Exposición de detalles de eventos personalizados de alertas en Microsoft Sentinel
Las reglas programadas de análisis de consultas analizan los eventos de los orígenes de datos conectados a Microsoft Sentinel y generan alertas cuando el contenido de estos eventos es significativo desde una perspectiva de seguridad. Estas alertas se analizan, agrupan y filtran a través de los distintos motores de Microsoft Sentinel y se sintetizan en incidentes que garantizan la atención del analista de SOC. Sin embargo, cuando el analista ve el incidente, solo las propiedades de las alertas de componentes son inmediatamente visibles. Para obtener el contenido real (información contenida en los eventos) es necesario investigar un poco.
Con la característica Detalles personalizados del Asistente para reglas de análisis, puede exponer los datos de eventos en las alertas que se crean a partir de esos eventos, lo que hace que los datos de evento formen parte de las propiedades de la alerta. De hecho, le ofrece visibilidad inmediata del contenido del evento en sus incidentes, lo que le permite evaluar, investigar, extraer conclusiones y responder con mucha mayor velocidad y eficacia.
El procedimiento que se detalla a continuación forma parte del Asistente para crear reglas de análisis. Aquí se trata de forma independiente para abordar el escenario de agregar o cambiar los detalles personalizados en una regla de análisis existente.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Cómo exponer detalles de eventos personalizados
Vaya a la página Análisis del portal a través de la que accederá a Microsoft Sentinel:
En la sección Configuración del menú de navegación de Microsoft Sentinel, seleccione Análisis.
Seleccione una regla de consulta programada y haga clic en Editar. O bien, para crear una nueva regla, haga clic en Crear > Regla de consulta programada en la parte superior de la pantalla.
Haga clic en la pestaña Establecer la lógica de la regla.
En la sección Enriquecimiento de alertas, expanda Detalles personalizados.
En la sección Detalles personalizados ahora expandida, agregue pares clave-valor correspondientes a los detalles que desea mostrar:
En el campo Clave, escriba un nombre de su elección, que aparecerá como el nombre del campo en las alertas.
En el campo Valor, elija el parámetro de evento que desea exponer en las alertas de la lista desplegable. Esta lista se rellenará con los valores correspondientes a los campos de las tablas que son el asunto de la consulta de regla.
Haga clic en Agregar nuevo para mostrar más detalles. Repita los últimos pasos para definir pares clave-valor.
Si cambia de opinión, o si ha cometido algún error y quiere quitar un detalle personalizado, puede hacer clic en el icono de la papelera que se encuentra junto a la lista desplegable Valor de ese detalle.
Cuando termine de definir los detalles de configuración, haga clic en la pestaña Revisar y crear. Cuando la validación de reglas sea correcta, haga clic en Guardar.
Nota
Límites de servicio
Puede definir hasta 20 detalles personalizados en una sola regla de análisis. Cada detalle personalizado puede contener hasta 50 valores.
El límite de tamaño combinado para todos los detalles personalizados y sus valores en una sola alerta es de 2 KB. Se quitan los valores que superan este límite.
Pasos siguientes
En este documento, ha aprendido a exponer detalles personalizados en alertas mediante reglas de análisis de Azure Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Explore las otras formas de enriquecer las alertas:
- Obtenga una visión completa de las reglas de análisis de consultas programadas.
- Obtenga más información sobre las entidades en Microsoft Sentinel.