Visualización de los datos recopilados

  • Artículo

En este artículo, aprenderá a ver y supervisar rápidamente lo que sucede en su entorno mediante Microsoft Sentinel. Después de conectar los orígenes de datos a Microsoft Sentinel, obtendrá una visualización y un análisis instantáneos de los datos; así sabrá lo que sucede en todos los orígenes de datos conectados. Microsoft Sentinel ofrece libros que le proporcionan toda la potencia de las herramientas que ya están disponibles en Azure, así como tablas y gráficos que están integrados para ofrecerle análisis de sus registros y consultas. Puede usar las plantillas de libros o crear un libro fácilmente desde cero o a partir de un libro existente.

Obtener visualización

Para visualizar y obtener análisis de lo que sucede en su entorno, primero eche un vistazo al panel de información general para hacerse una idea de la posición de seguridad de su organización. Para ayudar a reducir el ruido y minimizar el número de alertas que tiene que revisar e investigar, Microsoft Sentinel emplea una técnica de fusión para correlacionar alertas con incidentes. Los incidentes son grupos de alertas relacionadas que, juntas, crean un incidente accionable que se puede investigar y resolver.

En Azure Portal, seleccione Microsoft Sentinel y, luego, seleccione el área de trabajo que quiere supervisar.

Screenshot of the Microsoft Sentinel overview page.

Si desea actualizar los datos de todas las secciones del panel, seleccione Actualizar en la parte superior del panel. Para mejorar el rendimiento, los datos de cada sección del panel se calculan previamente y puede ver el tiempo de actualización en la parte superior de cada sección.

Visualización de los datos de incidentes

Verá tipos diferentes de datos de incidentes en Incidentes.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • En la parte superior izquierda, verá el número de incidentes nuevos, activos y cerrados en las últimas 24 horas.
  • En la parte superior derecha, verá los incidentes organizados por gravedad y los incidentes cerrados cerrando la clasificación.
  • En la parte inferior izquierda, un gráfico divide el estado del incidente por hora de creación, en intervalos de cuatro horas.
  • En la parte inferior derecha, puede ver el tiempo medio para confirmar un incidente y el tiempo medio para cerrarlo, con un vínculo al libro de eficiencia de SOC.

Visualización de datos de automatización

Verá diferentes tipos de datos de automatización en Automatización.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • En la parte superior, verá un resumen de la actividad de las reglas de automatización: incidentes cerrados por automatización, la hora a la que se guardó la automatización y el estado de los cuadernos de estrategias relacionados.
  • Debajo del resumen, un gráfico resume el número de acciones realizadas por la automatización, por tipo de acción.
  • En la parte inferior, puede encontrar un recuento de las reglas de automatización activas con un vínculo a la hoja de automatización.

Visualización del estado de los registros de datos, recopiladores de datos e inteligencia sobre amenazas

Verá diferentes tipos de datos en registros de datos, recopiladores de datos e inteligencia sobre amenazas en Datos.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • A la izquierda, un gráfico muestra el número de registros que Microsoft Sentinel recopiló en las últimas 24 horas, en comparación con las 24 horas anteriores, y las anomalías detectadas en ese período de tiempo.
  • En la parte superior derecha, verá un resumen del estado del conector de datos, dividido por conectores activos e incorrectos. Los conectores incorrectos indican cuántos conectores tienen errores. Los conectores activos son conectores con streaming de datos en Microsoft Sentinel, medidos por una consulta incluida en el conector.
  • En la parte inferior derecha, puede ver los registros de inteligencia sobre amenazas en Microsoft Sentinel, por indicador de riesgo.

Visualización de datos de análisis

Verá los datos de las reglas de análisis en Análisis.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Verá el número de reglas de análisis en Microsoft Sentinel, por el estado habilitada, deshabilitada o deshabilitada automáticamente.

Usar plantillas de libros

Las plantillas de libros proporcionan datos integrados procedentes de orígenes de datos conectados y permiten analizar en profundidad los eventos generados en dichos servicios. Las plantillas de libros incluyen Microsoft Entra ID, eventos de actividad de Azure y locales, que pueden ser datos de eventos de Windows de servidores, de alertas de primera entidad o de terceros, incluidos los registros de tráfico del firewall, Office 365 y protocolos poco seguros basados en eventos de Windows. Los libros se basan en Azure Monitor Workbooks para proporcionar una mayor flexibilidad y capacidad de personalización al diseñar su propio libro. Para más información, consulte Libros.

  1. En Configuración, seleccione Libros. En Mis libros se pueden ver todos los libros guardados. En Plantillas se pueden ver las plantillas de libros que están instaladas. Para encontrar más plantillas de libros, vaya al Centro de contenido de Microsoft Sentinel para instalar soluciones de productos o contenido independiente.
  2. Busque un libro específico ver la lista completa y una descripción de lo que ofrece cada uno.
  3. Suponiendo que use Microsoft Entra ID, para comenzar a trabajar con Microsoft Sentinel, se recomienda que instale la solución Microsoft Entra para Microsoft Sentinel y utilice los siguientes libros:

    • Microsoft Entra ID: use uno o ambos de los siguientes:

      • Inicios de sesión de Microsoft Entra: analiza los inicios de sesión con el tiempo para ver si hay anomalías. Este libro proporciona los errores de inicio de sesión de aplicaciones, dispositivos y ubicaciones de forma que pueda advertir de un vistazo si sucede algo inusual. Preste atención cuando se producen varios errores de inicio de sesión.
      • Registros de auditoría de Microsoft Entra: analiza las actividades de administración, como los cambios en los usuarios (agregar, quitar, etc.), la creación de grupos y las modificaciones.

    • Instale la solución adecuada para agregar un libro para el firewall. Por ejemplo, instale la solución de firewall Palo Alto para Microsoft Sentinel para agregar los libros de Palo Alto. Los libros analizan el tráfico del firewall, lo que proporciona correlaciones entre los datos del firewall y los eventos de amenazas, y resalta los eventos sospechosos de las distintas entidades. Los libros proporcionan información sobre las tendencias en el tráfico y permite explorar en profundidad los resultados y filtrarlos.

      Palo Alto dashboard

Para personalizar los libros, edite la consulta principal query edit button. Puede hacer clic en el Log Analytics button para ir a Log Analytics y editar ahí la consulta, y puede seleccionar el botón de puntos suspensivos (...) y, después, Personalizar los datos del icono, lo que le permite editar el filtro de tiempo principal o quitar iconos específicos del libro.

Para más información sobre cómo trabajar con consultas, consulte Tutorial: Visualización de datos en Log Analytics

Agregar un nuevo icono

Si desea agregar un icono, puede agregarlo a un libro existente (uno que cree o uno integrado en Microsoft Sentinel).

  1. En Log Analytics, cree un icono mediante las instrucciones que encontrará en Visualización de datos en Log Analytics.
  2. Después de crear el icono, en Anclar, seleccione el libro en el que desee que aparezca.

Creación de libros

Puede crear un libro desde cero o usar una plantilla de libro como base para un nuevo libro.

  1. Para crear un libro desde cero, seleccione Libros y, después, +Nuevo libro.
  2. Seleccione la suscripción en la que se crea el libro y asígnele un nombre descriptivo. Cada libro es un recurso de Azure como cualquier otro y puede asignarle roles (Azure RBAC), con el fin de definir y limitar quién puede acceder.
  3. Para habilitarlo y mostrarlo en los libros a los que se anclan las visualizaciones, tiene que compartirlo. Haga clic en Share (Compartir) y, luego, en Manage users (Administrar usuarios).
  4. Use Check access (Comprobar acceso) y Role assignments (Asignaciones de roles) como haría con cualquier otro recurso de Azure. Para más información, consulte Uso compartido de paneles de Azure mediante el control de acceso basado en rol de Azure.

Ejemplos de libros nuevos

La siguiente consulta de ejemplo le permite comparar las tendencias del tráfico entre semanas. Puede cambiar fácilmente en el proveedor de dispositivos y el origen de datos en que se ejecutará la consulta. En este ejemplo se usa SecurityEvent de Windows, pero puede cambiarlo por AzureActivity, CommonSecurityLog o cualquier otro firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Puede que quiera crear una consulta que incorpore datos de varios orígenes. Puede crear una consulta que examine los registros de auditoría de Microsoft Entra de los nuevos usuarios que acaba de crear y que luego compruebe los registros de Azure para ver si el usuario comenzó a realizar cambios en la asignación de roles al cabo de 24 horas de la creación. En este panel aparecería esa actividad sospechosa:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Puede crear distintos libros en función del rol de la persona que examina los datos y lo que busca. Por ejemplo, puede crear un libro para el administrador de red que incluya los datos del firewall. También puede crear libros en función de la frecuencia con la que quiera verlos, si hay cosas que quiera revisar a diario y otros elementos que quiera comprobar cada hora; por ejemplo, podría querer examinar sus inicios de sesión de Microsoft Entra cada hora para detectar anomalías.

Creación de nuevas detecciones

Genere detecciones en los orígenes de datos que ha conectado a Microsoft Sentinel para investigar las amenazas de su organización.

Cuando cree una nueva detección, aproveche las detecciones diseñadas por los investigadores de seguridad de Microsoft que se adapten a los orígenes de datos que ha conectado.

Para ver las detecciones integradas instaladas, vaya a Análisis y, después, a Plantillas de reglas. Esta pestaña contiene todas las plantillas de regla de Microsoft Sentinel instaladas. Para encontrar más plantillas de reglas, vaya al Centro de contenido de Microsoft Sentinel para instalar soluciones de productos o contenido independiente.

Use built-in detections to find threats with Microsoft Sentinel

Para más información sobre cómo obtener detecciones listas para su uso, consulte Obtención de análisis integrados.

Pasos siguientes

Detecte amenazas integradas y cree reglas de detección de amenazas personalizadas para automatizar las respuestas a las amenazas.