Creación de listas de reproducción en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las listas de seguimiento de Microsoft Sentinel le ayudan a correlacionar los datos de un origen de datos que proporciona con los eventos del entorno de Microsoft Sentinel. Por ejemplo, puede crear una lista de seguimiento con una lista de recursos de alto valor, empleados terminados o cuentas de servicio en su entorno.

Puede crear una lista de reproducción mediante cualquiera de los métodos siguientes:

Actualmente, puede cargar archivos locales de hasta 3,8 MB. Un archivo de más de 3,8 MB y hasta 500 MB se considera una lista de reproducción grande. Para cargar una lista de reproducción grande, cargue el archivo en una cuenta de almacenamiento de Azure. Antes de crear una lista de reproducción, revise las limitaciones de las listas de reproducción.

Los datos de la tabla lista de seguimiento de Log Analytics se conservan durante 28 días.

Importante

Las características de las plantillas de lista de seguimiento, la capacidad de crear una lista de reproducción a partir de un archivo en Azure Storage y la capacidad de crear manualmente una lista de reproducción están actualmente en VERSIÓN PRELIMINAR. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net

Carga de una lista de reproducción desde una carpeta local

Tiene dos maneras de cargar un archivo CSV desde la máquina local para crear una lista de reproducción.

Carga de una lista de reproducción desde un archivo que ha creado

Si no usó una plantilla de lista de reproducción para crear el archivo:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. Seleccione + Nuevo para abrir el Asistente para la lista de reproducción.

    Captura de pantalla de la opción agregar lista de reproducción en la página de lista de reproducción.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

    Captura de pantalla de la pestaña general de la lista de reproducción en el Asistente para listas de reproducción.

  4. En la página Origen , use la información de la tabla siguiente para cargar los datos de la lista de reproducción y, a continuación, seleccione Siguiente: Revisar y crear.

    Campo Description
    Tipo de origen Archivo local
    Tipo de archivo Archivo CSV con un encabezado (.csv)
    Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que se encuentra en el archivo de datos.
    Cargar archivo Arrastre y coloque el archivo de datos, o bien seleccione Buscar archivos y seleccione el archivo que se va a cargar.
    SearchKey Escriba el nombre de una columna en la lista de reproducción que espera usar como combinación con otros datos o un objeto frecuente de búsquedas. Por ejemplo, si la lista de reproducción del servidor contiene nombres de país o región y sus respectivos códigos de país de dos letras, y espera usar los códigos de país a menudo para búsquedas o combinaciones, use la columna Código como SearchKey.

    Nota:

    Si el archivo CSV tiene más de 3,8 MB, debe usar las instrucciones para Crear una lista de reproducción grande a partir de un archivo en Azure Storage.

    Captura de pantalla que muestra la pestaña de origen de la lista de reproducción.

  5. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear.

    Captura de pantalla de la página de revisión de la lista de reproducción.

    Aparece una notificación una vez creada la lista de reproducción.

La lista de reproducción puede tardar varios minutos en crearse y los nuevos datos estarán disponibles en las consultas.

Carga de una lista de reproducción creada a partir de una plantilla (versión preliminar)

Para crear una lista de reproducción a partir de una plantilla que ha rellenado:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. Seleccione la pestaña Plantillas (versión preliminar).

  3. Seleccione la plantilla adecuada de la lista para ver los detalles de la plantilla en el panel derecho.

  4. Seleccione Crear a partir de la plantilla para abrir el Asistente para la lista de reproducción.

    Captura de pantalla de la opción para crear una lista de reproducción a partir de una plantilla integrada.

  5. En la página General , observe que los campos Nombre, Descripción y Alias son de solo lectura. Seleccione Siguiente: Origen.

  6. En la página Origen , seleccione Examinar archivos y, a continuación, seleccione el archivo que creó a partir de la plantilla.

  7. Seleccione Siguiente: Revisar y crear y, a continuación, seleccione Crear. Aparece una notificación una vez creada la lista de reproducción.

