Administración de versiones de plantilla para las reglas de análisis programados en Microsoft Sentinel
Importante
Esta característica se encuentra en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Introducción
Microsoft Sentinel contiene plantillas de reglas de análisis que se convierten en reglas activas mediante la creación real de una copia de ellas, que es lo que sucede cuando se crea una regla a partir de una plantilla. En ese momento, sin embargo, la regla activa ya no está conectada a la plantilla. Si los ingenieros de Microsoft o cualquier otra persona realizan cambios en una plantilla de regla, las reglas creadas a partir de esa plantilla de antemano no se actualizan dinámicamente para que coincidan con la nueva plantilla.
Sin embargo, las reglas creadas a partir de plantillas recuerdan las plantillas de las que proceden, lo que le ofrece dos ventajas:
Si ha realizado cambios en una regla al crearla a partir de una plantilla, o en cualquier momento posterior, siempre puede revertir la regla a su versión original.
Recibirá una notificación cuando se actualice una plantilla. Puede actualizar las reglas a la nueva versión de sus plantillas o dejarlas tal como están.
En este artículo se muestra cómo administrar estas tareas y qué se debe tener en cuenta. Los procedimientos que se describen en este artículo se aplican a las reglas de análisis programadas creadas a partir de plantillas.
Conocer el número de versión de la plantilla de la regla
Con la implementación del control de versiones de plantilla, puede ver y realizar un seguimiento de las versiones de las plantillas de regla y las reglas creadas a partir de ellas. Las reglas con plantillas actualizadas muestran un distintivo "Actualizar" junto al nombre de la regla.
En la hoja Análisis, seleccione la pestaña Reglas activas.
Seleccione cualquier regla de tipo Programada.
Si la regla muestra el distintivo Actualizar, su panel de detalles tendrá un botón Revisar y actualizar junto al botón Editar (vea la imagen 1 en el paso siguiente).
Si la regla se creó a partir de una plantilla, pero no muestra el distintivo Actualizar, su panel de detalles tendrá un botón Comparar con la plantilla junto al botón Editar (vea las imágenes 2 y 3 en el paso siguiente).
Si solo hay un botón Editar, significa que la regla se creó desde cero, no desde una plantilla.
Desplácese hacia abajo hasta la parte inferior del panel de detalles, donde verá dos números de versión: la versión de la plantilla a partir de la que se creó la regla y la versión más reciente disponible de la plantilla.
El número está en formato "1.0.0": versión principal, versión secundaria y compilación.
Una diferencia en el número de versión principal indica que se ha cambiado algo esencial en la plantilla, lo que podría afectar a la forma en que la regla detecta amenazas o incluso a su capacidad de funcionar por completo. Quiere incluir este cambio en las reglas.
Una diferencia en el número de versión secundaria indica una pequeña mejora en la plantilla ( un cambio de color o algo similar) que sería recomendable, pero que no es fundamental para mantener la funcionalidad, la eficacia o el rendimiento de la regla. Podría aceptar o rechazar este cambio con facilidad.
Nota:
Las imágenes 2 y 3 muestran dos ejemplos de reglas creadas a partir de plantillas, donde la plantilla no se ha actualizado.
- La imagen 2 muestra una regla que tiene un número de versión para su plantilla actual. Esto indica que la regla se ha creado después de la implementación inicial del control de versiones de plantilla por parte de Microsoft Sentinel en octubre de 2021.
- En la imagen 3 se muestra una regla que no tiene una versión de plantilla actual. Esto indica que la regla se había creado antes de octubre de 2021. Si hay una versión de plantilla más reciente disponible, es probable que sea una versión más reciente de la plantilla que la que se usó para crear la regla.
Comparación de la regla activa con su plantilla
Elija una de las pestañas siguientes según la acción que desee realizar para ver las instrucciones de esa acción:
Después de seleccionar una regla y determinar que quiere plantearse actualizarla, seleccione Revisar y actualizar en el panel de detalles (véase más arriba). Verá que el Asistente para reglas de análisis ahora tiene una pestaña Comparar con la versión más reciente.
En esta pestaña verá una comparación en paralelo entre las representaciones de YAML de la regla existente y la versión más reciente de la plantilla.
Nota
La actualización de esta regla sobrescribirá la regla existente con la versión más reciente de la plantilla.
Se debe comprobar cualquier paso de automatización o lógica que haga referencia a la regla existente, en caso de que se cambien los nombres a los que se hacen referencia. Además, las personalizaciones realizadas al crear la regla original (cambios en la consulta, la programación, la agrupación u otra configuración) se pueden sobrescribir.
Actualización de la regla con la nueva versión de plantilla
Si los cambios realizados en la nueva versión de la plantilla son aceptables y nada más en la regla original se ve afectado, seleccione Revisar y actualizar para validar y aplicar los cambios.
Si desea personalizar aún más la regla o volver a aplicar los cambios que podrían sobrescribirse, seleccione Siguiente: Cambios personalizados. Recorra las pestañas restantes del Asistente para reglas de análisis para realizar esos cambios y, a continuación, valide y aplique los cambios en la pestaña Revisar y actualizar.
Si no desea realizar ningún cambio en la regla existente, sino mantener la versión de plantilla, simplemente salga del asistente seleccionando la X en la esquina superior derecha.
Pasos siguientes
En este documento ha aprendido a realizar un seguimiento de las plantillas de reglas de análisis de Microsoft Sentinel y a revertir las reglas activas a las versiones de plantilla existentes, o bien a actualizarlas a otras nuevas. Para obtener más información sobre Microsoft Sentinel, vea los siguientes artículos:
- Obtenga más información sobre las reglas de análisis.
- Consulte más detalles sobre el Asistente para reglas de análisis.