Personalización de actividades en las escalas de tiempo de las páginas de entidad

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Importante

• La personalización de las actividades está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
• Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Introducción

Microsoft Sentinel viene preconfigurado para hacer un seguimiento de determinadas actividades que además presenta en la escala de tiempo. Pues además de estas actividades, puede agregar otras para que también se les haga un seguimiento y se presenten en la escala de tiempo. Puede crear actividades personalizadas basadas en consultas de datos de entidades de cualquier origen de datos conectado. En los ejemplos siguientes se muestra cómo podría usar esta funcionalidad:

• Agregar nuevas actividades a la escala de tiempo de la entidad mediante la modificación de las plantillas de actividad estándar existentes.

• Agregar nuevas actividades a partir de registros personalizados: por ejemplo, desde un registro de control de acceso físico, puede agregar actividades de entrada y salida de un usuario para un área restringida determinada (por ejemplo, una sala de servidores) a la escala de tiempo del usuario.

Introducción

• Los usuarios de Microsoft Sentinel en Azure Portal deben seleccionar la pestaña Azure Portal a continuación.
• Los usuarios del portal de Microsoft Defender deben seleccionar la pestaña Portal de Defender.

Azure Portal

1. En el menú de navegación de Microsoft Sentinel, seleccione Comportamiento de la entidad.

2. En la página Comportamiento de la entidad, seleccione Personalizar página de entidad (versión preliminar) en la parte superior de la pantalla.

   

Portal de Defender

1. En el portal de Microsoft Defender, busque cualquier página de la entidad.

   1. Seleccione Recursos > Dispositivos o identidades.
   2. Seleccione un dispositivo o un usuario de la lista. Si ha seleccionado un usuario, seleccione Ver página de usuario en el menú emergente siguiente.

2. En la página de la entidad, seleccione la pestaña Eventos de Sentinel.

3. En la pestaña Eventos de Sentinel, seleccione Personalizar actividades de Sentinel.

En la página Personalizar actividades de Sentinel aparece una lista de todas las actividades que ha creado en la pestaña Mis actividades. En la pestaña Plantillas de actividad, verá la colección de actividades existentes que ofrecen los investigadores de seguridad de Microsoft. Estas son las actividades de las que ya se realiza un seguimiento y que se muestran en las escalas de tiempo de las páginas de entidad.

• Siempre que no haya creado ninguna actividad definida por el usuario, las páginas de entidad mostrarán todas las actividades enumeradas en la pestaña Plantillas de actividad.

• Una vez que cree o personalice una actividad, las páginas de entidad solo mostrarán esas actividades, que aparecen en la pestaña Mis actividades.

• Si desea seguir viendo las actividades listas para usar en las páginas de entidad, debe crear una actividad para cada plantilla que quiere que se muestre y de la que quiere llevar un seguimiento. Siga las instrucciones que se indican en la sección "Creación de una actividad a partir de una plantilla" a continuación.

Creación de una actividad a partir de una plantilla

1. Seleccione la pestaña Plantillas de actividad para ver las distintas actividades disponibles de forma predeterminada. Puede filtrar la lista por tipo de entidad, así como por origen de datos. Al seleccionar una actividad de la lista, se mostrará la información siguiente en el panel de detalles:

   • Una descripción de la actividad.

   • El origen de datos que proporciona los eventos que componen la entidad.

   • Los identificadores usados para identificar la entidad en los datos sin procesar.

   • La consulta que da como resultado la detección de esta actividad.

2. Seleccione Crear actividad en la parte inferior del panel de detalles a fin de iniciar el asistente para la creación de actividades.

   Azure Portal

   

   Portal de Defender

   

   Al seleccionar Crear actividad en el portal de Defender, se le redirigirá al asistente para actividad de Microsoft Sentinel en Azure Portal en una nueva pestaña.

3. Se abrirá el Asistente para actividades: Creación de una actividad a partir de una plantilla, con sus campos ya rellenados a partir de la plantilla. Puede hacer los cambios que desee en las pestañas General y Configuración de actividad, o bien no modifique nada si quiere seguir viendo la actividad lista para usar.

4. Cuando esté satisfecho, seleccione la pestaña Revisar y crear. Cuando vea el mensaje Validación completada, haga clic en el botón Crear en la parte inferior.

Creación de una actividad de cero

En la parte superior de la página de actividades, haga clic en Agregar actividad para iniciar el Asistente para la creación de actividades.

Se abrirá el Asistente para actividades: Creación de una actividad, con sus campos en blanco.

Pestaña General

1. Escriba un nombre para la actividad (por ejemplo: "usuario agregado al grupo").

2. Escriba una descripción de la actividad (ejemplo: "cambio de pertenencia a grupos de usuarios basado en el identificador de evento de Windows 4728").

3. Seleccione el tipo de la entidad (usuario o host) de la que realizará el seguimiento esta consulta.

4. Puede filtrar por parámetros adicionales para ayudar a ajustar la consulta y optimizar su rendimiento. Por ejemplo, puede filtrar por usuarios de Active Directory seleccionando el parámetro IsDomainJoined y estableciendo el valor en True.

5. Puede seleccionar el estado inicial de la actividad en Habilitado o Deshabilitado.

6. Seleccione Siguiente : Configuración de actividad para ir a la pestaña siguiente.

   

Pestaña Configuración de actividad

Escritura de la consulta de actividad

Aquí escribirá o pegará la consulta KQL que se usará para detectar la actividad de la entidad elegida y determinar cómo se representará en la escala de tiempo.

