Compartir a través de

Exposición de detalles de eventos personalizados de alertas en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las reglas programadas de análisis de consultas analizan los eventos de los orígenes de datos conectados a Microsoft Sentinel y generan alertas cuando el contenido de estos eventos es significativo desde una perspectiva de seguridad. Estas alertas se analizan, agrupan y filtran a través de los distintos motores de Microsoft Sentinel y se sintetizan en incidentes que garantizan la atención del analista de SOC. Sin embargo, cuando el analista ve el incidente, solo las propiedades de las alertas de componentes son inmediatamente visibles. Para obtener el contenido real (información contenida en los eventos) es necesario investigar un poco.

Con la característica Detalles personalizados del Asistente para reglas de análisis, puede exponer los datos de eventos en las alertas que se crean a partir de esos eventos, lo que hace que los datos de evento formen parte de las propiedades de la alerta. De hecho, le ofrece visibilidad inmediata del contenido del evento en sus incidentes, lo que le permite evaluar, investigar, extraer conclusiones y responder con mucha mayor velocidad y eficacia.

El procedimiento que se detalla a continuación forma parte del Asistente para crear reglas de análisis. Aquí se trata de forma independiente para abordar el escenario de agregar o cambiar los detalles personalizados en una regla de análisis existente.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, Microsoft Sentinel solo se admitirá en el portal de Defender y los clientes restantes que usen Azure Portal se redirigirán automáticamente.

Se recomienda que los clientes que usen Microsoft Sentinel en Azure empiecen a planear la transición al portal de Defender para obtener la experiencia de operaciones de seguridad unificada completa que ofrece Microsoft Defender. Para obtener más información, consulte Planeamiento del traslado al portal de Microsoft Defender para todos los clientes de Microsoft Sentinel.

Cómo exponer detalles de eventos personalizados

  1. Vaya a la página Análisis del portal a través de la que accederá a Microsoft Sentinel:

    En el menú de navegación de Microsoft Defender, expanda Microsoft Sentinel, y luego Configuración. Seleccione Análisis.

  2. Seleccione una regla de consulta programada y haga clic en Editar. O bien, para crear una nueva regla, haga clic en Crear > Regla de consulta programada en la parte superior de la pantalla.

  3. Haga clic en la pestaña Establecer la lógica de la regla.

  4. En la sección Enriquecimiento de alertas, expanda Detalles personalizados.

    Buscar y seleccionar detalles personalizados

  5. En la sección Detalles personalizados ahora expandida, agregue pares clave-valor correspondientes a los detalles que desea mostrar:

    1. En el campo Clave, escriba un nombre de su elección, que aparecerá como el nombre del campo en las alertas.

    2. En el campo Valor, elija el parámetro de evento que desea exponer en las alertas de la lista desplegable. Esta lista se rellenará con los valores correspondientes a los campos de las tablas que son el asunto de la consulta de regla.

      Agregar detalles personalizados

  6. Haga clic en Agregar nuevo para mostrar más detalles. Repita los últimos pasos para definir pares clave-valor.

    Si cambia de opinión, o si ha cometido algún error y quiere quitar un detalle personalizado, puede hacer clic en el icono de la papelera que se encuentra junto a la lista desplegable Valor de ese detalle.

  7. Cuando termine de definir los detalles de configuración, haga clic en la pestaña Revisar y crear. Cuando la validación de reglas sea correcta, haga clic en Guardar.

    Nota

    Límites de servicio

    • Puede definir hasta 20 detalles personalizados en una sola regla de análisis. Cada detalle personalizado puede contener hasta 50 valores.

    • El límite de tamaño combinado para todos los detalles personalizados y sus valores en una sola alerta es de 2 KB. Se quitan los valores que superan este límite.

Pasos siguientes

En este documento, ha aprendido a exponer detalles personalizados en alertas mediante reglas de análisis de Azure Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: