Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) nativa en la nube con la capacidad de ingerir, mantener y administrar la inteligencia sobre amenazas a partir de numerosos orígenes.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Presentación de la inteligencia sobre amenazas
La inteligencia sobre ciberamenazas (CTI) es información que describe posibles amenazas o amenazas existentes a sistemas y usuarios. Esta inteligencia adopta muchas formas, como informes escritos en los que se detallan las motivaciones, la infraestructura y las técnicas de un determinado actor de amenazas. También puede tratarse de observaciones específicas de direcciones IP, dominios, hashes de archivos y otros artefactos asociados a ciberamenazas conocidas.
Las organizaciones usan CTI para proporcionar contexto esencial a actividades inusuales para que el personal de seguridad pueda tomar medidas rápidamente para proteger a sus usuarios y recursos. Puede obtener información sobre CTI desde muchos lugares, como:
- Fuentes de distribución de datos de código abierto
- Comunidades de intercambio de inteligencia sobre amenazas
- Fuentes de inteligencia comercial
- La inteligencia local recopilada en el curso de las investigaciones de seguridad dentro de una organización.
En el caso de las soluciones SIEM como Microsoft Sentinel, las formas más comunes de CTI son indicadores de amenazas, que también se conocen como indicadores de riesgo (IOC) o indicadores de ataque. Los indicadores de amenazas son datos que asocian artefactos observados como direcciones URL, códigos hash de archivo o direcciones IP con actividad de amenazas conocida como suplantación de identidad (phishing), redes de robots (botnet) o malware. Esta forma de inteligencia sobre amenazas se denomina a menudo inteligencia táctica sobre amenazas. Se aplica a productos de seguridad y automatización a gran escala para proteger y detectar posibles amenazas a una organización.
Otra faceta de la inteligencia sobre amenazas representa a los actores de amenazas, sus técnicas, tácticas y procedimientos (TTP), su infraestructura y las identidades de sus víctimas. Microsoft Sentinel admite la administración de estas facetas junto con los indicadores de peligro (IOC), expresados mediante el estándar de código abierto para el intercambio de CTI conocido como expresión de información sobre amenazas estructurada (STIX). La inteligencia sobre amenazas expresada como objetos de STIX mejora la interoperabilidad y permite a las organizaciones buscar de forma más eficaz. Use los objetos de STIX de la inteligencia sobre amenazas en Microsoft Sentinel para detectar actividades malintencionadas en el entorno y proporcionar el contexto completo de un ataque para tomar decisiones de respuesta.
En la tabla siguiente se indican las actividades necesarias para sacar el máximo partido a la integración de la inteligencia sobre amenazas en Microsoft Sentinel:
| Acción | Descripción |
|---|---|
| Almacenar inteligencia sobre amenazas en el área de trabajo de Microsoft Sentinel |
|
| Administrar inteligencia sobre amenazas |
|
| Usar inteligencia sobre amenazas |
|
La inteligencia sobre amenazas también proporciona un contexto útil dentro de otras experiencias de Microsoft Sentinel, como los cuadernos. Para más información, consulte Introducción a los cuadernos y MSTICPY.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Importación y conexión de la inteligencia sobre amenazas
La mayor parte de la inteligencia sobre amenazas se importa mediante conectores de datos o una API. Configure las reglas de procesamiento para reducir el ruido y garantizar que tus fuentes de inteligencia estén optimizadas. Estas son las soluciones disponibles para Microsoft Sentinel.
- El conector de datos de Inteligencia contra amenazas de Microsoft Defender para ingerir la inteligencia sobre amenazas de Microsoft
- Inteligencia sobre amenazas: TAXII: conector de datos para fuentes STIX/TAXII estándar del sector
- API de carga de inteligencia sobre amenazas para fuentes de TI integradas y mantenidas mediante una API REST para su conexión (no requiere un conector de datos)
- El conector de datos de la plataforma de inteligencia sobre amenazas también conecta las fuentes de TI mediante una API REST heredada, pero está en desuso
Use estas soluciones en cualquier combinación, dependiendo de dónde obtenga su organización la inteligencia sobre amenazas. Todos estos conectores de datos están disponibles en el Centro de contenido como parte de la solución de inteligencia sobre amenazas. Para obtener más información sobre esta solución, consulte la entrada Inteligencia sobre amenazas de Azure Marketplace.