La lista de reproducción puede tardar varios minutos en crearse y los nuevos datos estarán disponibles en las consultas.

Creación de una lista de reproducción grande a partir de un archivo en Azure Storage (versión preliminar)

Si tiene una lista de reproducción grande de hasta 500 MB de tamaño, cargue el archivo de lista de reproducción en la cuenta de almacenamiento de Azure. A continuación, cree una dirección URL de firma de acceso compartido para Microsoft Sentinel para recuperar los datos de la lista de reproducción. Una dirección URL de firma de acceso compartido es un URI que contiene el URI del recurso y el token de firma de acceso compartido de un recurso como un archivo CSV en la cuenta de almacenamiento. Por último, agregue la lista de reproducción al área de trabajo en Microsoft Sentinel.

Para obtener más información sobre las firmas de acceso compartido, consulte Azure token de firma de acceso compartido de Storage.

Paso 1: Carga de un archivo de lista de reproducción en Azure Storage

Para cargar un archivo de lista de reproducción grande en la cuenta de almacenamiento de Azure, use AzCopy o el Azure Portal.

  1. Si aún no tiene una cuenta de almacenamiento de Azure, cree una cuenta de almacenamiento. La cuenta de almacenamiento puede estar en un grupo de recursos o región diferente del área de trabajo en Microsoft Sentinel.
  2. Use AzCopy o el Azure Portal para cargar el archivo CSV con los datos de la lista de reproducción en la cuenta de almacenamiento.

Carga del archivo con AzCopy

Cargue archivos y directorios en Blob Storage mediante la utilidad de línea de comandos AzCopy v10. Para más información, consulte Carga de archivos en Azure Blob Storage mediante AzCopy.

  1. Si aún no tiene un contenedor de almacenamiento, cree uno ejecutando el siguiente comando.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. A continuación, ejecute el siguiente comando para cargar el archivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Cargue el archivo en Azure Portal

Si no usa AzCopy, cargue el archivo mediante el Azure Portal. Vaya a la cuenta de almacenamiento en Azure Portal para cargar el archivo CSV con los datos de la lista de reproducción.

  1. Si aún no tiene un contenedor de almacenamiento existente, cree un contenedor. Para el nivel de acceso público al contenedor, use el valor predeterminado que está establecido en Privado (sin acceso anónimo).
  2. Cargue un blob en bloques para cargar el archivo CSV en la cuenta de almacenamiento.

Paso 2: Creación de una dirección URL de firma de acceso compartido

Cree una dirección URL de firma de acceso compartido para Microsoft Sentinel para recuperar los datos de la lista de reproducción.

  1. Siga los pasos descritos en Creación de tokens de SAS para blobs en el Azure Portal.
  2. Establezca el tiempo de expiración del token de firma de acceso compartido en al menos seis horas.
  3. Mantenga el valor predeterminado de Direcciones IP permitidas en blanco.
  4. Copie el valor de Dirección URL de SAS de blob.

Paso 3: Agregar Azure a la pestaña CORS

Antes de usar un URI de SAS, agregue el Azure Portal al uso compartido de recursos entre orígenes (CORS).

  1. Vaya a la configuración de la cuenta de almacenamiento, página Uso compartido de recursos .
  2. Seleccione la pestaña Blob Service .
  3. Agregue https://*.portal.azure.net a la tabla de orígenes permitidos.
  4. Seleccione los métodos permitidos adecuados de GET y OPTIONS.
  5. Guarde la configuración.

Para obtener más información, consulte Compatibilidad de CORS con Azure Storage.

Paso 4: Agregar la lista de reproducción a un área de trabajo

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. Seleccione + Nuevo para abrir el Asistente para la lista de reproducción.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

  4. En la página Origen , use la información de la tabla siguiente para cargar los datos de la lista de reproducción y, a continuación, seleccione Siguiente: Revisar y crear.

