Creación y publicación de libros para soluciones de Microsoft Sentinel

Los libros son una característica integral de Microsoft Sentinel, una solución de Administración de eventos e información de seguridad (SIEM) nativa de nube. Los libros proporcionan a los usuarios paneles interactivos y personalizables que agregan y visualizan datos de varios orígenes. Estos paneles permiten a las organizaciones obtener información más detallada sobre su posición de seguridad y simplificar sus esfuerzos en la detección y respuesta de amenazas. Al integrar datos de varios orígenes y facilitar la colaboración entre los equipos de seguridad, los libros de Microsoft Sentinel desempeñan un papel fundamental en el fortalecimiento de la posición general de seguridad de una organización.

Este artículo le guía por el proceso de creación y publicación de libros para las soluciones de Microsoft Sentinel.

Casos de uso para los libros de Microsoft Sentinel

• Supervisión del centro de operaciones de seguridad (SOC): en un SOC, los libros de Microsoft Sentinel se usan para supervisar y analizar eventos de seguridad en tiempo real. Los analistas de SOC pueden crear libros que muestren indicadores clave de rendimiento (KPI), como tiempos de respuesta a incidentes, volúmenes de alertas y tasas de detección de amenazas. Al tener una vista centralizada de las métricas de seguridad, los equipos de SOC pueden optimizar sus flujos de trabajo y mejorar los procesos de administración de incidentes.

• Informes de cumplimiento y auditoría: las organizaciones deben cumplir diversos estándares normativos y requisitos de auditoría. Los libros de Microsoft Sentinel ayudan a generar informes de cumplimiento mediante la visualización de los datos relacionados con los controles de seguridad, las actividades del usuario y la aplicación de directivas. Las organizaciones pueden personalizar estos informes para que se alineen con marcos normativos específicos y así poder demostrar más fácilmente el cumplimiento durante las auditorías.

• Búsqueda de amenazas: la búsqueda de amenazas implica buscar de forma proactiva signos de actividad malintencionada en el entorno de una organización. Los libros de Microsoft Sentinel ayudan a los cazadores de amenazas proporcionando representaciones visuales de comportamientos anómalos, patrones de ataque e indicadores de riesgo (IOC). Los cazadores pueden usar estas conclusiones para descubrir amenazas ocultas, investigar actividades sospechosas y tomar medidas preventivas antes de que se escalen los incidentes.

Creación de un libro

1. Vaya a Azure Portal y seleccione Microsoft Sentinel en la lista de servicios disponibles.

2. Asegúrese de que tiene un área de trabajo designada para la instancia de Microsoft Sentinel. Puede crear una nueva área de trabajo o seleccionar una existente.

3. En el área de trabajo de Microsoft Sentinel, seleccione la pestaña Libros.

4. Puede empezar con una plantilla precompilada o crear un libro desde cero:

   • Para crear un libro a partir de una plantilla, examine las plantillas disponibles y seleccione la que coincida con sus necesidades. Las plantillas proporcionan una manera rápida de empezar a trabajar con las visualizaciones y métricas más usadas.
   • Para crear un libro desde cero, seleccione el botón + Nuevo. En el libro en blanco que se abre, puede agregar sus consultas y visualizaciones personalizadas.

5. Los libros agregan datos de varios orígenes. Use la opción Agregar consulta para incorporar los datos de los orígenes de datos conectados. Puede escribir consultas personalizadas del Lenguaje de consulta Kusto (KQL) para capturar y filtrar los datos que necesita.

6. Una vez que tenga los datos, puede agregar y personalizar visualizaciones para representarlos de forma eficaz. Microsoft Sentinel ofrece varias opciones de visualización, incluidos gráficos, tablas y gráficos. Ajuste la configuración para que coincida con sus requisitos específicos.

7. Después de diseñar el libro, guárdelo en el área de trabajo.

Publicación del libro mediante una plantilla de la galería

1. Vaya al libro, seleccione Editar y, a continuación, seleccione Editor avanzado.

2. Seleccione la pestaña Plantilla de Galería.

   

3. Copie la plantilla de la galería y guárdela como archivo JSON en la máquina.

4. Agregue las siguientes propiedades a la plantilla de la galería. Estas propiedades nos permiten identificar el libro específico de Microsoft Sentinel que se abrió. Use el formato sentinel-<workbookName> para la coherencia.

    "styleSettings": {},
    "fromTemplateId": "sentinel-MyNewWorkbook",
    "$schema": "https://github.com/Microsoft/Application-Insights-Workbooks/blob/master/schema/workbook.json"
   

5. Guarde el archivo JSON y cárguelo en la carpeta Libros en el repositorio de soluciones de GitHub. Si la carpeta Libros no existe, créela.

6. Haga dos recortes de pantalla del libro: uno en el tema oscuro y otro en el tema claro. Las imágenes se usan como imágenes de vista previa del libro.

   Sea coherente con las convenciones del nombre de archivo. El nombre de archivo de la imagen del tema oscuro debe contener la palabra negro. El nombre de archivo de la imagen de tema claro debe contener la palabra blanco.

   Cargue estas imágenes en GitHub.

7. Opcionalmente, puede agregar un logotipo para mostrarlo en el libro. Cargue el logotipo en la carpeta Logotipos de GitHub. El logotipo debe estar en formato SVG. Si no proporciona ningún logotipo, aparece el logotipo predeterminado de Microsoft Sentinel.

8. Agregue la siguiente sección para el libro en el archivo WorkbooksMetadata.json. Este archivo contiene metadatos para todos los libros de la galería de Microsoft Sentinel. Para obtener más información, puede ver las entradas existentes en el archivo.

   {
    "workbookKey": "YourWorkbookKey", // in the format of "<Name>Workbook". Ensure that the key is unique across all workbooks
   
    "logoFileName": "",// If you have a logo, provide the filename here
   
    "description": "description of the workbook.", // Will be displayed on the workbooks blade next to the logo and preview images
   
    "dataTypesDependencies": [ "Datatype" ],//The data type(s) that your workbook queries
   
    "dataConnectorsDependencies": [],//Relevant connectors
   
    "previewImagesFileNames": [ ],//The relative path of the preview images you saved under workbooks/images/previews
   
    "version": "1.0", // if this is a new workbook - this should be "1.0"
   
    "title": "Workbook title",//This should be the name of the workbook which will be displayed in the main workbooks blade - for example "Palo Alto overview"
   
    "templateRelativePath": "MyNewWorkbook.json",//The relative path of the JSON of the template (the gallery template you saved) 
   
    "subtitle": "",
   
    "provider": "Your company name" //Name of the company/author who owns the workbook and is responsible for providing support
    }
   

Contenido relacionado

• Publicación de soluciones en Microsoft Sentinel