Uso de libros de Azure Monitor para visualizar y supervisar los datos
Nota
Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.
Después de que haya conectado los orígenes de datos a Microsoft Sentinel, puede visualizar y supervisar los datos mediante la adopción de Microsoft Sentinel de Workbooks de Azure Monitor, lo que proporciona versatilidad al crear paneles personalizados. Aunque los libros se muestran de manera diferente en Microsoft Sentinel, puede que le resulte útil ver cómo crear informes interactivos con los libros de Azure Monitor. Microsoft Azure Sentinel permite crear libros personalizados en los datos y también incluye plantillas de libro integradas que permiten obtener información rápidamente en los datos en cuanto se conecta con un origen de datos.
En este artículo se describe cómo visualizar los datos en Microsoft Sentinel.
- Uso de libros integrados
- Creación de libros
Prerrequisitos
Debe tener al menos permisos de lector de libros o de colaborador de libros en el grupo de recursos del área de trabajo de Microsoft Sentinel.
Nota
Los libros que puede ver en Microsoft Sentinel se guardan en el grupo de recursos del área de trabajo de Microsoft Sentinel y se etiquetan según el área de trabajo en el que se crearon.
Uso de libros integrados
Vaya a Libros y, a continuación, seleccione Plantillas para ver la lista completa de los libros integrados de Microsoft Sentinel.
Para ver cuáles son importantes para los tipos de datos que ha conectado, el campo Tipos de datos requeridos de cada libro mostrará el tipo de datos junto a una marca de verificación verde si ya ha transmitido los datos correspondientes a Microsoft Sentinel.
Seleccione Ver plantilla para ver la plantilla rellenada con los datos.
Para editar el libro, seleccione Guardar y, a continuación, seleccione la ubicación en la que quiere guardar el archivo JSON de la plantilla.
Nota
Esta acción crea un recurso de Azure basado en la plantilla correspondiente y guarda el archivo JSON del libro, pero no los datos.
Seleccione Ver libro guardado.
Seleccione el botón Editar en la barra de herramientas del libro para personalizarlo según sus necesidades. Cuando haya terminado, haga clic en Guardar para guardar los cambios.
Para más información, consulte cómo Crear informes interactivos con libros de Azure Monitor.
Sugerencia
Para clonar el libro, seleccione Editar y, después, Guardar como, asegurándose de guardarlo con otro nombre, en la misma suscripción y el mismo grupo de recursos. Los libros clonados aparecerán en la pestaña Mis libros.
Creación de un libro
Vaya a Libros y, a continuación, seleccione Agregar libro para crear un nuevo libro desde el principio.
Para editar el libro, seleccione Editar y, a continuación, agregue texto, consultas y parámetros según sea necesario. Para más información sobre cómo personalizar el libro, consulte cómo Crear informes interactivos con libros de Azure Monitor.
Al compilar una consulta, asegúrese de que Origen de datos esté establecido en Registros y Tipo de recurso esté establecido en Log Analytics. A continuación, elija las áreas de trabajo apropiadas.
Después de crear el libro, guárdelo. Asegúrese de que lo guarda en el grupo de recursos y la suscripción del área de trabajo de Microsoft Sentinel.
Si desea permitir que otros usuarios de su organización utilicen el libro, en Guardar en seleccione Informes compartidos. Si desea que este libro esté disponible solo para usted, seleccione Mis informes.
Para alternar entre los libros del área de trabajo, seleccione Abrir
. en la barra de herramientas de cualquier libro. La pantalla cambia a una lista de otros libros a los que puede cambiar.Seleccione el libro que desee abrir:
Actualización de los datos del libro
Actualice el libro para que muestre los datos actualizados. En la barra de herramientas, seleccione una de las siguientes opciones:
Actualizar, para actualizar manualmente los datos del libro.
Actualización automática, para establecer que el libro se actualice automáticamente en un intervalo configurado.Los intervalos de actualización automática admitidos oscilan entre los cinco minutos y un día.
La actualización automática se pausa mientras edita un libro y los intervalos se reinician cada vez que pasa al modo de vista desde el modo de edición.
Los intervalos de actualización automática también se reinician si actualiza manualmente los datos.
Sugerencia
De manera predeterminada, la actualización automática está desactivada. Para optimizar el rendimiento, la actualización automática también se desactiva cada vez que se cierra un libro, y no se ejecuta en segundo plano. Vuelva a activar la actualización automática según sea necesario la próxima vez que abra el libro.
Impresión de un libro o almacenamiento como PDF
Para imprimir un libro o guardarlo como un archivo PDF, use el menú de opciones a la derecha del título del libro.
- Seleccione Opciones >
Imprimir contenido. - En la pantalla de impresión, ajuste la configuración según sea necesario o seleccione Guardar como PDF para guardarlo localmente.
Por ejemplo:
Eliminación de libros
Para eliminar un libro guardado (ya sea una plantilla guardada o un libro personalizado), en la página Libros, seleccione el libro guardado que quiere eliminar y elija Eliminar. Esto eliminará el libro guardado.
Nota
Esta acción elimina el recurso del libro y los cambios realizados en la plantilla. La plantilla original seguirá estando disponible.
Pasos siguientes
En este artículo, ha aprendido a visualizar los datos en Microsoft Sentinel mediante libros de Azure.
Para aprender a automatizar las respuestas a las amenazas, consulte Configuración de respuestas automatizadas frente a amenazas en Microsoft Sentinel.
Para obtener información sobre los libros integrados más populares, consulte Libros de Microsoft Sentinel más utilizados.