Además, consulte este catálogo de integraciones de la inteligencia sobre amenazas que están disponibles con Microsoft Sentinel.
Incorporación de inteligencia sobre amenazas a Microsoft Sentinel con el conector de datos de Inteligencia sobre amenazas de Defender
Incorpore IOC públicos, de código abierto y de alta fidelidad generados por la Inteligencia sobre amenazas de Defender en el área de trabajo de Microsoft Sentinel con los conectores de datos de Inteligencia sobre amenazas de Defender. Con una configuración de un solo clic, use la inteligencia de amenazas de los conectores de datos estándar y premium de Inteligencia de Amenazas de Defender para supervisar, alertar y realizar búsquedas.
Hay dos versiones del conector de datos, estándar y premium. También hay una regla de análisis de amenazas de Inteligencia sobre amenazas de Defender disponible gratuitamente que proporciona un ejemplo de lo que proporciona el conector de datos de Inteligencia sobre amenazas de Defender premium. Sin embargo, con el análisis coincidente, solo los indicadores que coinciden con la regla se ingieren en el entorno.
El conector de datos premium de Inteligencia sobre amenazas de Defender ingiere inteligencia de código abierto enriquecida por Microsoft y las IOC mantenidas por Microsoft. Estas características premium permiten el análisis de más orígenes de datos con mayor flexibilidad y comprensión de esa inteligencia sobre amenazas. Esta es una tabla que muestra qué esperar al conceder una licencia y habilitar la versión premium.
| Gratis | De primera calidad |
|---|---|
| IOC públicos | |
| Inteligencia de código abierto (OSINT) | |
| IOC de Microsoft | |
| OSINT enriquecido por Microsoft |
Vea los siguientes artículos para más información:
- Para aprender a obtener una licencia premium y explorar todas las diferencias entre las versiones estándar y premium, consulte Explorar las licencias de Inteligencia contra amenazas de Defender.
- Para obtener más información sobre la experiencia gratuita de Inteligencia sobre amenazas de Defender, consulte Introducción a la experiencia gratuita de Inteligencia sobre amenazas de Defender para Microsoft Defender XDR.
- Para obtener información sobre cómo habilitar la Inteligencia sobre amenazas de Defender y los conectores de datos premium de Inteligencia sobre amenazas de Defender, consulte Habilitación del conector de datos de Inteligencia sobre amenazas de Defender.
- Para obtener información sobre el análisis de coincidencias, vea Uso del análisis de coincidencias para detectar amenazas.
Agregar inteligencia sobre amenazas a Microsoft Sentinel con la API de subida
Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de indicadores de amenazas de diversos orígenes. Desde la fuente agregada, los datos son curados para aplicarse a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o SIEMs como Microsoft Sentinel. La API de carga le permite usar estas soluciones para importar los objetos STIX de inteligencia sobre amenazas a Microsoft Sentinel.
La nueva API de carga no requiere conectores de datos y ofrece las siguientes mejoras:
- Los campos de indicador de amenazas se basan en el formato estandarizado STIX.
- La aplicación Microsoft Entra requiere el rol de Colaborador de Microsoft Sentinel.
- El punto de conexión de solicitud de API está en el ámbito del nivel de área de trabajo. Los permisos necesarios de la aplicación Microsoft Entra permiten una asignación granular a nivel del área de trabajo.
Para obtener más información, consulte Cómo conectar su plataforma de inteligencia de amenazas usando la API de carga
Agrega inteligencia sobre amenazas a Microsoft Sentinel con el conector de datos de la plataforma de inteligencia sobre amenazas.
Nota:
Este conector de datos está en proceso de desuso.
Al igual que la API de carga, el conector de datos de la plataforma de Inteligencia sobre amenazas usa una API que permite que la TIP o la solución personalizada envíen inteligencia sobre amenazas a Microsoft Sentinel. Sin embargo, este conector de datos está limitado solo a indicadores y está en proceso de desuso. Se recomienda aprovechar las optimizaciones que la API de carga ofrece.
