Creación de listas de control en Microsoft Sentinel
Las listas de control en Microsoft Sentinel le permiten correlacionar los datos de un origen de datos que proporcione con los eventos del entorno de Microsoft Sentinel. Por ejemplo, puede crear una lista de control con una lista de recursos de alto valor, de empleados que ya no trabajen para usted o de cuentas de servicio en su entorno.
Cargue un archivo de la lista de reproducción desde una carpeta local o desde su cuenta de Azure Storage. Para crear un archivo de la lista de reproducción tiene la opción de descargar una de las plantillas de lista de control de Microsoft Sentinel para rellenarla con los datos. A continuación, cargue ese archivo al crear la lista de control en Microsoft Sentinel.
Actualmente no se pueden cargar archivos locales con un tamaño superior a 3,8 MB. Un archivo de más de 3,8 MB de tamaño y hasta 500 MB se considera una lista de control grande. Cargue el archivo en una cuenta de Azure Storage. Antes de crear una lista de control, revise las limitaciones de las listas de control.
Importante
Las características de las plantillas de lista de reproducción y la capacidad de crear una lista de reproducción a partir de un archivo en Azure Storage se encuentran actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Carga de una lista de reproducción desde una carpeta local
Hay dos formas de cargar un archivo CSV desde una máquina local para crear una lista de reproducción.
- En el caso de un archivo de lista de reproducción que se haya creado sin una plantilla de lista de reproducción: seleccione Agregar nuevo y escriba la información necesaria.
- En el caso de un archivo de lista de reproducción creado a partir de una plantilla descargada de Microsoft Sentinel: vaya a la pestaña Plantillas (versión preliminar) de la lista de reproducción. Seleccione la opción Crear desde plantilla. Azure rellena previamente el nombre, la descripción y el alias de la lista de reproducción de forma automática.
Carga de una lista de reproducción desde un archivo que ha creado
Si no ha usado una plantilla de lista de reproducción para crear el archivo:
Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.Seleccione + Nuevo.
En la página General, proporcione el nombre, la descripción y el alias de la lista de control.
Seleccione Next: Source (Siguiente: Origen).
Use la información de la tabla siguiente para cargar los datos de la lista de control.
Campo Descripción Selección de un tipo para el conjunto de datos Archivo CSV con un encabezado (.csv) Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que está en el archivo de datos. Carga de archivo Arrastre y coloque el archivo de datos, o seleccione Examinar archivos y seleccione el archivo que desea cargar. SearchKey Escriba el nombre de una columna en la lista de control que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. Por ejemplo, si su lista de seguimiento de servidores contiene nombres de país o región y los códigos de dos letras correspondientes, y espera usar los códigos a menudo para búsquedas o combinaciones, use la columna Código como SearchKey. Nota:
Si el archivo CSV es superior a 3,8 MB, debe usar las instrucciones para Crear una lista de reproducción grande a partir del archivo en Azure Storage.
Seleccione Siguiente: Revisar y crear.
Revise la información, compruebe que es correcta, espere el mensaje Validación superada, y después seleccione Crear.
Una vez que se crea la lista de seguimiento, aparece una notificación.
Pueden transcurrir varios minutos hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.
Carga de una lista de reproducción desde una plantilla (versión preliminar)
Para crear la lista de reproducción a partir de una plantilla que ha rellenado:
Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.Seleccione la pestaña Plantillas (versión preliminar).
En la lista, seleccione la plantilla adecuada para ver los detalles de la plantilla en el panel derecho.
Seleccione Crear desde plantilla.
En la pestaña General, observe que los campos Nombre, Descripción y Alias de la lista de control son todos de solo lectura.
En la pestaña Origen, seleccione Examinar archivos y seleccione el archivo que creó a partir de la plantilla.
Seleccione Siguiente: Revisar y crear>Crear.
Fíjese si aparece alguna notificación de Azure cuando se crea la lista de reproducción.
Pueden transcurrir varios minutos hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.
Creación de una lista de reproducción de gran tamaño a partir de un archivo en Azure Storage (versión preliminar)
Si tiene una lista de reproducción grande, cuyo tamaño no supere los 500 MB, cargue el archivo de la misma en la cuenta de Azure Storage. Luego, cree una dirección URL de firma de acceso compartido para que Microsoft Sentinel recupere los datos de la lista de reproducción. Una dirección URL de firma de acceso compartido es un identificador URI que contiene tanto el identificador URI del recurso como un token de firma de acceso compartido de un recurso, como un archivo .csv en la cuenta de almacenamiento. Por último, agregue la lista de reproducción al área de trabajo en Microsoft Sentinel.
Para más información sobre las firmas de acceso compartido, consulte Token SAS de Azure Storage.
Paso 1: Carga de un archivo de lista de reproducción en Azure Storage
Para cargar un archivo de lista de reproducción en una cuenta de Azure Storage, use AzCopy o Azure Portal.
- Si aún no tiene una cuenta de Azure Storage, créela. La cuenta de almacenamiento puede estar en un grupo de recursos o región diferente al del área de trabajo de Microsoft Sentinel.
