Creación de un libro de Microsoft Sentinel
Además de usar plantillas integradas para crear un libro personalizado, puede crear libros personalizados desde el principio para generar informes muy interactivos que contengan textos, consultas analíticas, métricas y parámetros.
Creación de un libro personalizado
Puede crear un libro personalizado en la página Libros de Microsoft Sentinel. Seleccione +Agregar libro en la barra del encabezado. Se abre la página Nuevo libro, que contiene una consulta de análisis básica para comenzar.
Sugerencia
Azure Portal guarda cada libro que se cree como un recurso de libro en el grupo de recursos de Microsoft Sentinel.
Para empezar a compilar el libro en la página Nuevo libro, seleccione Editar. A continuación, seleccione la opción Editar para cambiar el texto que aparece en la nueva plantilla del libro.
Cada libro proporciona un amplio conjunto de funciones para visualizar los datos de seguridad recopilados de los conectores. Puede diseñar el libro con los siguientes tipos y elementos de visualización:
- Texto
- Consultar
- Parámetros
- Vínculos/Pestañas
- Métrica
Puede agregar un elemento nuevo al libro si selecciona +Agregar como se muestra en la captura de pantalla siguiente.
Visualizaciones de texto
Puede usar bloques de texto para interpretar los datos de seguridad, los títulos de sección, los datos de telemetría y otra información. Puede editar el texto mediante el lenguaje de marcado Markdown, que proporciona distintas opciones de formato para títulos, estilos de fuente, hipervínculos y tablas.
Nota:
Markdown es un lenguaje de marcado que puede usar para dar formato al texto en documentos de texto sin formato. Para obtener más información sobre cómo dar formato al texto mediante controles de Markdown, vea las guías de Markdown disponibles en línea.
Después de agregar el texto, seleccione la pestaña Vista previa para obtener una vista previa de cómo aparecerá el contenido. Cuando termine de editar el texto, seleccione la opción Edición finalizada.
Elemento de consulta
Puede crear otra consulta a partir de los registros y visualizar los datos como texto, gráficos o cuadrículas. Puede escribir la consulta mediante KQL. A continuación, aplique formato a los datos mediante varias visualizaciones, entre las que se incluyen:
- Cuadrículas (o tablas)
- Gráficos de áreas
- Gráficos de barras
- Gráficos de líneas
- Gráficos circulares
- Gráficos de dispersión
- Gráficos de tiempo
- Iconos
Al crear una consulta, Microsoft Sentinel agrega un nuevo paso Ejecutar consulta al libro, tal como se muestra en la captura de pantalla siguiente:
En la barra del encabezado, hay varios campos que proporcionan opciones para optimizar el resultado de la consulta.
| Nombre | Descripción |
|---|---|
| Ejecución de la consulta | Use esta opción para probar el resultado de la consulta. |
| Ejemplos | Microsoft proporciona código de ejemplo que contiene consultas de ejemplo que se pueden agregar al libro. |
| Origen de datos | Use esta opción para especificar el origen de datos de la consulta. |
| Tipo de recurso | Use esta opción para seleccionar el tipo de recurso. |
| Área de trabajo de Log Analytics | Use esta opción si quiere consultar datos de más de un recurso. |
| Intervalo de tiempo | Use esta opción para especificar un parámetro de intervalo de tiempo para usarlo en la consulta. |
| Visualización | Use esta opción para elegir una visualización específica, o bien elija Establecer por consulta para presentar los datos en otro formato. |
| Size | Use esta opción para elegir el tamaño del elemento de visualización. |
En la pestaña Configuración avanzada puede proporcionar más personalización para la configuración y los estilos del paso de consulta. En la pestaña Configuración avanzada puede modificar las propiedades. Por ejemplo, puede especificar el Título del gráfico, como se muestra en la captura de pantalla siguiente.
Puede usar la pestaña Estilo para ajustar el elemento de margen y relleno en el paso. Cuando haya terminado de personalizar la configuración y los estilos, recuerde seleccionar Edición finalizada para guardar el paso.
Visualizaciones de gráficos
Al crear una consulta para presentar los datos de seguridad como gráficos, puede personalizar lo siguiente:
- Alto
- Ancho
- Paleta de colores
- Leyenda
- Títulos
- Tipos de ejes y series
En el ejemplo siguiente se cuentan todas las alertas de seguridad y se visualizan en un gráfico circular.
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
En el ejemplo anterior, la consulta indicaba el tipo de visualización de los datos. También puede usar la consulta sin incluir el parámetro render. Use el menú desplegable Visualización para seleccionar uno de los tipos de visualizaciones ofrecidos:
Visualizaciones de cuadrículas
Puede usar la opción de visualización de cuadrícula del menú desplegable Visualización para presentar datos en tablas, lo que proporciona una interfaz de usuario enriquecida para los informes. Después, puede seleccionar la opción Configuración de columnas para especificar la columna que se mostrará en la tabla y para proporcionar etiquetas de columna, si es necesario.
En la pestaña Editar la configuración de las columnas, puede seleccionar otro representador de columna como, por ejemplo, mapa térmico, barra y área de Spark. Si selecciona Formato personalizado, puede establecer las unidades, el estilo y las opciones de formato para los valores numéricos.
Parámetros
Puede usar parámetros en el libro interactivo para manipular los resultados de la consulta de maneras diferentes. Al seleccionar Agregar parámetro, se abre una página Nuevo parámetro, donde puede proporcionar el nombre y otras entradas necesarias para el parámetro.
Puede crear los siguientes tipos de parámetro:
- Texto. Puede escribir texto arbitrario.
- Desplegable. Puede modificar el aspecto de un paso de consulta para incluir un menú desplegable, en el que puede seleccionar un valor de un conjunto de valores. En este tipo de parámetro, puede especificar una consulta de KQL o una cadena JSON para proporcionar las opciones de la lista desplegable.
- Selector de intervalo de tiempo. Puede seleccionar intervalos de tiempo rellenados previamente o un intervalo personalizado.
- Selector de recursos. Puede seleccionar uno o varios recursos de Azure.
- Selector de suscripciones. Puede seleccionar recursos de una o varias suscripciones de Azure.
- Selector de tipos de recursos. Puede seleccionar uno o varios valores de tipo de recurso de Azure.
- Selector de ubicación. Puede seleccionar uno o varios valores de ubicación de Azure.
- Grupo de opciones. Puede agrupar varias propiedades en el grupo.
- Tabulaciones.
- Valores múltiples.
Puede hacer referencia a los valores de parámetro en otros elementos de los libros mediante enlaces o expansiones de valor.
En la página Parámetros nuevos, en la sección Vistas previas, puede revisar las variables que se mostrarán y se usarán en el código de la consulta.
Vínculos/Pestañas
Puede agregar un paso de vínculos o pestañas para personalizar la navegación en el libro con pestañas, listas, párrafos o listas de viñetas. Puede proporcionar las siguientes entradas al agregar un nuevo paso de vínculos o pestañas:
- Texto antes del vínculo. Use esta opción para mostrar el texto antes de que se seleccione el vínculo.
- Texto del vínculo. Use esta opción para especificar el texto real que se muestra en el vínculo.
- Texto después del vínculo. Use esta opción para indicar el texto que se muestra después de seleccionar el vínculo.
- Acción. Use esta opción para especificar la acción que se realizará al seleccionar el vínculo, como Dirección URL, Establecer un valor de parámetro y Desplazarse a un paso.
- Valor. Use esta opción para indicar un valor para el vínculo.
- Configuración. Use esta opción para configurar valores concretos en función del tipo de vínculo y admitir la sintaxis de los parámetros.
- ¿Panel de contexto? Use esta opción para abrir un nuevo panel contextual en el lateral en lugar de una vista completa.
- Estilo. Use esta opción para seleccionar entre el estilo Vínculo, Botón (principal) y Botón (secundario).
Pasos de métrica
Puede usar pasos de métrica para combinar los resultados del libro con las métricas de distintos recursos de Azure. Cuando haya terminado de realizar todas las modificaciones personalizadas en el libro, recuerde seleccionar Edición finalizada para guardar el libro.