recomendados para consultas de lenguaje de consulta kusto
Mejora de alertas
Si desea que las alertas muestren sus hallazgos para que puedan ser visibles inmediatamente en incidentes y realizar un seguimiento e investigar correctamente, use la configuración de mejora de alertas para exponer toda la información importante de las alertas.
Esta mejora de alertas tiene la ventaja adicional de presentar los resultados de una manera fácilmente visible y accesible.
Hay tres tipos de mejoras de alerta que puede configurar:
- Asignación de entidad
- Detalles personalizados
- Detalles de alerta (también conocidos como contenido dinámico)
Asignación de entidad
Las entidades son los jugadores de cualquier lado de cualquier historia de ataque. Identificar todas las entidades de una alerta es esencial para detectar e investigar amenazas. Para asegurarse de que Microsoft Sentinel identifica las entidades de los datos sin procesar, debe asignar los tipos de entidad reconocidos por Microsoft Sentinel a los campos de los resultados de la consulta. Esta asignación integra las entidades identificadas en el campo Entidades del esquema de alertas.
Para más información sobre la asignación de entidades y para obtener instrucciones completas, consulte Asignación de campos de datos a entidades en Microsoft Sentinel.
Detalles personalizados
De forma predeterminada, en los incidentes solo son visibles las entidades de alerta y los metadatos, sin explorar en profundidad los eventos sin procesar en los resultados de la consulta. Para proporcionar a otros campos de los resultados de la consulta visibilidad inmediata en las alertas e incidentes, definalos como detalles personalizados. Microsoft Sentinel integra estos detalles personalizados en el campo ExtendedProperties de las alertas, lo que hace que se muestren por adelantado en las alertas y en los incidentes creados a partir de esas alertas.
Para obtener más información sobre cómo mostrar detalles personalizados y obtener instrucciones completas, consulta Mostrar detalles de eventos personalizados en alertas en Microsoft Sentinel.
Detalles de alertas
Esta opción permite personalizar las propiedades de las alertas, que de otro modo serían estándar, en función del contenido de varios campos de cada alerta individual. Estas personalizaciones se integran en el campo ExtendedProperties de las alertas. Por ejemplo, puede personalizar el nombre o la descripción de la alerta para incluir un nombre de usuario o una dirección IP en la alerta.
Para obtener más información sobre cómo personalizar los detalles de las alertas y obtener instrucciones completas, consulte Personalización de los detalles de alertas en Microsoft Sentinel.
Nota
En el portal de Microsoft Defender, el motor de correlación de XDR de Defender solo se encarga de asignar nombres a incidentes, por lo que los nombres de alerta que personalice podrían invalidarse cuando se crean incidentes a partir de estas alertas.
Programación de consultas
Los parámetros siguientes determinan con qué frecuencia se ejecuta la regla programada y qué período de tiempo examina cada vez que se ejecuta.
| Configuración | Comportamiento |
|---|---|
| Ejecutar consulta cada | Controla el intervalo de consulta: con qué frecuencia se ejecuta la consulta. |
| Buscar datos del último | Determina el período de búsqueda: el período de tiempo cubierto por la consulta. |
El intervalo permitido para ambos parámetros es de 5 minutos a 14 días.
El intervalo de consulta debe ser menor o igual que el período de búsqueda. Si es más corto, los períodos de consulta se superponen, lo que puede provocar cierta duplicación de resultados. La validación de la regla no le permite establecer un intervalo más largo que el período de retrospectiva, ya que eso daría lugar a brechas en la cobertura.
La opción Iniciar ejecución , ahora en versión preliminar, permite crear una regla con el estado Habilitado, pero retrasar su primera ejecución hasta una fecha y hora predeterminadas. Esta configuración es útil si desea que se ejecuten las reglas según cuándo se espera que se ingieren datos desde el origen o cuando los analistas de SOC inicien su día laboral.
| Configuración | Comportamiento |
|---|---|
| Automáticamente | La regla se ejecuta por primera vez inmediatamente después de ser creada, y después de eso al intervalo establecido en la configuración Ejecutar consulta cada. |
| En un momento específico (versión preliminar) | Establezca una fecha y hora para que la regla se ejecute por primera vez, después de lo cual se ejecuta en el intervalo establecido en la opción Ejecutar consulta cada configuración. |
El tiempo de ejecución de inicio debe estar comprendido entre 10 minutos y 30 días después de la hora de creación de la regla (o habilitación).
