Asignación de campos de datos a entidades en Microsoft Sentinel
La asignación de entidades es una parte integral de la configuración de las reglas de análisis programados. Enriquece la salida de las reglas (alertas e incidentes) con datos esenciales que actúan como bloques de creación de cualquier proceso de investigación y de las acciones de corrección posteriores.
El procedimiento que se detalla a continuación forma parte del asistente para crear reglas de análisis. Aquí se trata de forma independiente para abordar el escenario de agregar o cambiar las asignaciones de entidades de una regla de análisis existente.
Importante
- Consulte "Notas sobre la nueva versión" al final de este documento para información importante sobre la compatibilidad con versiones anteriores y las diferencias entre las versiones nuevas y antiguas de la asignación de entidades.
- Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Asignación de entidades
Acceda en la página de Análisis en el portal a través del cual accede a Microsoft Sentinel:
En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.
Seleccione una regla de consulta programada y seleccione Editar en el panel de detalles. O bien, para crear una nueva regla, haga clic en Crear > Regla de consulta programada en la parte superior de la pantalla.
Seleccione la pestaña Establecer la lógica de la regla. Si es una nueva regla, escriba una consulta en la ventana Consulta de la regla.
En la sección Mejora de alertas, expanda Asignación de entidades.
En la sección Asignación de entidades ahora expandida, seleccione Agregar nueva entidad.
En la lista desplegable Entidad, seleccione un tipo de entidad.
Seleccione un identificador para la entidad. Los identificadores son atributos de una entidad que puede identificarla de manera suficiente. Elija uno en la lista desplegable Identificador y, a continuación, elija un campo de datos en la lista desplegable Valor que se corresponda con el identificador. Con algunas excepciones, la lista Valor se rellena con los campos de datos de la tabla definida como asunto de la regla de consulta.
Puede definir hasta tres identificadores para la asignación de una entidad determinada. Algunos identificadores son obligatorios y otros son opcionales. Debe elegir al menos un identificador obligatorio. Si no lo hace, un mensaje de advertencia le indicará qué identificadores son necesarios. Para obtener los mejores resultados para una identificación única máxima, debe usar identificadores seguros siempre que sea posible y el uso de varios identificadores seguros permitirá una mayor correlación entre los orígenes de datos. Consulte la lista completa de entidades e identificadores disponibles.
Seleccione Agregar nueva entidad para asignar más entidades. Puede definir hasta diez asignaciones de entidad en una sola regla de análisis. También puede asignar más de una del mismo tipo. Por ejemplo, puede asignar dos entidades de dirección IP, una a partir de un campo de dirección IP de origen y otra a partir de un campo de dirección IP de destino. De este modo, puede realizar el seguimiento de ambas.
Si cambia de opinión, o si ha cometido algún error, puede quitar una asignación de entidad; para ello, haga clic en el icono de la papelera que se encuentra junto a la lista desplegable Entidad.
Cuando termine la asignación de entidades, haga clic en la pestaña Revisar y crear. Cuando la validación de la regla sea correcta, haga clic en Guardar.
Nota
Se pueden identificar hasta 500 entidades colectivamente en una sola alerta, divididas igualmente entre todas las asignaciones de entidades definidas en la regla.
- Por ejemplo, si se definen dos asignaciones de entidades en la regla, cada asignación puede identificar hasta 250 entidades; en cambio, si se definen cinco asignaciones, cada una puede identificar hasta 100 entidades, etc.
- Cada una de las asignaciones de un solo tipo de entidad (por ejemplo, IP de origen e IP de destino) cuenta por separado.
- Si una alerta contiene elementos que superan este límite, esos elementos sobrantes no se reconocerán ni se extraerán como entidades.
El límite de tamaño para todo el área de entidades de una alerta (el campo Entidades ) es de 64 KB.
- Los campos de Entidades que crezcan más de 64 KB se truncarán. A medida que se identifican las entidades, se agregan a la alerta una por una hasta que el tamaño del campo alcanza los 64 KB y las entidades restantes sin identificar se descartan de la alerta.
Notas sobre la nueva versión
Dado que la nueva versión ya está disponible con carácter general (GA), la solución alternativa para usar la versión anterior ya no está disponible.
Si había definido previamente asignaciones de entidades para esta regla de análisis con la versión anterior, se convertirán automáticamente a la nueva versión.
Pasos siguientes
En este documento, ha aprendido cómo asignar campos de datos a entidades en las reglas de análisis de Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Explore las otras formas de enriquecer las alertas:
- Obtenga una visión completa de las reglas de análisis de consultas programadas.
- Obtenga más información sobre las entidades en Microsoft Sentinel.