Ejercicio: Visualización de datos mediante libros de Microsoft Sentinel

  • 8 minutos

Como ingeniero de seguridad que trabaja para Contoso, observa actividades sospechosas en la suscripción de Azure y decide analizar esta actividad mediante libros de Microsoft Sentinel.

Ejercicio: Consulta y visualización de datos con libros de Microsoft Sentinel

Quiere analizar los registros de Microsoft Sentinel desde el conector de Actividad de Azure. Quiere implementar la visualización de estos datos y guardarlos en un libro personalizado.

En este ejercicio, explorará los registros y los libros de Microsoft Sentinel. Realizaremos las tareas siguientes:

  • Interactuar con los datos de registros en la página Registros de Microsoft Sentinel.
  • Crear y editar un libro personalizado para visualizar datos importantes.

Nota:

Debe haber completado la unidad Consulta y visualización de datos con libros de Microsoft Sentinel para poder completar este ejercicio. Si no lo ha hecho, hágalo ahora y continúe con los pasos del ejercicio.

Tarea 1: Trabajo con registros en Microsoft Sentinel

  1. En Azure Portal, busque y seleccione Microsoft Sentinel, y luego seleccione el área de trabajo de Microsoft Sentinel que ha creado antes.

  2. En la página Microsoft Sentinel, en la sección General, seleccione Registros.

    Nota

    Al abrir la página Registros por primera vez, es posible que se le redirija a la ventana Consultas. Cierre la ventana Consultas y vuelva a la sección Nueva consulta 1.

  3. En la página Microsoft Sentinel | Registros, en el panel Tablas, en el menú desplegable Agrupar por: Solución, seleccione Categoría.

  4. En el panel Tablas, en la lista de tablas, expanda la categoría Recursos de Azure, mueva el cursor sobre la tabla Actividad de Azure, o bien presione la tecla Tab para navegar a la tabla y, después, seleccione Vista previa de los datos.

  5. En la ventana AzureActivity, seleccione Ver en el editor de consultas. Esta opción le permite obtener una vista previa de los datos y comprobar si los resultados serán los esperados antes de ejecutar realmente una consulta.

    Screenshot of the Tables pane.

    En la sección Consulta puede observar la estructura de la consulta. Esta consulta busca y presenta los últimos 10 eventos del registro de Actividad de Azure. En la primera fila de la consulta, AzureActivity se especifica la tabla que se usa en la consulta. La segunda línea contiene una instrucción where, que filtra los registros del último día. La tercera línea contiene otra instrucción para filtrar solo los últimos 10 eventos.

    En la sección de resultados de la consulta se presentan los resultados de la consulta. Puede expandir cualquiera de los registros para revisar los valores de la tabla. Seleccione el nombre de cualquier columna para ordenar los resultados por esa columna.

  6. Seleccione el icono de filtro situado junto a ella para proporcionar una condición de filtro. Este planteamiento es similar a agregar una condición de filtro a la propia consulta, salvo que este filtro se desactiva si se vuelve a ejecutar la consulta. Si selecciona el menú desplegable Columnas, puede filtrar las columnas de la tabla que quiere mostrar. Al seleccionar Agrupar columnas, puede agrupar los registros por una columna concreta.

    Screenshot of the Query results with the previous items called out.

  7. Seleccione la pestaña Consultas en el panel de la izquierda. Este panel incluye consultas de ejemplo que se pueden agregar a la ventana de consultas. Si usa su propia área de trabajo, debería tener distintas consultas en varias categorías. Si usa el entorno de demostración, es posible que solo vea una única categoría de Áreas de trabajo de Log Analytics.

    Nota:

    Puede intentar practicar la escritura de consultas en el siguiente entorno de demostración.

Tarea 2: Trabajo con libros en Microsoft Sentinel

  1. En la página Microsoft Sentinel, en la sección Administración de amenazas, seleccione Libros.

  2. En la página Microsoft Sentinel | Libros, seleccione la pestaña Plantillas.

  3. En el campo Buscar, escriba y seleccione Actividad de Azure.

  4. En el panel de detalles, revise la información proporcionada para la plantilla y, después, seleccione Guardar. En la ventana Guardar libro en…, seleccione la misma ubicación que en el ejercicio de preparación y, después, seleccione Aceptar.