La línea de texto de la opción Iniciar ejecución (con el icono de información a la izquierda) resume la programación de consultas actual y la configuración de búsqueda.
Nota
Retraso de ingesta
Para tener en cuenta la latencia que puede producirse entre la generación de un evento en el origen y su ingesta en Microsoft Sentinel, y para garantizar una cobertura completa sin duplicación de datos, Microsoft Sentinel ejecuta reglas de análisis programadas en un retraso de cinco minutos a partir de su hora programada.
Para más información, consulte Control del retraso de ingesta en las reglas de análisis programadas.
Umbral de alerta
Muchos tipos de eventos de seguridad son normales o incluso se esperan en números pequeños, pero son un signo de una amenaza en números mayores. Diferentes escalas de grandes números pueden significar diferentes tipos de amenazas. Por ejemplo, dos o tres intentos de inicio de sesión erróneos en el espacio de un minuto es un signo de un usuario que no recuerda una contraseña, pero 50 en un minuto podría ser un signo de un ataque humano, y es probable que mil sea un ataque automatizado.
Según el tipo de actividad que intenta detectar la regla, puede establecer un número mínimo de eventos (resultados de consulta) necesarios para desencadenar una alerta. El umbral se aplica por separado a cada vez que se ejecuta la regla, no colectivamente.
El umbral también se puede establecer en un número máximo de resultados o en un número exacto.
Agrupación de eventos
Hay dos maneras de controlar la agrupación de eventos en alertas:
Agrupe todos los eventos en una sola alerta: Este es el valor predeterminado. La regla genera una sola alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados que el umbral de alerta especificado explicado en la sección anterior. Esta única alerta resume todos los eventos devueltos en los resultados de la consulta.
Desencadene una alerta para cada evento: La regla genera una alerta única para cada evento (resultado) devuelto por la consulta. Este modo resulta útil si desea que los eventos se muestren individualmente, o si desea agruparlos por determinados parámetros por usuario, nombre de host o cualquier otro elemento. Puede definir estos parámetros en la consulta.
Las reglas de análisis pueden generar hasta 150 alertas. Si la agrupación de eventos se establece en Desencadenar una alerta para cada evento y la consulta de la regla devuelve más de 150 eventos, los primeros 149 eventos generarán una alerta única (para 149 alertas) y la alerta 150 resumirá todo el conjunto de eventos devueltos. En otras palabras, la alerta 150 es lo que se habría generado si la agrupación de eventos se hubiera establecido en Agrupar todos los eventos en una sola alerta.
La sección Consulta de la alerta es diferente en cada uno de estos dos modos. En el modo Agrupar todos los eventos en un solo modo de alerta, la alerta devuelve una consulta que le permite ver todos los eventos que desencadenaron la alerta. Puede explorar en profundidad los resultados de la consulta para ver los eventos individuales. En el modo de activar una alerta para cada evento, la alerta devuelve un resultado codificado en base64 en el área de consulta. Copie y ejecute esta salida en Log Analytics para descodificar la base64 y mostrar el evento original.
El ajuste Generar una alerta por cada evento podría causar un problema en el que los resultados de la consulta parezcan faltar o diferir de lo esperado. Para obtener más información sobre este escenario, consulte Solución de problemas de reglas de análisis en Microsoft Sentinel | Problema: no aparecen eventos en los resultados de la consulta.
Supresión
Si desea que esta regla deje de funcionar durante un período de tiempo después de generar una alerta, active la opciónDetener la ejecución de la consulta después de generar la alerta. A continuación, debe establecer Detener la ejecución de la consulta durante a la cantidad de tiempo que la consulta debe dejar de ejecutarse, hasta 24 horas.
