Supervisión y visualización de datos
Los registros de Microsoft Sentinel proporcionan acceso a los distintos registros recopilados de los conectores de seguridad. Microsoft Sentinel recopila estos registros de sus conectores integrados y los almacena en el área de trabajo de Azure Log Analytics.
Área de trabajo de Log Analytics
El área de trabajo de Log Analytics es un repositorio que almacena datos e información de configuración. Puede crear consultas para filtrar información importante, que después puede usar para crear reglas de análisis y detectar amenazas. Por ejemplo, puede usar los registros de Microsoft Sentinel para buscar datos de varios orígenes, agregar grandes conjuntos de datos y realizar operaciones complejas para localizar posibles vulnerabilidades y amenazas de seguridad.
Exploración de la página Registros de Microsoft Sentinel
Puede buscar registros específicos en la página Registros de Microsoft Sentinel. Para ver la página, seleccione Registros en el panel de navegación de Microsoft Sentinel.
La página Registros tiene estos elementos principales:
- El encabezado de página contiene vínculos a la sección Consultas, la configuración y la ayuda.
- En el panel Tablas se muestran los datos recopilados de los registros de las tablas, cada una formada por varias columnas.
- En el panel Consulta puede escribir expresiones de consulta propias.
- En el panel Resultado de la consulta se muestran los resultados de las consultas.
Consultas
Al seleccionar el vínculo Consultas en el encabezado de página, se abre una ventana nueva, donde puede seleccionar entre algunas de las consultas de ejemplo predefinidas. Desde el menú desplegable Consultas puede filtrar estas consultas en función de lo siguiente:
- Category
- Tipo de consulta
- Tipo de recurso
- Solución
- Tema
Seleccione Ejecutar para iniciar una consulta predefinida. Esta acción le redirige al panel de consulta. Puede observar la estructura de consulta y los resultados. Para solucionar el problema de Contoso sobre los usuarios no autorizados, ejecute la consulta predefinida Usuarios no autorizados.
Explorador de consultas
Use el Explorador de consultas para acceder a las consultas guardadas anteriormente. También puede acceder a algunas Consultas de solución que básicamente filtran las consultas más comunes que puede usar para filtrar los datos. Desde la lista Consultas de solución, puede ejecutar u organizar la consulta en la sección Favoritos si selecciona el símbolo de estrella.
Panel Tablas
En el panel Tablas se agrupan registros de diferentes soluciones en tablas. Puede expandir el grupo de soluciones y observar todos los registros recopilados. También puede seleccionar uno de los registros en el panel de tablas. Puede previsualizar los datos o agregar ese registro a la sección Favoritos.
En la captura de pantalla siguiente se muestran los registros recopilados en la solución Microsoft Sentinel.
Panel Consultas
Use el panel Consultas para crear consultas que recuperan datos en función de la expresión que proporcione. El panel Consultas le ayuda a escribir una consulta precisa, para lo que proporciona sugerencias y rellena automáticamente los elementos esperados de la consulta.
Aproveche las funciones del lenguaje de consulta Kusto (KQL) para escribir una consulta que recupere datos de los registros. En el ejemplo siguiente se muestra cómo usar código de KQL en las consultas para identificar las máquinas virtuales eliminadas.
AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Barra de herramientas del encabezado
En la barra de herramientas del encabezado se proporciona más interacción con la consulta, como se muestra en la captura de pantalla siguiente.
Para guardar la consulta en el panel Consulta seleccione Guardar. Esta acción abre una ventana nueva, en la que se le pedirá que escriba el nombre de la consulta guardada y la categoría. Las consultas guardadas aparecen en el Explorador de consultas.
En el campo Intervalo de tiempo, puede proporcionar una hora diferente para cambiar el intervalo para el que quiera mostrar los resultados de la consulta.
Para crear un vínculo para la consulta y compartirlo con otros miembros del equipo, seleccione Copiar el vínculo a la consulta. También puede copiar el texto de la consulta.
En la barra de herramientas del encabezado, en el panel Consulta, puede crear una Alerta de Azure Monitor o una Alerta de Microsoft Sentinel. Si opta por crear una alerta de Microsoft Sentinel, se le dirigirá a los pasos siguientes para crear una regla de análisis.
Exporte la consulta a uno de los formatos siguientes:
- Exportar a CSV. Exporte todas las columnas, tanto las visibles como las ocultas, a un archivo CSV que se puede abrir con Microsoft Excel.
- Exportar a CSV: columnas mostradas. Exporte solo las columnas que se muestran en las ventanas de resultados de la consulta.
- Exportar a Power BI (consulta M). Cree y descargue un archivo PowerBIQuery.txt que se puede abrir con la aplicación Microsoft Power BI.
Puede anclar los resultados de la consulta en un panel privado o compartido para examinarlos rápidamente.
Puede usar Dar formato a consulta en la barra de herramientas del encabezado para que la consulta sea más legible.
Nota:
Puede exportar o anclar la consulta solo si la expresión de consulta genera datos en la sección Resultado de la consulta.
Resultados de la consulta
En Resultados, puede observar los resultados de la consulta. También puede presentar los resultados mediante un gráfico, o bien ocultar y mostrar otras columnas para filtrarlos.