Asignación de campos de datos a entidades en Microsoft Sentinel

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Importante

  • La nueva versión de la característica de asignación de entidades está en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Importante

  • Consulte Notas sobre la nueva versión al final de este documento para obtener información importante sobre la compatibilidad con versiones anteriores y las diferencias entre las versiones nuevas y antiguas de la asignación de entidades.

Introducción

La asignación de entidades es una parte integral de la configuración de las reglas de análisis de consultas programadas. Enriquece la salida de las reglas (alertas e incidentes) con datos esenciales que actúan como bloques de creación de cualquier proceso de investigación y de las acciones de corrección posteriores.

El procedimiento que se detalla a continuación forma parte del asistente para crear reglas de análisis. Aquí se trata de forma independiente para abordar el escenario de agregar o cambiar las asignaciones de entidades de una regla de análisis existente.

Asignación de entidades

  1. En el menú de navegación de Microsoft Sentinel, seleccione Análisis.

  2. Seleccione una regla de consulta programada y haga clic en Editar. O bien, para crear una nueva regla, haga clic en Crear > Regla de consulta programada en la parte superior de la pantalla.

  3. Haga clic en la pestaña Establecer la lógica de la regla.

  4. En la sección Enriquecimiento de alertas (versión preliminar) , expanda Asignación de entidades.

    Expansión de la asignación de entidades

  5. En la sección Asignación de entidades, seleccione un tipo de entidad en la lista desplegable Tipo de entidad.

    Elegir un tipo de entidad

  6. Seleccione un identificador para la entidad. Los identificadores son atributos de una entidad que puede identificarla de manera suficiente. Elija uno en la lista desplegable Identificador y, a continuación, elija un campo de datos en la lista desplegable Valor que se corresponda con el identificador. Con algunas excepciones, la lista Valor se rellena con los campos de datos de la tabla definida como asunto de la regla de consulta.

    Puede definir hasta tres identificadores para una entidad determinada. Algunos identificadores son obligatorios y otros son opcionales. Debe elegir al menos un identificador obligatorio. Si no lo hace, un mensaje de advertencia le indicará qué identificadores son necesarios. Para obtener los mejores resultados para una identificación única máxima, debe usar identificadores seguros siempre que sea posible y el uso de varios identificadores seguros permitirá una mayor correlación entre los orígenes de datos. Consulte la lista completa de entidades e identificadores disponibles.

    Asignación de campos a entidades

  7. Haga clic en Agregar nueva entidad para asignar más entidades. Puede asignar hasta cinco entidades en una sola regla de análisis. También puede asignar más de una del mismo tipo. Por ejemplo, puede asignar dos entidades de dirección IP, una a partir de un campo de dirección IP de origen y otra a partir de un campo de dirección IP de destino. De este modo, puede realizar el seguimiento de ambas.

    Si cambia de opinión, o si ha cometido algún error, puede quitar una asignación de entidad; para ello, haga clic en el icono de la papelera que se encuentra junto a la lista desplegable Entidad.

  8. Cuando termine la asignación de entidades, haga clic en la pestaña Revisar y crear. Cuando la validación de la regla sea correcta, haga clic en Guardar.

Notas sobre la nueva versión

  • Si previamente definió asignaciones de entidades para esta regla de análisis con la versión anterior, esas asignaciones aparecen en el código de la consulta. Las asignaciones de entidades definidas con la nueva versión no aparecen en el código de la consulta. Las reglas de análisis solo admiten una versión de las asignaciones de entidades cada vez y la nueva versión tiene prioridad. Por lo tanto, cualquier asignación que defina aquí hará que se descarten todas las asignaciones definidas en el código de la consulta cuando se ejecute la consulta.

  • Si todavía necesita usar la versión anterior de la asignación de entidades (siempre que la nueva versión esté aún en versión preliminar), todavía puede acceder a ella mediante una marca de características en la dirección URL. Coloque el cursor entre https://portal.azure.com/ y #blade e inserte el texto ?feature.EntityMapping=false.

    • Se seguirán aplicando los límites de la versión anterior. Solo puede asignar las entidades usuario, host, dirección IP, dirección URL y hash de archivo, y solo una de cada.

    • Debe quitar todas las asignaciones de entidades creadas con la nueva versión antes de volver a la versión anterior; de lo contrario, las asignaciones de entidades que usen la versión anterior no funcionarán.

  • Una vez que la nueva versión de la asignación de entidades esté disponible con carácter general, ya no será posible usar la versión anterior. Se recomienda que migre las asignaciones de entidades antiguas a la nueva versión.

Pasos siguientes

En este documento, ha aprendido cómo asignar campos de datos a entidades en las reglas de análisis de Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: