Creación de reglas de análisis programadas a partir de plantillas
El tipo más común de regla de análisis, las reglas Programadas, se basan en Consultas de Kusto configuradas para ejecutarse a intervalos regulares y examinar datos sin procesar de un periodo definido. Estas consultas pueden realizar operaciones estadísticas complejas en sus datos de destino, revelando líneas base y valores atípicos en grupos de eventos. Si el número de resultados capturados por la consulta supera el umbral configurado en la regla, la regla genera una alerta.
Microsoft pone a su disposición una amplia gama de plantillas de reglas de análisis a través de las muchas soluciones de proporcionadas en el centro de contenido, y le anima encarecidamente a usarlos para crear sus reglas. Las consultas de las plantillas de reglas programadas se escriben por expertos en ciencia de datos y seguridad, ya sea de Microsoft o del proveedor de la solución que proporciona la plantilla.
En este artículo se muestra cómo crear una regla de análisis programada mediante una plantilla.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Visualización de reglas de análisis existentes
Para ver las reglas de análisis instaladas en Microsoft Sentinel, vaya a la página Análisis. La pestaña Plantillas de regla muestra todas las plantillas de regla instaladas. Para encontrar más plantillas de reglas, vaya al Centro de contenido de Microsoft Sentinel para instalar soluciones de productos relacionados o contenido independiente.
En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.
En la pantalla Análisis, seleccione la pestaña Plantillas de reglas.
Si desea filtrar la lista de plantillas Programadas:
Seleccione Agregar de filtro y elija Tipo de regla en la lista de filtros.
En la lista resultante, seleccione Programación. Luego, seleccione Aplicar.
Creación de una regla a partir de una plantilla
En este procedimiento se describe cómo crear una regla de análisis a partir de una plantilla.
En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.
En la pantalla Análisis, seleccione la pestaña Plantillas de reglas.
Seleccione un nombre de plantilla y a continuación, seleccione el botón Crear regla en el panel de detalles para crear una nueva regla activa basada en esa plantilla.
Cada plantilla tiene una lista de orígenes de datos necesarios. Al abrir la plantilla, se comprueba automáticamente la disponibilidad de los orígenes de datos. Si un origen de datos no está habilitado, es posible que el botón Crear regla esté deshabilitado o que vea un mensaje en ese efecto.
Se abre el asistente para la creación de reglas. Todos los detalles se rellenan automáticamente.
Recorra las pestañas del asistente, personalizando la lógica y otras opciones de configuración de reglas siempre que sea posible para adaptarse mejor a sus necesidades específicas.
Cuando llegue al final del asistente para la creación de reglas, Microsoft Sentinel crea la regla. La nueva regla aparece en la pestaña Reglas activas.
Repita el proceso para crear más reglas. Para obtener más información sobre cómo personalizar las reglas en el asistente para la creación de reglas, consulte Creación de una regla de análisis personalizada desde cero.
Sugerencia
Asegúrese de habilitar todas las reglas asociadas con los orígenes de datos conectados a fin de garantizar una cobertura de seguridad completa para el entorno. La manera más eficaz de habilitar las reglas de análisis es hacerlo directamente en la página del conector de datos, que enumera las reglas relacionadas. Para obtener más información, consulte Conexión con orígenes de datos.
También puede insertar reglas en Microsoft Sentinel mediante API y PowerShell , aunque para ello es necesario un trabajo adicional.
Al usar la API o PowerShell, debe exportar las reglas a JSON antes de habilitar las reglas. La API o PowerShell pueden ser útiles al habilitar reglas en varias instancias de Microsoft Sentinel con una configuración idéntica en cada instancia.
Pasos siguientes
En este documento, ha aprendido a crear reglas de análisis programadas a partir de plantillas de Microsoft Sentinel.
- Obtenga más información sobre las reglas de análisis.
- Aprenda a crear una regla de análisis desde cero.