    Campo Description
    Tipo de origen Azure Storage (versión preliminar)
    Selección de un tipo para el conjunto de datos Archivo CSV con un encabezado (.csv)
    Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que se encuentra en el archivo de datos.
    Dirección URL de SAS de blob (versión preliminar) Pegue la dirección URL de acceso compartido que ha creado.
    SearchKey Escriba el nombre de una columna en la lista de reproducción que espera usar como combinación con otros datos o un objeto frecuente de búsquedas. Por ejemplo, si la lista de reproducción del servidor contiene nombres de país o región y sus respectivos códigos de país de dos letras, y espera usar los códigos de país a menudo para búsquedas o combinaciones, use la columna Código como SearchKey.

  5. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear. Aparece una notificación una vez creada la lista de reproducción.

Puede tardar un tiempo en crearse una lista de reproducción grande y en que los nuevos datos estén disponibles en las consultas.

Creación manual de una lista de reproducción (versión preliminar)

Para crear una lista de reproducción desde cero:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. Seleccione + Nuevo para abrir el Asistente para la lista de reproducción.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

  4. En la página Origen , elija Manual (versión preliminar) como tipo de origen.

  5. Agregue y defina los nombres de columna de la lista de reproducción. Elija la columna que actúa como clave de búsqueda. Esta clave es la columna de la lista de reproducción que espera usar como combinación con otros datos o un objeto frecuente de búsquedas.

    Captura de pantalla de la opción para crear manualmente una lista de reproducción.

  6. Seleccione Siguiente: Revisar y crear.

  7. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear. Aparece una notificación una vez creada la lista de reproducción.

La lista de reproducción puede tardar varios minutos en crearse y los nuevos datos estarán disponibles en las consultas.

Nota:

Las listas de reproducción que se crean manualmente contienen automáticamente una única entrada que usa valores predeterminados. Puede actualizar esta entrada según sea necesario. Para obtener más información, consulte Administración de listas de reproducción.

Visualización del estado de la lista de reproducción

Para ver el estado de una lista de reproducción en el área de trabajo:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. En la pestaña Mis listas de reproducción, seleccione la lista de reproducción.

  3. En la página de detalles, revise estado (versión preliminar).

    Captura de pantalla que muestra el estado de la lista de reproducción.

  4. Cuando el estado sea Correcto, seleccione Ver en los registros para usar la lista de reproducción en una consulta. La lista de reproducción puede tardar varios minutos en mostrarse en Log Analytics.

    Captura de pantalla de la página de lista de reproducción con el botón Ver en registros resaltado.

Descargar plantilla de lista de reproducción (versión preliminar)

Descargue una de las plantillas de lista de reproducción de Microsoft Sentinel para rellenar con los datos. A continuación, cargue ese archivo al crear la lista de reproducción en Microsoft Sentinel.

Cada plantilla de lista de seguimiento integrada tiene su propio conjunto de datos enumerados en el archivo CSV adjunto a la plantilla. Para obtener más información, vea Esquemas integrados de lista de reproducción.

Para descargar una de las plantillas de lista de reproducción:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>de la lista de seguimiento.

  2. Seleccione la pestaña Plantillas (versión preliminar).

  3. Seleccione una plantilla de la lista para ver los detalles de la plantilla en el panel derecho.

  4. Seleccione los puntos suspensivos ... al final de la fila.

  5. Seleccione Descargar esquema.

    Captura de pantalla de la pestaña plantillas con el esquema de descarga seleccionado.

  6. Rellene la versión local del archivo y guárdelo localmente como un archivo CSV.

  7. Siga los pasos para cargar la lista de reproducción creada a partir de una plantilla (versión preliminar).

Listas de reproducción eliminadas y recreadas en la vista de Log Analytics

Si elimina y vuelve a crear una lista de reproducción, es posible que vea las entradas eliminadas y recreadas en Log Analytics en el acuerdo de nivel de servicio de cinco minutos para la ingesta de datos. Si ve estas entradas juntas en Log Analytics durante un período de tiempo más largo, envíe una incidencia de soporte técnico.

Contenido relacionado

Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

  • Last updated on