Importante

Le recomendamos que en la consulta use un analizador del Modelo avanzado de información de seguridad (ASIM) y no una tabla integrada. Esto garantiza que la consulta admitirá cualquier origen de datos relevante, actual o futuro, en lugar de un único origen de datos.

Para correlacionar eventos y detectar la actividad personalizada, KQL requiere una entrada de varios parámetros, dependiendo del tipo de entidad. Los parámetros son los distintos identificadores de la entidad en cuestión.

Es mejor seleccionar un identificador sólido para tener una asignación de uno a uno entre los resultados de la consulta y la entidad. La selección de un identificador débil puede producir resultados inexactos. Obtenga más información sobre las entidades y la diferencia entre identificadores sólidos y débiles.

En la tabla siguiente se proporciona información acerca de los identificadores de las entidades.

Identificadores sólidos para entidades de cuenta y host

En una consulta se requiere al menos un identificador.

Entidad	Identificador	Descripción
Cuenta	Account_Sid	SID local de la cuenta en Active Directory
	Account_AadUserId	Identificador de objeto de Microsoft Entra del usuario en Microsoft Entra ID
	Account_Name + Account_NTDomain	Similar a SamAccountName (ejemplo: Contoso\Joe)
	Account_Name + Account_UPNSuffix	Similar a UserPrincipalName (ejemplo: Joe@Contoso.com)
Host	Host_HostName + Host_NTDomain	Similar al nombre de dominio completo (FQDN)
	Host_HostName + Host_DnsDomain	Similar al nombre de dominio completo (FQDN)
	Host_NetBiosName + Host_NTDomain	Similar al nombre de dominio completo (FQDN)
	Host_NetBiosName + Host_DnsDomain	Similar al nombre de dominio completo (FQDN)
	Host_AzureID	el identificador de objeto de Microsoft Entra del host en Microsoft Entra ID (si está unido a un dominio de Microsoft Entra)
	Host_OMSAgentID	Identificador de agente de OMS del agente instalado en un host específico (único por host)

En función de la entidad seleccionada, verá los identificadores disponibles. Al hacer clic en los identificadores pertinentes, se pegará el identificador en la consulta, en la ubicación del cursor.

Nota:

• La consulta puede contener hasta 10 campos, por lo que debe proyectar los campos que desea.

• Los campos proyectados deben incluir el campo TimeGenerated, a fin de colocar la actividad detectada en la escala de tiempo de la entidad.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Presentación de la actividad en la escala de tiempo

Para mayor comodidad, puede que desee determinar cómo se presenta la actividad en la escala de tiempo al agregar parámetros dinámicos a la salida de la actividad.

Microsoft Sentinel proporciona parámetros integrados que puede usar y también puede usar otros en función de los campos proyectados en la consulta.

Use el formato siguiente para los parámetros: {{ParameterName}}

Una vez que la consulta de actividad supera la validación y muestra el vínculo Ver resultados de la consulta debajo de la ventana de consulta, podrá expandir la sección Valores disponibles para ver los parámetros disponibles para usar al crear un título de actividad dinámica.

Seleccione el icono Copiar que se encuentra junto a un parámetro específico a fin de copiar ese parámetro en el Portapapeles para que pueda pegarlo en el campo Título de actividad anterior.

Agregue cualquiera de estos parámetros a la consulta:

• Cualquier campo proyectado en la consulta.

• Identificadores de entidad de cualquiera de las entidades mencionadas en la consulta.

• StartTimeUTC, para agregar la hora de inicio de la actividad en hora UTC.

• EndTimeUTC, para agregar la hora de finalización de la actividad en hora UTC.

• Count, para resumir varias salidas de consultas de KQL en una salida única.

  El parámetro count agrega los comandos siguientes a la consulta en segundo plano, aunque no se muestre completamente en el editor:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  A continuación, cuando se usa el filtro Tamaño de cubo en las páginas de entidad, también se agrega el comando siguiente a la consulta que se ejecuta en segundo plano:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Por ejemplo:

Cuando esté satisfecho con la consulta y el título de la actividad, seleccione Siguiente: Revisar.

Pestaña Revisar y crear

1. Compruebe toda la información de configuración de la actividad personalizada.

2. Cuando aparezca el mensaje Validación completada, haga clic en Crear para crear la actividad. Puede editarlo o cambiarlo más adelante en la pestaña Mis actividades.

Administración de las actividades

Administre las actividades personalizadas desde la pestaña Mis actividades. Haga clic en los puntos suspensivos (...) al final de la fila de una actividad para:

• Editar la actividad.
• Duplicar la actividad para crear una nueva, ligeramente diferente.
• Eliminar la actividad.
• Deshabilitar la actividad (sin eliminarla).

Ver las actividades en una página de entidad.

Cada vez que escriba una página de entidad, se ejecutarán todas las consultas de actividad habilitadas para esa entidad, lo que le proporciona información actualizada en la escala de tiempo de la entidad. Verá las actividades en la escala de tiempo, junto con alertas y marcadores.

Puede usar el filtro Contenido de la escala de tiempo para presentar solo actividades (o cualquier combinación de actividades, alertas y marcadores).

También puede usar el filtro Actividades para presentar u ocultar actividades específicas.

Pasos siguientes

En este documento, ha aprendido a crear actividades personalizadas para las escalas de tiempo de la página de su entidad. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Obtenga la imagen completa sobre las páginas de entidad.
• Obtenga información acerca del análisis del comportamiento de usuarios y entidades (UEBA).
• Consulte la lista completa de entidades e identificadores.