Crear consultas o reglas de detección con listas de reproducción en Microsoft Sentinel

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Correlación de los datos de la lista de seguimiento con los datos de Microsoft Sentinel con operadores tabulares de Kusto como join y lookup. Al crear una lista de reproducción, se define SearchKey. La clave de búsqueda es el nombre de una columna de la lista de reproducción que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas.

Para obtener un rendimiento óptimo de las consultas, use SearchKey como clave para las combinaciones en las consultas.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Compilación de consultas con listas de seguimiento

Para usar una lista de reproducción en la consulta de búsqueda, escriba una consulta kusto que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.

Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Configuración>de la lista de seguimiento. Para Microsoft Sentinel en el Azure Portal, en Configuración, seleccione Lista de reproducción.
Seleccione la lista de reproducción que desea usar.
Seleccione Ver en Registros.
Revise la pestaña Resultados . Los elementos de la lista de reproducción se extraen automáticamente para la consulta.

En el ejemplo siguiente se muestran los resultados de la extracción de los campos Nombre y Dirección IP . SearchKey se muestra como su propia columna.

La marca de tiempo de las consultas se omitirá tanto en la interfaz de usuario de consulta como en las alertas programadas.
Escriba una consulta que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.

Por ejemplo, la consulta de ejemplo siguiente combina la RemoteIPCountry columna de la Heartbeat tabla con la clave de búsqueda definida para la lista de seguimiento denominada mywatchlist.
```
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey
```
En la imagen siguiente se muestran los resultados de esta consulta de ejemplo en Log Analytics.

Creación de una regla de análisis con una lista de reproducción

Para usar listas de reproducción en reglas de análisis, cree una regla mediante la función _GetWatchlist('watchlist-name') en la consulta.

En Configuración, seleccione Análisis.
Seleccione Crear y el tipo de regla que desea crear.
En la pestaña General , escriba la información adecuada.
En la pestaña Establecer lógica de regla , en Consulta de regla , use la _GetWatchlist('<watchlist>') función en la consulta.

Por ejemplo, supongamos que tiene una lista de seguimiento denominada ipwatchlist que creó a partir de un archivo CSV con los valores siguientes:

IPAddress,Location

10.0.100.11,Home

172.16.107.23,Work

10.0.150.39,Home

172.20.32.117,Work

El archivo CSV tiene un aspecto similar a la siguiente imagen.

Para usar la _GetWatchlist función para este ejemplo, la consulta sería _GetWatchlist('ipwatchlist').

En este ejemplo, solo se incluyen eventos de direcciones IP en la lista de reproducción:
```
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
```
En la consulta de ejemplo siguiente se usa la lista de reproducción en línea con la consulta y la clave de búsqueda definidas para la lista de reproducción.
```
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)
```
En la imagen siguiente se muestra esta última consulta usada en la consulta de regla.
Complete el resto de las pestañas en el Asistente para reglas de Analytics.

`IPAddress,Location`
`10.0.100.11,Home`
`172.16.107.23,Work`
`10.0.150.39,Home`
`172.20.32.117,Work`

Las listas de reproducción se actualizan en el área de trabajo cada 12 días, actualizando el TimeGenerated campo. Para obtener más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas.

Ver lista de alias de lista de reproducción

Es posible que tenga que ver una lista de alias de lista de reproducción para identificar una lista de reproducción que se usará en una regla de consulta o análisis.

Para Microsoft Sentinel en el Azure Portal, en General, seleccione Registros.
En el portal de Defender, seleccione Investigación & respuesta>Búsquedade búsqueda> avanzada.
En la página Nueva consulta , ejecute la siguiente consulta: _GetWatchlistAlias.
Revise la lista de alias en la pestaña Resultados .

Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:

Para obtener más información sobre KQL, consulte introducción a Lenguaje de consulta Kusto (KQL).

Otros recursos:

En este documento, ha aprendido a usar listas de seguimiento en Microsoft Sentinel para enriquecer datos y mejorar las investigaciones. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

Creación de listas de reproducción
Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
Empiece a detectar amenazas con Microsoft Sentinel.
Use libros para supervisar los datos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23