Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Las detecciones personalizadas ahora son la mejor manera de crear nuevas reglas en siem de Microsoft Sentinel Microsoft Defender XDR. Con las detecciones personalizadas, puede reducir los costos de ingesta, obtener detecciones ilimitadas en tiempo real y beneficiarse de una integración sin problemas con Defender XDR datos, funciones y acciones de corrección con la asignación automática de entidades. Para obtener más información, lea este blog.
Las reglas de análisis casi en tiempo real de Microsoft Sentinel ofrecen una detección de amenazas al minuto integrada. Este tipo de regla se diseñó para tener una gran capacidad de respuesta mediante la ejecución de su consulta a intervalos de un minuto de diferencia.
Por el momento, estas plantillas tienen una aplicación limitada, como se describe a continuación, pero la tecnología está evolucionando y creciendo rápidamente.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Visualización de reglas casi en tiempo real (NRT)
En el menú de navegación de Microsoft Defender, expanda Microsoft Sentinely, a continuación , Configuración. Seleccione Análisis.
En la pantalla de Analytics, con la pestaña reglas activas de seleccionada, filtre la lista para plantillas de NRT:
Seleccione Agregar de filtro y elija Tipo de regla en la lista de filtros.
En la lista resultante, seleccione NRT. Luego, seleccione Aplicar.
Crear reglas de NRT
Las reglas de NRT se crean de la misma manera que se crean reglas de análisis de consultas programadas normales:
En el menú de navegación de Microsoft Defender, expanda Microsoft Sentinely, a continuación , Configuración. Seleccione Análisis.
En la barra de acciones de la parte superior de la cuadrícula, seleccione +Crear y seleccione Reglade consulta de NRT. Así se abre el Asistente para reglas de Analytics.
Siga las instrucciones del asistente para reglas de análisis.
La configuración de las reglas de NRT es, en la mayoría de los casos, la misma que la de las reglas de análisis programadas.
Puede hacer referencia a varias tablas y Listas de reproducción en su lógica de consulta.
Puede usar todos los métodos de enriquecimiento de alertas: asignación de entidades, detalles personalizados y detalles de alerta.
Puede elegir cómo agrupar alertas en incidentes y suprimir una consulta cuando se ha generado un resultado determinado.
Puede automatizar las respuestas a alertas e incidentes.
Puede ejecutar la consulta de reglas en varias áreas de trabajo.
Sin embargo, debido a la naturaleza y las limitaciones de las reglas de NRT, las siguientes características de las reglas de análisis programadas no estarán disponibles en el asistente:
- La programación de consultas no es configurable, ya que las consultas se programan automáticamente para ejecutarse una vez por minuto con un período de retroceso de un minuto.
- El umbral de alerta es irrelevante, ya que siempre se genera una alerta.
- La configuración de agrupación de eventos ya está disponible, aunque con ciertas limitaciones. Puede hacer que una regla NRT genere una alerta para cada evento hasta un máximo de 30 eventos. Si elige esta opción y la regla da como resultado más de 30 eventos, se generarán alertas de evento único para los primeros 29 eventos. En la alerta número 30, se resumirán todos los eventos del conjunto de resultados.
Además, debido a los límites de tamaño de las alertas, la consulta debe usar instrucciones
projectpara incluir solo los campos necesarios de la tabla. De lo contrario, la información que quiere mostrar puede acabar truncándose.
Pasos siguientes
En este documento, ha aprendido a crear reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.
- Más información sobre las reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel.
- Explore otros tipos de reglas de análisis.