El conector de datos de la TIP usa la API Microsoft Graph Security tiIndicators que no admite otros objetos de STIX. Se puede usar con cualquier plataforma de inteligencia sobre amenazas personalizada que se comunique con la API de tiIndicators para enviar indicadores a Microsoft Sentinel (y a otras soluciones de seguridad de Microsoft como Defender XDR).
Para más información sobre las soluciones TIP integradas con Microsoft Sentinel, consulte Productos de la plataforma de inteligencia sobre amenazas integrada. Para más información, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.
Agregar inteligencia de amenazas a Microsoft Sentinel con el conector de datos de inteligencia de amenazas TAXII
El estándar del sector más ampliamente adoptado para la transmisión de la inteligencia sobre amenazas es una combinación del formato de datos STIX y el protocolo TAXII. Si la organización obtiene inteligencia sobre amenazas de soluciones que admiten la versión de STIX/TAXII actual (2.0 o 2.1), use el conector de datos Inteligencia sobre amenazas: TAXII para traer su inteligencia sobre amenazas a Microsoft Sentinel. El conector de datos de información sobre amenazas TAXII habilita un cliente TAXII integrado en Microsoft Sentinel para importar información sobre amenazas desde servidores TAXII 2.x.
Para importar inteligencia sobre amenazas con formato STIX a Microsoft Sentinel desde un servidor TAXII:
- Obtenga el identificador de colección y raíz de la API del servidor TAXII.
- Habilitar el conector de datos de Inteligencia de Amenazas - TAXII en Microsoft Sentinel.
Para más información, consulte Conexión de Microsoft Sentinel a fuentes de inteligencia sobre amenazas STIX/TAXII.
Creación y administración de la inteligencia sobre amenazas
La inteligencia sobre amenazas con tecnología de Microsoft Sentinel se administra junto a Inteligencia sobre amenazas de Microsoft Defender (MDTI) y Análisis de amenazas en el portal de Microsoft Defender.
Nota:
Se sigue accediendo a la inteligencia sobre amenazas en Azure Portal desde Microsoft Sentinel>Administración de amenazas>Inteligencia sobre amenazas.
Dos de las tareas de inteligencia sobre amenazas más comunes son la creación de nueva inteligencia sobre amenazas relacionada con las investigaciones de seguridad y la incorporación de etiquetas. La interfaz de administración simplifica el proceso manual de selección de información sobre amenazas individuales con algunas características clave.
- Configure reglas de ingesta para optimizar la información sobre amenazas de los orígenes entrantes.
- Defina las relaciones a medida que crea nuevos objetos de STIX.
- Mantenga la inteligencia sobre amenazas existente con el generador de relaciones.
- Copie metadatos comunes de un objeto de TI nuevo o existente con la característica de duplicación.
- Agregue etiquetas de forma libre a objetos con selección múltiple.
