Compartir a través de


Uso de funciones de Microsoft Sentinel, consultas guardadas y reglas personalizadas

Uso de funciones

Para usar una función de Microsoft Sentinel, vaya a la pestaña Funciones y desplácese hasta que encuentre la función que desee. Haga doble clic en el nombre de la función para insertar la función en el editor de consultas.

También puede seleccionar los puntos suspensivos verticales ( icono kebab ) a la derecha de la función y seleccionar Insertar para consultar para insertar la función en una consulta en el editor de consultas.

Otras opciones disponibles son:

  • Ver detalles : abre el panel lateral de la función que contiene sus detalles
  • Cargar código de función : abre una nueva pestaña que contiene el código de función.

Para las funciones editables, hay más opciones disponibles al seleccionar los puntos suspensivos verticales:

  • Editar detalles: abre el panel lateral de la función para que pueda editar detalles sobre la función (excepto los nombres de carpeta de Sentinel funciones)
  • Eliminar : elimina la función

Uso del operador adx() para consultas de Azure Data Explorer (versión preliminar)

Use el adx() operador para consultar tablas almacenadas en Azure Data Explorer. Lea ¿Qué es Azure Data Explorer? para obtener más información.

Esta característica solo estaba disponible anteriormente en log analytics en Microsoft Sentinel. Los usuarios ahora pueden usar el operador en la búsqueda avanzada en el portal de Microsoft Defender unificado sin necesidad de abrir manualmente una ventana de Microsoft Sentinel.

En el editor de consultas, escriba la consulta con el formato siguiente:

adx('<Cluster URI>/<Database Name>').<Table Name>

Por ejemplo, para obtener las primeras 10 filas de datos de la StormEvents tabla almacenadas en un uri determinado:

Captura de pantalla del operador adx en la búsqueda avanzada.

Uso del operador arg() para consultas de Azure Resource Graph

El arg() operador se puede usar para consultar entre recursos de Azure implementados, como suscripciones, máquinas virtuales, CPU, almacenamiento y similares.

Esta característica solo estaba disponible anteriormente en log analytics en Microsoft Sentinel. En el portal de Microsoft Defender, el arg() operador trabaja sobre Microsoft Sentinel datos (es decir, no se admiten Defender XDR tablas). Esto permite a los usuarios usar el operador en la búsqueda avanzada sin necesidad de abrir manualmente una ventana de Microsoft Sentinel.

Tenga en cuenta que las consultas que usan el arg() operador devuelven solo los primeros 1000 registros. Lea Consulta de datos en Azure Resource Graph mediante arg() para obtener más información.

En el editor de consultas, escriba arg(""). seguido del nombre de tabla de Azure Resource Graph.

Por ejemplo:

Captura de pantalla del operador arg en la búsqueda avanzada.

También puede filtrar, por ejemplo, una consulta que busque Microsoft Sentinel datos en función de los resultados de una consulta de Azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Uso de consultas guardadas

Para usar una consulta guardada de Microsoft Sentinel, vaya a la pestaña Consultas y desplácese hasta que encuentre la consulta que desee. Haga doble clic en el nombre de la consulta para cargar la consulta en el editor de consultas. Para obtener más opciones, seleccione los puntos suspensivos verticales ( icono de kebab ) a la derecha de la consulta. Desde aquí, puede realizar las siguientes acciones:

  • Ejecutar consulta : carga la consulta en el editor de consultas y la ejecuta automáticamente

  • Abrir en el editor de consultas : carga la consulta en el editor de consultas

  • Ver detalles : abre el panel lateral de detalles de la consulta, donde puede inspeccionar la consulta, ejecutarla o abrirla en el editor.

    Captura de pantalla de las opciones disponibles en las consultas guardadas en el portal de Microsoft Defender

En el caso de las consultas editables, hay más opciones disponibles:

  • Editar detalles: abre el panel lateral de detalles de la consulta con la opción de editar los detalles, como la descripción (si procede) y la propia consulta; solo los nombres de carpeta (ubicación) de las consultas de Microsoft Sentinel no se pueden editar
  • Eliminar : elimina la consulta
  • Cambiar nombre : permite modificar el nombre de la consulta

Creación de reglas de análisis y detección personalizadas

Para ayudar a detectar amenazas y comportamientos anómalo en el entorno, puede crear directivas de detección personalizadas.

En el caso de las reglas de análisis que se aplican a los datos ingeridos a través del área de trabajo de Microsoft Sentinel conectada, seleccione Administrar reglas > Crear regla de análisis.

Captura de pantalla de las opciones para crear análisis o detecciones personalizados en el portal de Microsoft Defender

Aparece el Asistente para reglas de Analytics . Rellene los detalles necesarios como se describe en el Asistente para reglas de Análisis: pestaña General.

También puede crear reglas de detección personalizadas que consulten datos de tablas Microsoft Sentinel y Defender XDR. Seleccione Administrar reglas > Crear detección personalizada. Lea Creación y administración de reglas de detección personalizadas para obtener más información.

Si los datos de Defender XDR se ingieren en Microsoft Sentinel, tiene la opción de elegir entre Crear detección personalizada y Crear regla de análisis.