Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Las detecciones personalizadas ahora son la mejor manera de crear nuevas reglas en Microsoft Sentinel Microsoft Defender XDR SIEM. Con las detecciones personalizadas, puede reducir los costos de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración sin problemas con Defender XDR datos, funciones y acciones de corrección con la asignación automática de entidades. Para obtener más información, lea este blog.
Las reglas de análisis casi en tiempo real de Microsoft Sentinel proporcionan detección de amenazas de forma inmediata. Este tipo de regla se diseñó para tener una alta capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia.
Por el momento, estas plantillas tienen una aplicación limitada como se describe a continuación, pero la tecnología está evolucionando y creciendo rápidamente.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Ver reglas casi en tiempo real (NRT)
En el menú de navegación Microsoft Defender, expanda Microsoft Sentinel y, a continuación, Configuración. Seleccione Análisis.
En la pantalla Análisis , con la pestaña Reglas activas seleccionada, filtre la lista para las plantillas de NRT :
Seleccione Agregar filtro y elija Tipo de regla en la lista de filtros.
En la lista resultante, seleccione NRT. A continuación, seleccione Aplicar.
Creación de reglas de NRT
Las reglas de NRT se crean de la misma manera que las reglas regulares de análisis de consultas programadas:
En el menú de navegación Microsoft Defender, expanda Microsoft Sentinel y, a continuación, Configuración. Seleccione Análisis.
En la barra de acciones de la parte superior de la cuadrícula, seleccione +Crear y seleccione Regla de consulta NRT. Se abrirá el Asistente para reglas de Analytics.
Siga las instrucciones del Asistente para reglas de análisis.
La configuración de las reglas de NRT es, en la mayoría de los casos, la misma que la de las reglas de análisis programadas.
Puede hacer referencia a varias tablas y listas de reproducción en la lógica de consulta.
Puede usar todos los métodos de enriquecimiento de alertas: asignación de entidades, detalles personalizados y detalles de alerta.
Puede elegir cómo agrupar alertas en incidentes y suprimir una consulta cuando se haya generado un resultado determinado.
Puede automatizar las respuestas a alertas e incidentes.
Puede ejecutar la consulta de regla en varias áreas de trabajo.
Sin embargo, debido a la naturaleza y las limitaciones de las reglas de NRT, las siguientes características de las reglas de análisis programadas no estarán disponibles en el asistente:
- La programación de consultas no es configurable, ya que las consultas se programan automáticamente para que se ejecuten una vez por minuto con un período de reversión de un minuto.
- El umbral de alerta es irrelevante, ya que siempre se genera una alerta.
- La configuración de agrupación de eventos ahora está disponible en un grado limitado. Puede elegir que una regla de NRT genere una alerta para cada evento para un máximo de 30 eventos. Si elige esta opción y la regla da como resultado más de 30 eventos, se generarán alertas de evento único para los primeros 29 eventos y una alerta 30 resumirá todos los eventos del conjunto de resultados.
Además, debido a los límites de tamaño de las alertas, la consulta debe usar
projectinstrucciones para incluir solo los campos necesarios de la tabla. De lo contrario, la información que desea exponer podría terminar truncada.
Pasos siguientes
En este documento, ha aprendido a crear reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.
- Obtenga más información sobre las reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.
- Explore otros tipos de reglas de análisis.