Los siguientes objetos de STIX están disponibles en Microsoft Sentinel: 
| Objeto de STIX | Descripción |
|---|---|
| Actor de amenaza | Desde script kiddies a estados internacionales, en los objetos de actor de amenazas se describen motivaciones, sofisticación y niveles de recursos. |
| Patrón de ataque | También conocidos como técnicas, tácticas y procedimientos, en los patrones de ataque se describe un componente específico de un ataque y la fase de MITRE ATT&CK en la que se usa. |
| Indicador | Domain name, URL, IPv4 address, IPv6 address y File hashesX509 certificates se usan para autenticar la identidad de los dispositivos y servidores para una comunicación segura a través de Internet.JA3: las huellas digitales son identificadores únicos generados a partir del proceso de protocolo de enlace TLS/SSL. Ayudan a identificar aplicaciones y herramientas específicas que se usan en el tráfico de red, lo que facilita la detección de actividades malintencionadasJA3S: las huellas digitales amplían las funcionalidades de JA3 mediante la inclusión de características específicas del servidor en el proceso de obtención de la huella digital. Esta extensión proporciona una vista más completa del tráfico de red y ayuda a identificar amenazas del lado cliente y del lado servidor.User agents proporcionan información sobre el software cliente que realiza solicitudes a un servidor, como el explorador o el sistema operativo. Son útiles para identificar y generar perfiles de dispositivos y aplicaciones que acceden a una red. |
| Identidad | Describe las víctimas, organizaciones y otros grupos o individuos junto con los sectores empresariales más estrechamente asociados con ellos. |
| Relación | Los subprocesos que se conectan a la inteligencia sobre amenazas, lo cual ayuda a establecer conexiones entre señales y puntos de datos dispares, se describen con relaciones. |
Configurar reglas de ingesta
Optimice las fuentes de inteligencia sobre amenazas filtrando y mejorando los objetos antes de que se entreguen al área de trabajo. Las reglas de ingesta actualizan los atributos o filtran completamente los objetos. En la tabla siguiente se enumeran algunos casos de uso:
| Caso de uso de la regla de ingesta | Descripción |
|---|---|
| Reducir el ruido | Filtrar la inteligencia sobre amenazas antigua que no se ha actualizado en los últimos 6 meses y que también tiene un bajo nivel de confianza. |
| Extender la fecha de validez | Promover IOC de alta fidelidad a partir de orígenes de confianza mediante la extensión de su Valid until en 30 días. |
| Recuerde los viejos tiempos | La nueva taxonomía del actor de amenazas es excelente, pero algunos de los analistas quieren estar seguros de etiquetar los nombres antiguos. |
Tenga en cuenta las siguientes sugerencias para usar reglas de ingesta:
- Todas las reglas se aplican en orden. Cada regla procesará los objetos de inteligencia sobre amenazas que se ingieren hasta que se realice una acción
Delete. Si no se realiza ninguna acción en un objeto, se ingiere desde el origen tal como está. - La acción
Deletesignifica que el objeto de inteligencia sobre amenazas se omite para la ingesta, lo que significa que se quita de la canalización. Las versiones anteriores del objeto ya ingeridas no se ven afectadas. - Las reglas nuevas y editadas pueden tardar hasta 15 minutos en surtir efecto.
Para obtener más información, consulte Trabajar con reglas de incorporación de inteligencia sobre amenazas.
Crear relaciones
Mejore la detección de amenazas y la respuesta a estas mediante el establecimiento de conexiones entre los objetos con el generador de relaciones. En la tabla siguiente se enumeran algunos de sus casos de uso:
| Caso de uso de relaciones | Descripción |
|---|---|
| Conexión de un actor de amenaza a un patrón de ataque | El actor de amenaza APT29usa el patrón de ataque Phishing via Email para obtener acceso inicial. |
| Vinculación de un indicador a un actor de amenaza | Un indicador de dominio allyourbase.contoso.com se atribuye al actor de amenaza APT29. |
| Asociación de una identidad (víctima) con un patrón de ataque | El patrón de ataque Phishing via Emailtiene como objetivo la organización FourthCoffee. |
En la imagen siguiente se muestra cómo el generador de relaciones conecta todos estos casos de uso.
Gestión de la inteligencia sobre amenazas
Configure qué objetos de TI se pueden compartir con las audiencias adecuadas mediante la designación de un nivel de confidencialidad denominado Protocolo de luces de semáforo (TLP).
| Color de TLP | Sensibilidad |
|---|---|
| Blanco | La información se puede compartir libre y públicamente sin restricciones. |
| Verde | La información se puede compartir con compañeros y organizaciones asociadas dentro de la comunidad, pero no públicamente. Está pensado para un público más amplio dentro de la comunidad. |
| Ámbar | La información se puede compartir con miembros de la organización, pero no públicamente. Está pensado para usarse dentro de la organización para proteger la información confidencial. |
| Rojo | La información es altamente confidencial y no debe compartirse fuera del grupo o reunión específicos donde se reveló originalmente. |
Establezca los valores de TLP para los objetos de TI en la interfaz de usuario al crearlos o editarlos. Establecer TLP a través de la API es menos intuitivo y requiere elegir uno de los cuatro GUID del objeto marking-definition. Para obtener más información sobre cómo configurar TLP mediante la API, consulte object_marking_refs en las propiedades comunes de la API de carga.
