Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La asignación de entidades es una parte integral de la configuración de reglas de análisis programadas. Enriquece la salida de las reglas (alertas e incidentes) con información esencial que actúa como bloques de creación de los procesos de investigación y las acciones correctivas siguientes.
El procedimiento que se detalla a continuación forma parte del Asistente para la creación de reglas de análisis. Se trata aquí de forma independiente para abordar el escenario de agregar o cambiar asignaciones de entidades en una regla de análisis existente.
Importante
- Consulte "Notas sobre la nueva versión" al final de este documento para obtener información importante sobre la compatibilidad con versiones anteriores y las diferencias entre las versiones nuevas y antiguas de la asignación de entidades.
- Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender. Si sigue usando Microsoft Sentinel en el Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net
Asignación de entidades
Escriba la página Análisis en el portal a través del cual accede a Microsoft Sentinel:
En la sección Configuración del menú de navegación Microsoft Sentinel, seleccione Análisis.
Seleccione una regla de consulta programada y seleccione Editar en el panel de detalles. O bien, cree una nueva regla haciendo clic en Crear > regla de consulta programada en la parte superior de la pantalla.
Seleccione la pestaña Establecer lógica de regla . Si hay una nueva regla, escriba una consulta en la ventana Consulta de regla .
En la sección Mejora de alertas , expanda Asignación de entidades.
En la sección Asignación de entidades ahora expandida, seleccione Agregar nueva entidad.
Seleccione un tipo de entidad en la lista desplegable Entidad .
Seleccione un identificador para la entidad. Los identificadores son atributos de una entidad que pueden identificarla lo suficiente. Elija uno en la lista desplegable Identificador y, a continuación, elija un campo de datos en la lista desplegable Valor que se corresponderá con el identificador. Con algunas excepciones, la lista Valor se rellena mediante los campos de datos de la tabla definida como asunto de la consulta de regla.
Puede definir hasta tres identificadores para una asignación de entidad determinada. Algunos identificadores son necesarios, otros son opcionales. Debe elegir al menos un identificador necesario. Si no lo hace, un mensaje de advertencia le indicará qué identificadores son necesarios. Para obtener mejores resultados(para una identificación única máxima), debe usar identificadores seguros siempre que sea posible, y el uso de varios identificadores seguros permitirá una mayor correlación entre orígenes de datos. Consulte la lista completa de entidades e identificadores disponibles.
Seleccione Agregar nueva entidad para asignar más entidades. Puede definir hasta diez asignaciones de entidades en una sola regla de análisis. También puede asignar más de uno del mismo tipo. Por ejemplo, puede asignar dos entidades IP , una de un campo de dirección IP de origen y otra de un campo de dirección IP de destino . De esta manera, puede realizar un seguimiento de ambos.
Si cambia de opinión o si ha cometido un error, puede quitar una asignación de entidades haciendo clic en el icono de papelera situado junto a la lista desplegable de entidades.
Cuando haya terminado de asignar entidades, haga clic en la pestaña Revisar y crear . Una vez que la validación de la regla se realiza correctamente, haga clic en Guardar.
Nota:
Hasta 500 entidades se pueden identificar colectivamente en una única alerta, divididas por igual entre todas las asignaciones de entidades definidas en la regla.
- Por ejemplo, si se definen dos asignaciones de entidades en la regla, cada asignación puede identificar hasta 250 entidades; Si se definen cinco asignaciones, cada una puede identificar hasta 100 entidades, etc.
- Varias asignaciones de un único tipo de entidad (por ejemplo, ip de origen y dirección IP de destino) cada recuento por separado.
- Si una alerta contiene elementos que superan este límite, esos elementos en exceso no se reconocerán ni extraerán como entidades.
El límite de tamaño para el área de entidades completa de una alerta (el campo Entidades ) es de 64 KB.
- Los campos de entidad que crezcan más de 64 KB se truncarán. A medida que se identifican las entidades, se agregan a la alerta una por una hasta que el tamaño del campo alcanza los 64 KB y las entidades que aún no se han identificado se quitan de la alerta.
Notas sobre la nueva versión
Dado que la nueva versión ya está disponible con carácter general (GA), la solución alternativa de marca de características para usar la versión anterior ya no está disponible.
Si previamente había definido asignaciones de entidades para esta regla de análisis mediante la versión anterior, se convertirán automáticamente a la nueva versión.
Pasos siguientes
En este documento, ha aprendido a asignar campos de datos a entidades de Microsoft Sentinel reglas de análisis. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:
- Explore las otras formas de enriquecer las alertas:
- Obtenga una imagen completa de las reglas de análisis de consultas programadas.
- Obtenga más información sobre las entidades de Microsoft Sentinel.