Simulación de resultados
El asistente para reglas de análisis permite probar su eficacia ejecutándolo en el conjunto de datos actual. Al ejecutar la prueba, la ventana Simulación de resultados muestra un gráfico de los resultados que la consulta habría generado durante las últimas 50 veces que se habría ejecutado, según la programación definida actualmente. Si modifica la consulta, puede volver a ejecutar la prueba para actualizar el gráfico. El gráfico muestra el número de resultados durante el período de tiempo definido, que viene determinado por la programación de consulta definida.
Este es el aspecto de la simulación de resultados para la consulta en la captura de pantalla anterior. El lado izquierdo es la vista predeterminada, mientras que el lado derecho es lo que se ve al mantener el mouse sobre un momento dado del gráfico.
Si ve que la consulta desencadenaría demasiadas alertas o demasiado frecuentes, puede experimentar con la configuración de programación y umbral y volver a ejecutar la simulación.
Configuración de incidente
Elija si Microsoft Sentinel convierte las alertas en incidentes accionables.
La creación de incidentes está habilitada de forma predeterminada. Microsoft Sentinel crea un único incidente independiente de cada alerta generada por la regla.
Si no desea que esta regla genere incidentes (por ejemplo, si esta regla es solo para recopilar información para el análisis posterior), establézcala en Deshabilitado.
Importante
Si ha incorporado Microsoft Sentinel al portal de Defender, Microsoft Defender es responsable de crear incidentes. Sin embargo, si desea que XDR de Defender cree incidentes para esta alerta, debe dejar esta opción Habilitada. Defender XDR toma la instrucción definida aquí.
Esto no se debe confundir con el tipo de regla de análisis de Seguridad de Microsoft que crea incidentes para las alertas generadas en los servicios de Microsoft Defender. Esas reglas se deshabilitan automáticamente al incorporar Microsoft Sentinel al portal de Defender.
Si desea que se cree un solo incidente a partir de un grupo de alertas, en lugar de uno para cada alerta, consulte la sección siguiente.
Agrupación de alertas
Elija si las alertas se agrupan en incidentes. De forma predeterminada, Microsoft Sentinel crea un incidente para cada alerta generada. En su lugar, tiene la opción de agrupar varias alertas en un único incidente.
El incidente se crea solo después de que se hayan generado todas las alertas. Todas las alertas se agregarán al incidente inmediatamente después de su creación.
Se pueden agrupar hasta 150 alertas en un único incidente. Si hay más de 150 alertas generadas por una regla que las agrupa en un solo incidente, se generará un nuevo incidente con los mismos detalles del incidente que el original, y las alertas sobrantes se agruparán en el nuevo incidente.
Para agrupar alertas, establezca la configuración de agrupación de alertas en Habilitado.
Hay algunas opciones que se deben tener en cuenta al agrupar alertas:
Período de tiempo: De forma predeterminada, las alertas creadas hasta 5 horas después de la primera alerta de un incidente se agregan al mismo incidente. Después de 5 horas, se crea un nuevo incidente. Se puede modificar este período de tiempo entre 5 minutos y 7 días.
Criterios de agrupación: Elija cómo determinar qué alertas se incluyen en el grupo. En la tabla siguiente se muestran las posibles opciones:
Opción Descripción Agrupa las alertas en un único incidente si todas las entidades coinciden Las alertas se agrupan si comparten valores idénticos para cada una de las entidades asignadas definidas anteriormente. Éste es el valor recomendado. Agrupar todas las alertas desencadenadas por esta regla en un único incidente Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos. Agrupa las alertas en un único incidente si las entidades seleccionadas y los detalles coinciden Las alertas se agrupan si comparten valores idénticos para todas las entidades asignadas, los detalles de alerta y los detalles personalizados que seleccione para esta configuración. Elija las entidades y los detalles de las listas desplegables que aparecen al seleccionar esta opción.