Otra manera de mantener TI es con etiquetas. El etiquetado de la inteligencia sobre amenazas es una manera rápida de agrupar objetos para que sean más fáciles de encontrar. Normalmente, puede aplicar etiquetas relacionadas con un incidente determinado. Sin embargo, si un objeto representa amenazas de un actor conocido determinado o una campaña de ataque conocida, considere la posibilidad de crear una relación en lugar de una etiqueta. Después de buscar y filtrar la inteligencia sobre amenazas con la que quiere trabajar, etiquételas individualmente o efectúe una selección múltiple y etiquete todas a la vez. Dado que el etiquetado es libre, se recomienda crear convenciones de nomenclatura estándar para las etiquetas de inteligencia sobre amenazas.
Para más información, consulte Uso de la inteligencia sobre amenazas en Microsoft Sentinel.
Consulta de la inteligencia sobre amenazas
Vea la inteligencia sobre amenazas desde la interfaz de administración o use consultas:
Desde la interfaz de administración, use la búsqueda avanzada para ordenar y filtrar los objetos de inteligencia sobre amenazas sin necesidad de escribir una consulta de Log Analytics.
Utiliza consultas para ver la inteligencia sobre amenazas de los registros de Azure Portal o la búsqueda avanzada de amenazas en el portal de Defender.
En cualquier caso, la
ThreatIntelligenceIndicatortabla debajo del esquema de Microsoft Sentinel es donde se almacenan todos los indicadores de amenazas de Microsoft Sentinel. Esta tabla es la base de las consultas de inteligencia sobre amenazas realizadas por otras características de Microsoft Sentinel, como analítica, consultas de búsqueda y libros de trabajo.
Importante
El 3 de abril de 2025, previsualizamos públicamente dos nuevas tablas para compatibilizar esquemas de indicadores y de objetos STIX: ThreatIntelIndicators y ThreatIntelObjects. Microsoft Sentinel ingerirá toda la inteligencia sobre amenazas en estas nuevas tablas, al tiempo que seguirá ingeriendo los mismos datos en la tabla heredada ThreatIntelligenceIndicator hasta el 31 de julio de 2025.
Asegúrese de actualizar las consultas personalizadas, las reglas de análisis y detección, los libros y la automatización para usar las nuevas tablas el 31 de julio de 2025. Después de esta fecha, Microsoft Sentinel dejará de ingerir datos en la tabla heredada ThreatIntelligenceIndicator . Estamos actualizando todas las soluciones de inteligencia sobre amenazas integradas en el centro de contenido para aprovechar las nuevas tablas. Para obtener más información sobre los nuevos esquemas de tabla, vea ThreatIntelIndicators y ThreatIntelObjects.
Para obtener información sobre el uso y la migración a las nuevas tablas, consulte Trabajar con objetos STIX para mejorar la inteligencia sobre amenazas y la búsqueda de amenazas en Microsoft Sentinel (versión preliminar).
Ciclo de vida de inteligencia sobre amenazas
Microsoft Sentinel almacena datos de inteligencia sobre amenazas en las tablas de inteligencia sobre amenazas y vuelve a analizar automáticamente todos los datos cada siete días para optimizar la eficacia de las consultas.
Cuando se crea, actualiza o elimina un indicador, Microsoft Sentinel crea una nueva entrada en las tablas. En la interfaz de administración solo aparece el indicador más reciente. Microsoft Sentinel desduplica indicadores basados en la propiedad Id (la propiedad IndicatorId del ThreatIntelligenceIndicator heredado) y elige el indicador con la TimeGenerated[UTC] más reciente.
La propiedad Id es una concatenación del valor SourceSystem codificado en base64, --- (tres guiones) y stixId (que es el valor Data.Id).
Visualización de los enriquecimientos de datos de GeoLocation y WhoIs (versión preliminar pública)
Microsoft enriquece los indicadores de IP y de dominio con datos adicionales de GeoLocation y WhoIs para proporcionar más contexto para las investigaciones en las que se encuentra el IOC seleccionado.
