Uso de funciones de Microsoft Sentinel, consultas guardadas y reglas personalizadas
Uso de funciones
Para usar una función de Microsoft Sentinel, vaya a la pestaña Funciones y desplácese hasta que encuentre la función que desee. Haga doble clic en el nombre de la función para insertar la función en el editor de consultas.
También puede seleccionar los puntos suspensivos verticales ( ) a la derecha de la función y seleccionar Insertar para consultar para insertar la función en una consulta en el editor de consultas.
Otras opciones disponibles son:
- Ver detalles : abre el panel lateral de la función que contiene sus detalles
- Cargar código de función : abre una nueva pestaña que contiene el código de función.
Para las funciones editables, hay más opciones disponibles al seleccionar los puntos suspensivos verticales:
- Editar detalles: abre el panel lateral de la función para que pueda editar detalles sobre la función (excepto los nombres de carpeta de Sentinel funciones)
- Eliminar : elimina la función
Uso del operador adx() para consultas de Azure Data Explorer (versión preliminar)
Use el adx()
operador para consultar tablas almacenadas en Azure Data Explorer. Lea ¿Qué es Azure Data Explorer? para obtener más información.
Esta característica solo estaba disponible anteriormente en log analytics en Microsoft Sentinel. Los usuarios ahora pueden usar el operador en la búsqueda avanzada en el portal de Microsoft Defender unificado sin necesidad de abrir manualmente una ventana de Microsoft Sentinel.
En el editor de consultas, escriba la consulta con el formato siguiente:
adx('<Cluster URI>/<Database Name>').<Table Name>
Por ejemplo, para obtener las primeras 10 filas de datos de la StormEvents
tabla almacenadas en un uri determinado:
Uso del operador arg() para consultas de Azure Resource Graph
El arg()
operador se puede usar para consultar entre recursos de Azure implementados, como suscripciones, máquinas virtuales, CPU, almacenamiento y similares.
Esta característica solo estaba disponible anteriormente en log analytics en Microsoft Sentinel. En el portal de Microsoft Defender, el arg()
operador trabaja sobre Microsoft Sentinel datos (es decir, no se admiten Defender XDR tablas). Esto permite a los usuarios usar el operador en la búsqueda avanzada sin necesidad de abrir manualmente una ventana de Microsoft Sentinel.
Tenga en cuenta que las consultas que usan el arg()
operador devuelven solo los primeros 1000 registros. Lea Consulta de datos en Azure Resource Graph mediante arg() para obtener más información.
En el editor de consultas, escriba arg(""). seguido del nombre de tabla de Azure Resource Graph.
Por ejemplo:
También puede filtrar, por ejemplo, una consulta que busque Microsoft Sentinel datos en función de los resultados de una consulta de Azure Resource Graph:
arg("").Resources
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
Heartbeat
| where TimeGenerated > ago(1d)
| distinct Computer
)
on $left.name == $right.Computer
Uso de consultas guardadas
Para usar una consulta guardada de Microsoft Sentinel, vaya a la pestaña Consultas y desplácese hasta que encuentre la consulta que desee. Haga doble clic en el nombre de la consulta para cargar la consulta en el editor de consultas. Para obtener más opciones, seleccione los puntos suspensivos verticales ( ) a la derecha de la consulta. Desde aquí, puede realizar las siguientes acciones:
Ejecutar consulta : carga la consulta en el editor de consultas y la ejecuta automáticamente
Abrir en el editor de consultas : carga la consulta en el editor de consultas
Ver detalles : abre el panel lateral de detalles de la consulta, donde puede inspeccionar la consulta, ejecutarla o abrirla en el editor.
En el caso de las consultas editables, hay más opciones disponibles:
- Editar detalles: abre el panel lateral de detalles de la consulta con la opción de editar los detalles, como la descripción (si procede) y la propia consulta; solo los nombres de carpeta (ubicación) de las consultas de Microsoft Sentinel no se pueden editar
- Eliminar : elimina la consulta
- Cambiar nombre : permite modificar el nombre de la consulta
Creación de reglas de análisis y detección personalizadas
Para ayudar a detectar amenazas y comportamientos anómalo en el entorno, puede crear directivas de detección personalizadas.
En el caso de las reglas de análisis que se aplican a los datos ingeridos a través del área de trabajo de Microsoft Sentinel conectada, seleccione Administrar reglas > Crear regla de análisis.
Aparece el Asistente para reglas de Analytics . Rellene los detalles necesarios como se describe en el Asistente para reglas de Análisis: pestaña General.
También puede crear reglas de detección personalizadas que consulten datos de tablas Microsoft Sentinel y Defender XDR. Seleccione Administrar reglas > Crear detección personalizada. Lea Creación y administración de reglas de detección personalizadas para obtener más información.
Si los datos de Defender XDR se ingieren en Microsoft Sentinel, tiene la opción de elegir entre Crear detección personalizada y Crear regla de análisis.