Es posible que quiera usar esta configuración si, por ejemplo, quiere crear incidentes independientes basados en las direcciones IP de origen o de destino, o si desea agrupar las alertas que coincidan con una entidad y gravedad específicas.
Nota: Al seleccionar esta opción, debe tener al menos una entidad o detalle seleccionada para la regla. De lo contrario, se produce un error en la validación de la regla y no se crea la regla.Volver a abrir incidentes: si se ha resuelto y cerrado un incidente y, más adelante, se genera otra alerta que debe pertenecer a ese incidente, establezca esta configuración en Habilitado si desea que se vuelva a abrir el incidente cerrado y deje como Deshabilitado si desea que la nueva alerta cree un nuevo incidente.
La opción para volver a abrir incidentes cerrados no está disponible si ha incorporado Microsoft Sentinel al portal de Defender.
Respuesta automatizada
Microsoft Sentinel le permite establecer respuestas automatizadas para que se produzcan cuando:
- Esta regla de análisis genera una alerta.
- Este análisis genera un incidente a partir de alertas generadas por esta regla de análisis.
- Un incidente se actualiza con las alertas generadas por esta regla de análisis.
Para obtener información sobre los diferentes tipos de respuestas que se pueden crear y automatizar, consulte Automatización de la respuesta a amenazas en Microsoft Sentinel con reglas de automatización.
En el encabezado Reglas de automatización , el asistente muestra una lista de las reglas de automatización ya definidas en todo el área de trabajo, cuyas condiciones se aplican a esta regla de análisis. Puede editar cualquiera de estas reglas existentes o puede crear una nueva regla de automatización que solo se aplique a esta regla de análisis.
Use reglas de automatización para realizar la evaluación básica, la asignación, el flujo de trabajo y el cierre de incidentes.
Automatice tareas más complejas e invoque respuestas de sistemas remotos para corregir amenazas mediante una llamada a los cuadernos de estrategias de estas reglas de automatización. Puede invocar cuadernos de estrategias para incidentes y también para alertas individuales.
Para obtener más información e instrucciones sobre cómo crear cuadernos de estrategias y reglas de automatización, consulte Automatización de respuestas a amenazas.
Para obtener más información sobre cuándo usar el desencadenador creado por incidentes, el desencadenador actualizado por incidentes o el desencadenador creado por alertas, consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel.
En el encabezado Automatización de alertas (clásico), es posible que vea una lista de cuadernos de estrategias configurados para ejecutarse automáticamente mediante un método anterior debido a que estará en desuso en marzo de 2026. No puede agregar nada a esta lista. Los cuadernos de estrategias que se enumeran aquí deben tener reglas de automatización creadas, en función del desencadenador creado por alertas, para invocar los cuadernos de estrategias. Una vez hecho esto, seleccione los puntos suspensivos al final de la línea del cuaderno de estrategias que se muestra aquí y seleccione Quitar. Consulte Migración de cuadernos de estrategias de desencadenamiento de alertas de Microsoft Sentinel a reglas de automatización para ver las instrucciones completas.
Pasos siguientes
Al usar reglas de análisis de Microsoft Sentinel para detectar amenazas en su entorno, asegúrese de habilitar todas las reglas asociadas a los orígenes de datos conectados para garantizar una cobertura de seguridad completa para su entorno.
Para automatizar la habilitación de reglas, envíe normas a Microsoft Sentinel a través del API y PowerShell, aunque esto requiera más esfuerzo. Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden ayudar al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.
Para más información, consulte:
- Exportación e importación de reglas de análisis hacia y desde plantillas de ARM
- Solución de problemas de reglas de análisis en Microsoft Sentinel
- Navegación e investigación de incidentes en Microsoft Sentinel
- Entidades en Microsoft Sentinel
- Tutorial: Cómo utilizar libros de jugadas con reglas de automatización en Microsoft Sentinel
Además, obtenga información sobre el uso de reglas de análisis personalizadas al supervisar Zoom con un conector personalizado.