  5. En la página Microsoft Sentinel | Libros, seleccione la pestaña Mis libros.En la lista de plantillas guardadas, seleccione Actividad de Azure. Después, en el panel de detalles, seleccione Ver libro guardado.

  6. En la página Actividad de Azure-nombre_de_sentinel, revise todos los elementos del libro. Puede interactuar con el libro si selecciona algunos de los elementos.

  7. Seleccione el campo Intervalo de tiempo para seleccionar otro intervalo de tiempo para los registros presentados en la tabla Actividad de Azure. Seleccione el menú desplegable Autor de la llamada para filtrar los registros en función del usuario o servicio que genera los eventos. Seleccione el menú desplegable Grupo de recursos: para filtrar los eventos en función de un grupo de recursos específico.

    Screenshot of the Azure Activity page, with the previous elements called out.

  8. Desplácese hacia abajo hasta la tabla Actividades del autor de la llamada, en la que se muestran las actividades ejecutadas por los usuarios o las entidades de seguridad. Para ordenar los datos de tabla de cada columna, seleccione las flechas del encabezado de columna.

  9. Desplácese hasta la barra de encabezado en la página Actividad de Azure-nombre_de_sentinel. Seleccione la opción Editar para cambiar el libro al modo de edición. Observe las diversas opciones Editar que se muestran en la página.

  10. Seleccione la primera opción Editar. Con esta acción se muestra el panel de edición para uno de los pasos del libro. Puede personalizar la presentación de los elementos si ajusta el estilo y los reordena de otra forma.

  11. Puede agregar otros parámetros con otros tipos, como texto, lista desplegable, valores múltiples o similares.

  12. Seleccione Agregar parámetros.

  13. En la página Parámetro nuevo, escriba los valores siguientes:

    Nombre Descripción
    Nombre del parámetro Nivel
    Nombre para mostrar Nivel
    Tipo de parámetro En el menú desplegable, seleccione Desplegable.
    ¿Necesario? Seleccione esta casilla de verificación.
    Permitir selecciones múltiples Seleccione esta casilla de verificación.
    Limitar varias selecciones No active esta casilla.
    Delimitador Conserve los valores predeterminados.
    Con comillas Conserve los valores predeterminados.
    Explicación Este parámetro filtrará los eventos según el nivel.
    Ocultar el parámetro en modo de lectura No active esta casilla.
    Obtener datos de Consultar

  14. En la sección Consulta de registros del área de trabajo de Log Analytics, escriba la siguiente consulta y, después, seleccione Ejecutar consulta.

    AzureActivity
|summarize by Level

  15. Confirme que el resultado de la consulta devuelve dos tipos de eventos en función del nivel: Informativo y Advertencia.

    Screenshot of the New Parameter pane, with steps for adding a new parameter. The Save, Query, Run query options and the AzureActivity section are highlighted in the screenshot.

  16. Seleccione Guardar para confirmar los cambios y observe que el paso de parámetro incluye ahora un parámetro denominado Nivel.

    Sugerencia

    En el modo de edición, puede seleccionar el icono de puntos suspensivos junto a la opción Editar para mostrar un nuevo menú desplegable. Desde ese menú puede mover este paso a otras partes del libro. También puede clonar o quitar el paso del libro.

  17. En la barra de encabezado, seleccione el icono Guardar como para guardar el libro personalizado.

  18. En el campo Título, proporcione un nombre para el nuevo libro y, después, seleccione Guardar.

  19. Cuando haya terminado de realizar los cambios, seleccione Edición finalizada.

    Sugerencia

    Se podrá acceder al nuevo libro desde el panel Microsoft Sentinel | Libros de la pestaña Mis libros. Si el libro nuevo no aparece en la lista, seleccione la opción Actualizar.

Limpiar los recursos

  1. En Azure Portal, busque los Grupos de recursos.
  2. Seleccione azure-sentinel-rg.
  3. En la barra de encabezado, seleccione Eliminar grupo de recursos.
  4. En el campo ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS:, escriba el nombre del grupo de recursos azure-sentinel-rg y seleccione Eliminar.