Uso de libros predeterminados de Microsoft Sentinel
Microsoft Sentinel proporciona varias plantillas que están listas para su uso. Puede utilizar estas plantillas para crear un libro propio y, después, modificarlas según sea necesario para Contoso.
Libros de Microsoft Sentinel
La mayoría de los conectores de datos que Microsoft Sentinel usa para ingerir datos incluyen sus propios libros. Puede obtener información sobre los datos que se van a ingerir mediante el uso de tablas y visualizaciones, incluidos gráficos de barras y circulares. También puede crear libros propios desde el principio en lugar de usar las plantillas predefinidas.
Página Libro
Puede acceder a la página Libros para Microsoft Sentinel desde el panel de navegación. En la página Libros, puede agregar un libro nuevo y revisar los libros y plantillas guardados que están disponibles.
Puede acceder a las plantillas de libro existentes en la pestaña Plantillas. Puede guardar algunos de los libros para obtener un acceso rápido. Aparecen en la pestaña Mis libros.
Desde la pestaña Plantillas, puede seleccionar un libro existente para mostrar un panel de detalles, que contiene información adicional para la plantilla. El panel de detalles también contiene información sobre los tipos y conectores de datos necesarios que se deben conectar a Microsoft Sentinel. También puede revisar cómo se muestra el informe.
Revisión de una plantilla de libro existente
Como se ha mencionado antes, a Contoso le preocupan las identidades en peligro. Como administrador de seguridad, puede examinar el libro Registros de inicio de sesión de Microsoft Entra; para ello, seleccione la plantilla en la sección Plantillas. A continuación, seleccione Ver plantilla en el panel de detalles.
El libro Registros de inicio de sesión de Microsoft Entra contiene gráficos predefinidos, gráficos y tablas que pueden proporcionar información importante sobre la actividad de inicio de sesión en Microsoft Entra ID. Puede encontrar información sobre los inicios de sesión, las ubicaciones, las direcciones de correo electrónico y las direcciones IP de los usuarios. También puede revisar información sobre las actividades con errores y los problemas que los desencadenaron.
En la página Registros de inicio de sesión de Microsoft Entra puede expandir el intervalo de tiempo o filtrar las aplicaciones y los usuarios que tienen privilegios de inicio de sesión en Microsoft Entra ID. Por ejemplo, Contoso quiere identificar a los usuarios que pueden iniciar sesión en Azure Portal, para que puedan filtrar los datos como se muestra a continuación.
Contoso está interesado en identificar los intentos de inicio de sesión con errores. Puede visualizar estas cuentas seleccionando los iconos de información; luego, puede seleccionar un icono o una fila para ver más información, por ejemplo:
- Inicios de sesión por ubicación. En esta sección se indica la ubicación desde la que el usuario ha iniciado sesión en Microsoft Entra ID.
- Detalles de inicio de sesión de la ubicación. En esta sección se muestran los usuarios, su estado de inicio de sesión y la hora del intento de inicio de sesión.
- Inicios de sesión por dispositivo. En esta sección se muestran los dispositivos que emplean los usuarios para iniciar sesión en Microsoft Entra ID.
- Detalles de inicio de sesión del dispositivo. En esta sección se muestran los usuarios que han iniciado sesión en un dispositivo concreto y la hora a la que han iniciado sesión.
Este icono de información en segundo plano se configura para ejecutar la consulta y filtrar los datos recopilados del conector de Microsoft Entra. Después, Microsoft Sentinel visualiza y presenta los datos recopilados con tablas, que son más significativas y proporcionan información útil sobre los intentos de inicio de sesión del usuario.
El libro contiene otros iconos que indican los usuarios que han iniciado sesión mediante el acceso condicional. Desde la tabla Estado de acceso condicional puede revisar los usuarios que necesitan autenticación multifactor para validar su identidad.
El resto de la página también contiene tablas y gráficos que son interactivos. Seleccione algunas de las filas o iconos para filtrar los datos que se presentan. Algunas tablas se crean con vínculos a los registros correspondientes, como se muestra en la captura de pantalla siguiente.
Nota:
También puede anclar el paso de consulta en el panel privado o compartido para una recuperación rápida.
Edición de la consulta desde el libro
Por ejemplo, Contoso quiere buscar en los registros para obtener más información que presente el error en el inicio de sesión del usuario. Se redirigen a Azure Data Explorer, donde Microsoft Sentinel realiza la consulta del registro para filtrar la información.
Exploración de los libros guardados
Desde la página Plantillas, puede guardar un libro a partir de plantillas existentes si selecciona una de las plantillas y después selecciona Guardar. Debe proporcionar una ubicación para indicar dónde quiere guardar el libro. Este proceso crea un recurso de Azure basado en la plantilla con el archivo JSON de la plantilla.
Los libros guardados están disponibles en la pestaña Mis libros, donde puede personalizarlos. Puede abrir los libros guardados si selecciona Ver libro guardado. Esta acción abre la misma página que la del libro de plantilla, pero puede personalizarla en función de los requisitos de Contoso.
Seleccione Editar para abrir el libro en modo de edición. Puede agregar o eliminar elementos y proporcionar más personalización. En el modo de edición se muestra todo el contenido del libro, incluidos los pasos y parámetros que se ocultarían en el modo de lectura.
La barra de encabezado del modo de edición contiene varias opciones, que se muestran en la captura de pantalla siguiente.
Al cambiar al modo de edición, observará varias opciones para Editar, que se corresponden a cada aspecto individual del libro. Si selecciona una de estas opciones de edición, puede examinar la consulta que Microsoft Sentinel usa para filtrar los datos del registro correspondiente.
Al seleccionar el icono de configuración, se abre la página Configuración, donde puede proporcionar más recursos que quiera usar en el libro. También puede cambiar el estilo del libro, proporcionar etiquetado o anclar un elemento en el libro.
Puede reorganizar la ubicación de las distintas tablas del libro si selecciona Mostrar opciones de anclaje.
Para la personalización avanzada, puede seleccionar Editor avanzado para abrir la representación JSON del libro actual y, después, personalizarlo en el editor de texto. Puede guardar los cambios en el libro existente o guardarlos como otro libro. Cuando haya terminado con toda la personalización, puede salir del modo de edición si selecciona Edición finalizada.
Exploración del repositorio de Microsoft Sentinel en GitHub
El repositorio de Microsoft Sentinel contiene detecciones, consultas de exploración, consultas de búsqueda, libros, cuadernos de estrategias y otros elementos para ayudarle a proteger el entorno y a buscar amenazas. Microsoft y la comunidad de Microsoft Sentinel colaboran en este repositorio.
El repositorio contiene carpetas con contenido aportado para diversas áreas de función de Microsoft Sentinel, incluidas las consultas de detección. Puede usar el código de estas consultas para crear consultas personalizadas en el área de trabajo de Microsoft Sentinel.