- Use AzCopy o Azure Portal para cargar el archivo csv con los datos de la lista de reproducción en la cuenta de almacenamiento.
Carga de un archivo con AzCopy
Cargue archivos y directorios en Blob Storage mediante la utilidad de línea de comandos AzCopy v10. Para más información, consulte Carga de archivos en Azure Blob Storage con AzCopy.
Si aún no tiene un contenedor de almacenamiento, créelo, para lo que debe ejecutar el siguiente comando.
azcopy make https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
Luego, ejecute el siguiente comando para cargar el archivo.
azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
Carga del archivo en Azure Portal
Si no usa AzCopy, cargue el archivo mediante Azure Portal. Vaya a su cuenta de almacenamiento en Azure Portal para cargar el archivo csv con los datos de su lista de reproducción.
- Si aún no tiene un contenedor de almacenamiento, créelo. Para el nivel de acceso público al contenedor, se recomienda el valor predeterminado, que es que el nivel esté establecido en Privado (sin acceso anónimo).
- Cargue el archivo csv en la cuenta de almacenamiento mediante la carga de un blob en bloques.
Paso 2: Creación de la dirección URL de firma de acceso compartido
Cree una dirección URL de firma de acceso compartido para que Microsoft Sentinel recupere los datos de la lista de reproducción.
- Siga los pasos de Creación de tokens de SAS para blobs en Azure Portal.
- Establezca el tiempo de expiración del token de firma de acceso compartido en un mínimo de 6 horas.
- Mantenga el valor predeterminado para Direcciones IP permitidas en blanco.
- Copie el valor de URL de SAS de Blob.
Paso 3: Agregar Azure a la pestaña CORS
Antes de utilizar un URI SAS, agregue el Azure portal al Uso compartido de recursos entre orígenes (CORS).
- Vaya a la configuración de la cuenta de almacenamiento, página de Uso compartido de recursos.
- Seleccione la pestaña Blob service.
- Agregue
https://*.portal.azure.net
a la tabla de orígenes permitidos. - Seleccione los métodos permitidos adecuados de
GET
yOPTIONS
. - Guarde la configuración.
Para más información, consulte Compatibilidad de CORS con Azure Storage.
Paso 4: Agregar la lista de reproducción a un área de trabajo
Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.Seleccione + Nuevo.
En la página General, proporcione el nombre, la descripción y el alias de la lista de control.
Seleccione Next: Source (Siguiente: Origen).
Use la información de la tabla siguiente para cargar los datos de la lista de control.
Campo Description Tipo de origen Azure Storage (versión preliminar) Selección de un tipo para el conjunto de datos Archivo CSV con un encabezado (.csv) Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que está en el archivo de datos. URL de SAS de Blob (versión preliminar) Pegue la dirección URL de acceso compartido que ha creado. SearchKey Escriba el nombre de una columna en la lista de control que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. Por ejemplo, si su lista de seguimiento de servidores contiene nombres de país o región y los códigos de dos letras correspondientes, y espera usar los códigos a menudo para búsquedas o combinaciones, use la columna Código como SearchKey. Después de escribir toda la información, la página será similar a la de la siguiente imagen.
Seleccione Siguiente: Revisar y crear.
Consulte la información, compruebe que es correcta y espere hasta que aparezca el mensaje Validación superada.
Seleccione Crear.
Pueden pasar un tiempo hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.
Visualización del estado de la lista de reproducción
Para ver el estado, seleccione la lista de reproducción en el área de trabajo.
Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.En la pestaña Mis listas de reproducción, seleccione la lista de reproducción.
En la página de detalles, vea el valor de Estado (versión preliminar).
Cuando el estado sea Correcto, seleccione Ver en Log Analytics para usar la lista de seguimiento en una consulta. La lista de reproducción puede tardar varios minutos en mostrarse en Log Analytics.
Descarga de la plantilla de lista de reproducción (versión preliminar)
Descargue una de las plantillas de lista de control de Microsoft Sentinel para rellenarla con los datos. A continuación, cargue ese archivo al crear la lista de control en Microsoft Sentinel.
Cada plantilla de lista de control integrada tiene su propio conjunto de datos enumerados en el archivo CSV asociado a la plantilla. Para más información, consulte Esquemas de listas de control integradas.
Para descargar una de las plantillas de la lista de control,
Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control.Seleccione la pestaña Plantillas (versión preliminar).
Seleccione una plantilla de la lista para ver los detalles de la plantilla en el panel derecho.
Seleccione los puntos suspensivos (…) al final de la fila.
Seleccione Descargar esquema.
Rellene la versión local del archivo y guárdelo localmente como un archivo CSV.
Siga los pasos para cargar la lista de reproducción creada desde una plantilla (versión preliminar).
Listas de control eliminadas y recreadas en la vista de Log Analytics
Si elimina y vuelve a crear una lista de control, es posible que, en los cinco minutos estipulados en el Acuerdo de Nivel de Servicio para la ingesta de datos, vea las entradas que se han eliminado y vuelto a crear en Log Analytics. Si ve estas entradas duplicadas en Log Analytics durante un periodo de tiempo más prolongado, envíe una incidencia de soporte técnico.
Contenido relacionado
Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: