Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La ejecución de libros de Microsoft Sentinel sobre Microsoft Sentinel datos del lago de datos permite a los equipos de SOC visualizar y supervisar los datos de seguridad directamente desde el lago mediante KQL (Lenguaje de consulta Kusto), sin duplicar ni transformar datos. Al seleccionar Sentinel lago de datos como origen de datos en un libro, los analistas pueden ejecutar las mismas consultas analíticas usadas para las investigaciones y la búsqueda. Pueden representarlos como tablas y gráficos interactivos para la supervisión operativa y los informes. El uso de Sentinel lago de datos como origen de datos de libro permite un análisis coherente entre consultas, admite una retención de datos más larga y escala con datos históricos de gran volumen. Esto hace que los libros sean ideales para la búsqueda avanzada de amenazas, el análisis de tendencias y los paneles ejecutivos.
Este artículo le guiará a través del proceso de creación de libros para usar Microsoft Sentinel lago de datos como origen de datos. Para obtener más información sobre el uso de libros con Sentinel, vea Visualización y supervisión de los datos mediante libros en Microsoft Sentinel.
Al usar Sentinel lago de datos como origen de datos para los libros, tenga en cuenta la importancia del rendimiento de las consultas, ya que la visualización del libro puede volver a ejecutarse de forma automática y ejecutarse repetidamente. Las consultas deben tener un ámbito con filtros de tiempo, resumen y proyecciones adecuados para evitar el examen de datos históricos excesivos en el lago. Las consultas con ámbito adecuado garantizan que los paneles sigan respondiendo mientras siguen usando datos de gran volumen a largo plazo para el análisis.
Creación de un libro con Microsoft Sentinel lago de datos como origen de datos
En el portal de Defender, vaya a libros de administración> de Microsoft Sentinel >Threat.
Seleccione el icono de cubo en la esquina superior derecha para seleccionar las áreas de trabajo que desea almacenar.
Seleccione Agregar libro.
Se abre un nuevo libro con una consulta básica y un objeto visual de gráfico par.
Seleccione Editar.
En el gráfico, seleccione Agregar y, a continuación, seleccione Agregar origen de datos y visualización.
Seleccione Sentinel lago de datos como origen de datos.
Seleccione el área de trabajo que contiene la tabla SignInLogs en el lago de datos.
Pegue el siguiente KQL en el editor de consultas:
AWSCloudTrail | where isnotempty(ErrorCode) | summarize FailedEvents = count() by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid | where FailedEvents > 3 | summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid | top 10 by FailedEventsEn Visualización , seleccione Gráfico de barras.
Seleccione Ejecutar consulta para visualizar los resultados.
Seleccione Edición finalizada para salir del modo de edición y ver el objeto visual.
Este objeto visual muestra las 10 principales identidades principales de AWS que generan el mayor número de llamadas API con errores en los registros de AWSCloudTrail. Los eventos con errores se agregan y filtran para resaltar las identidades con errores repetidos. El gráfico ayuda a los analistas a identificar rápidamente identidades potencialmente sospechosas o mal configuradas que producen patrones de error anómalos.
Nota:
No se admite el tipo de visualizaciónEstablecido por consulta .
Los intervalos de tiempo relativos, como
> ago(10d), se admiten hasta 90 días. Los intervalos de tiempo absolutos se admiten según la directiva de retención de datos.En la página del libro, seleccione Edición finalizada.
Seleccione Guardar para guardar el libro en la biblioteca y asignarle un nombre y una ubicación.
Puede ver el libro guardado en la lista de libros y seleccionarlo para ver las visualizaciones que ha creado. También puede editar el libro en cualquier momento para actualizar las consultas o los objetos visuales.
