Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Una vez que haya conectado sus orígenes de datos a Microsoft Sentinel, visualice y supervise los datos mediante libros de trabajo en Microsoft Sentinel. Microsoft Sentinel permite crear libros personalizados en los datos o usar plantillas de libro existentes disponibles con soluciones empaquetadas o como contenido independiente del centro de contenido. Estas plantillas le permiten obtener rápidamente conclusiones sobre los datos en cuanto se conecta un origen de datos.

En este artículo se describe cómo visualizar los datos en Microsoft Sentinel mediante libros.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

  • Debe tener al menos permisos de lector de libros o de colaborador de libros en el grupo de recursos del área de trabajo de Microsoft Sentinel.

    Los libros que ve en Microsoft Sentinel se guardan en el grupo de recursos del área de trabajo de Microsoft Sentinel y se etiquetan según el área de trabajo en el que se crearon.

  • Para usar una plantilla de libro, instale la solución que contiene el libro o instale el libro como un elemento independiente desde el Centro de contenido. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.

Creación de un libro a partir de una plantilla

Use una plantilla instalada desde el centro de contenido para crear un libro.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Libros.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Libros.

  2. Vaya a Libros y, a continuación, seleccione Plantillas para ver la lista de plantillas de libro instaladas.

    Para ver qué plantillas son pertinentes para los tipos de datos que ha conectado, revise el campo Tipos de datos obligatorios en cada libro donde esté disponible.

  3. Seleccione Guardar en el panel de detalles de la plantilla y la ubicación donde desea guardar el archivo JSON de la plantilla. Esta acción crea un recurso de Azure basado en la plantilla correspondiente y guarda el archivo JSON del libro, pero no los datos.

  4. Seleccione Ver libro guardado en el panel de detalles de la plantilla.

  5. Seleccione el botón Editar en la barra de herramientas del libro para personalizarlo según sus necesidades.

    Captura de pantalla que muestra el libro guardado.

    Para clonar el libro, seleccione Editar y, a continuación, Guardar como. Guarde el clon con otro nombre, en la misma suscripción y grupo de recursos. Los libros clonados aparecerán en la pestaña Mis libros.

  6. Cuando haya terminado, haga clic en Guardar para guardar los cambios.

Para más información, consulte cómo Crear informes interactivos con libros de Azure Monitor.

Creación de un libro

Cree un libro desde cero en Microsoft Sentinel.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Libros.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Libros.

  2. Seleccione Agregar libro.

  3. Para editar el libro, seleccione Editar y, a continuación, agregue texto, consultas y parámetros según sea necesario. Para más información sobre cómo personalizar el libro, consulte cómo Crear informes interactivos con libros de Azure Monitor.

    Captura de pantalla que muestra un nuevo libro.

  4. Al crear una consulta, establezca Origen de datos en Registros y Tipo de recurso en Análisis de registros y, a continuación, seleccione una o varias áreas de trabajo.

    Le recomendamos que en la consulta use un analizador del Modelo avanzado de información de seguridad (ASIM) y no una tabla integrada. La consulta admitirá así cualquier origen de datos relevante, actual o futuro, en lugar de un único origen de datos.

  5. Después de crear el libro, guárdelo en el grupo de recursos y la suscripción del área de trabajo de Microsoft Sentinel.

  6. Si desea permitir que otros usuarios de su organización utilicen el libro, en Guardar en seleccione Informes compartidos. Si desea que este libro esté disponible solo para usted, seleccione Mis informes.

  7. Para alternar entre los libros del área de trabajo, seleccione AbrirIcono para abrir un libro. en la barra de herramientas de cualquier libro. La pantalla cambia a una lista de otros libros a los que puede cambiar.

    Seleccione el libro que desee abrir:

    Cambiar libros.

Actualización de los datos del libro

Actualice el libro para que muestre los datos actualizados. En la barra de herramientas, seleccione una de las siguientes opciones:

  • Actualizar, para actualizar manualmente los datos del libro.

  • Actualización automática, para establecer que el libro se actualice automáticamente en un intervalo configurado.

    • Los intervalos de actualización automática admitidos oscilan entre los cinco minutos y un día.

    • La actualización automática se pausa mientras edita un libro y los intervalos se reinician cada vez que pasa al modo de vista desde el modo de edición.

    • Los intervalos de actualización automática también se reinician si actualiza manualmente los datos.

    De manera predeterminada, la actualización automática está desactivada. Para optimizar el rendimiento, la actualización automática también se desactiva cada vez que se cierra un libro. No se ejecuta en segundo plano. Vuelva a activar la actualización automática según sea necesario la próxima vez que abra el libro.

Para imprimir un libro o guardarlo como un archivo PDF, use el menú de opciones a la derecha del título del libro.

  1. Seleccione Opciones >Imprimir contenido.

  2. En la pantalla de impresión, ajuste la configuración según sea necesario o seleccione Guardar como PDF para guardarlo localmente.

    Por ejemplo: Captura de pantalla que muestra cómo imprimir el libro o guardarlo como PDF.

Eliminación de libros

Para eliminar un libro guardado (ya sea una plantilla guardada o un libro personalizado), seleccione el libro guardado que quiere eliminar y elija Eliminar. Esta acción quita el libro guardado. Esta acción elimina el recurso del libro y los cambios realizados en la plantilla. La plantilla original seguirá estando disponible.

Para obtener información sobre los libros integrados más populares, consulte Libros de Microsoft Sentinel más utilizados.