Vea los datos de GeoLocation y WhoIs en el panel Inteligencia sobre amenazas para esos tipos de indicadores de amenazas importados a Microsoft Sentinel.
Por ejemplo, use datos de GeoLocation para buscar información como la organización o el país o región de un indicador de IP. Use datos de WhoIs para buscar datos como registradores y datos de creación de registros a partir de un indicador de dominio.
Detección de amenazas con análisis en indicadores de amenazas
El caso de uso más importante de la inteligencia sobre amenazas en soluciones SIEM como Microsoft Sentinel es la activación de reglas de análisis de detección de amenazas. Estas reglas basadas en indicadores comparan eventos sin formato de los orígenes de datos con sus indicadores de amenazas para detectar amenazas de seguridad en la organización. En Análisis de Microsoft Sentinel, puede crear reglas de análisis que se ejecuten de forma programada y generar alertas de seguridad. Junto con las configuraciones, determinan con qué frecuencia se debe ejecutar la regla, qué tipo de resultados de consulta deben generar alertas de seguridad e incidentes y, opcionalmente, cuándo desencadenar una respuesta automatizada.
Aunque siempre puede crear nuevas reglas de análisis desde cero, Microsoft Sentinel proporciona un conjunto de plantillas de reglas integradas, creadas por ingenieros de seguridad de Microsoft, para aprovechar los indicadores de amenazas. Estas plantillas se basan en el tipo de indicadores de amenazas (dominio, correo electrónico, hash de archivo, dirección IP o dirección URL) y eventos de origen de datos que desea que coincidan. Cada plantilla enumera los orígenes que son necesarios para que funcione la regla. Esta información facilita determinar si los eventos necesarios ya están importados en Microsoft Sentinel.
De forma predeterminada, cuando se desencadenan estas reglas integradas, se crea una alerta. En Microsoft Sentinel, las alertas generadas a partir de reglas de análisis también generan incidentes de seguridad. En el menú de navegación de Microsoft Sentinel, en Administración de amenazas, seleccione Incidentes. Los incidentes son lo que los equipos de operaciones de seguridad priorizan e investigan para determinar las acciones de respuesta adecuadas. Para más información, consulte el documento Tutorial: Investigación de incidentes con Microsoft Sentinel.
Para obtener más información sobre el uso de indicadores de amenazas en las reglas de análisis, consulte Uso de la inteligencia sobre amenazas para detectar amenazas.
Microsoft proporciona acceso a su inteligencia sobre amenazas a través de la regla de análisis de Inteligencia sobre amenazas de Defender. Para más información sobre cómo aprovechar esta regla, que genera alertas e incidentes de alta fidelidad, consulte Uso del análisis de coincidencias para detectar amenazas.
Cuadernos de trabajo proporcionan información sobre la inteligencia de amenazas
Libros de trabajo proporcionan potentes paneles de control interactivos que te ofrecen perspectivas sobre todos los aspectos de Microsoft Sentinel, y la inteligencia sobre amenazas no es una excepción. Use el libro integrado de Inteligencia sobre amenazas para visualizar información clave sobre la inteligencia sobre amenazas. Personalice el libro según sus necesidades empresariales. Cree nuevos paneles mediante la combinación de muchos orígenes de datos para ayudarle a visualizar los datos de maneras únicas.
Dado que los libros de trabajo de Microsoft Sentinel se basan en libros de trabajo de Azure Monitor, ya están disponibles extensa documentación y muchas más plantillas. Para más información, consulte Creación de informes interactivos con libros de Azure Monitor.
También hay un recurso enriquecido para libros de Azure Monitor en GitHub, donde puede descargar más plantillas y contribuir con las suyas propias.
Para más información sobre el uso y la personalización del cuaderno de Inteligencia sobre Amenazas, consulte Visualizar la inteligencia sobre amenazas con cuadernos.
Contenido relacionado
En este artículo, ha obtenido información sobre las funcionalidades de inteligencia sobre amenazas con tecnología de Microsoft Sentinel. Vea los siguientes artículos para más información: