Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una vez que haya conectado sus orígenes de datos a Microsoft Sentinel, visualice y supervise los datos mediante libros de trabajo en Microsoft Sentinel. Los libros de Microsoft Sentinel se basan en libros de Azure Monitor y agregan tablas y gráficos con análisis de los registros y consultas a las herramientas que ya están disponibles en Azure.
Microsoft Sentinel permite crear libros personalizados en los datos o usar plantillas de libros existentes disponibles con soluciones empaquetadas o como contenido independiente del centro de contenido. Cada libro es un recurso de Azure como cualquier otro y puede asignarlo con el control de acceso basado en roles (RBAC) de Azure para definir y limitar quién puede acceder.
En este artículo se describe cómo visualizar los datos en Microsoft Sentinel mediante libros. La edición de libros directamente en el portal de Defender se encuentra en versión preliminar.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Requisitos previos
Debe tener al menos permisos de lector de libros o de colaborador de libros en el grupo de recursos del área de trabajo de Microsoft Sentinel.
Los libros que ve en Microsoft Sentinel se guardan en el grupo de recursos del área de trabajo de Microsoft Sentinel y se etiquetan según el área de trabajo en el que se crearon.
Para usar una plantilla de libro, instale la solución que contiene el libro o instale el libro como un elemento independiente desde el Centro de contenido. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Si trabaja en el portal de Defender con un origen de datos de Azure Data Explorer, asegúrese de configurar y autenticarse en Azure Data Explorer desde el portal de Defender.
Creación de un libro a partir de una plantilla
Use una plantilla instalada desde el centro de contenido para crear un libro.
En Microsoft Sentinel, seleccione Cuadernos de administración de amenazas>.
En la página Libros , seleccione la pestaña Plantillas para ver la lista de plantillas de libro instaladas. Seleccione una plantilla para ver sus detalles.
Algunos libros requieren conexiones de datos específicas para funcionar. Antes de guardar un libro, verifique si hay un campo Tipos de datos obligatorios para verificar que ha ingerido ese tipo de datos.
Por ejemplo:
En el panel de detalles, seleccione Guardar y, a continuación, seleccione la ubicación donde desea guardar el libro. Esta acción crea un recurso de Azure en la ubicación seleccionada en función de la plantilla pertinente. Solo se guarda el archivo JSON del libro en esta ubicación y no hay datos.
En el panel de detalles, seleccione Ver libro guardado para abrirlo para su edición.
Con el libro abierto, seleccione Editar para personalizar el libro según sus necesidades.
Al trabajar en el portal de Defender, algunas visualizaciones solo se pueden ver en Azure Portal. En tales casos, seleccione Abrir en Azure para abrir el libro en Azure Portal.
Por ejemplo, seleccione el filtro TimeRange para ver los datos de un intervalo de tiempo diferente al de la selección actual. Para editar un área de libro específica, seleccione Editar o seleccione los puntos suspensivos (...) para agregar elementos, o mover, clonar o quitar el área.
Para clonar el libro, seleccione Guardar como. Guarde el clon con otro nombre, en la misma suscripción y grupo de recursos. Los libros de trabajo clonados también se muestran en la pestaña Mis libros de trabajo de la página Microsoft Sentinel > Libros de trabajo de administración de amenazas>.
Cuando haya terminado, seleccione Edición finalizada para guardar los cambios.
Para más información, consulte:
Creación de un libro
Cree un libro desde cero en Microsoft Sentinel.
En Microsoft Sentinel, seleccione Libros de trabajo de administración de > amenazas y, a continuación, seleccione Agregar libro de trabajo.
Para editar el libro, seleccione Editar y, a continuación, agregue texto, consultas y parámetros según sea necesario.
Para más información sobre cómo personalizar el libro, consulte cómo Crear informes interactivos con libros de Azure Monitor.
Al crear una consulta, establezca Origen de datos en Registros y Tipo de recurso en Análisis de registros y, a continuación, seleccione una o varias áreas de trabajo.
Le recomendamos que en la consulta use un analizador del Modelo avanzado de información de seguridad (ASIM) y no una tabla integrada. La consulta admitirá así cualquier origen de datos relevante, actual o futuro, en lugar de un único origen de datos.
Cuando haya terminado con las modificaciones, seleccione Edición finalizada y, a continuación, Guardar. En el panel lateral, escriba un nombre descriptivo para el libro y seleccione la suscripción y el grupo de recursos del área de trabajo.
Al trabajar en Azure Portal, cambie entre libros del área de trabajo; para ello, seleccione Abrir
En la barra de herramientas de cualquier libro. La pantalla cambia a una lista de otros libros a los que puede cambiar.Seleccione el libro que desee abrir:
Creación de iconos para los libros
Para agregar un icono personalizado a un libro de Microsoft Sentinel, cree primero el icono en Log Analytics. Para más información, consulte Datos visuales en Log Analytics.
Una vez creado un icono, seleccione Anclar y, a continuación, seleccione el libro donde desea que aparezca el icono.
Actualización de los datos del libro
Actualice el libro para que muestre los datos actualizados. En la barra de herramientas, seleccione una de las siguientes opciones:
Actualizar, para actualizar manualmente los datos del libro.
Actualización automática, para establecer que el libro se actualice automáticamente en un intervalo configurado.Los intervalos de actualización automática admitidos oscilan entre los cinco minutos y un día.
La actualización automática se pausa mientras edita un libro y los intervalos se reinician cada vez que pasa al modo de vista desde el modo de edición.
Los intervalos de actualización automática también se reinician si actualiza manualmente los datos.
De manera predeterminada, la actualización automática está desactivada. Si ha activado la actualización automática, se desactiva de nuevo cada vez que cierra el cuaderno para optimizar la perforación y evitar que se ejecute en segundo plano. Vuelva a activar la actualización automática según sea necesario la próxima vez que abra el libro.
Imprimir un libro o guardarlo como PDF (solo Azure Portal)
Para imprimir un libro o guardarlo como un archivo PDF, use el menú de opciones a la derecha del título del libro. Estas opciones solo están disponibles en Azure Portal. Si trabaja en el portal de Defender, seleccione Abrir en Azure para abrir el libro en el portal de Azure.
Seleccione Opciones >
Imprimir contenido.En la pantalla de impresión, ajuste la configuración según sea necesario o seleccione Guardar como PDF para guardarlo localmente.
Por ejemplo:
Eliminar uno o varios libros de trabajo
Puede eliminar plantillas guardadas y libros personalizados en la pestaña Mis libros . Las propias plantillas no se pueden eliminar.
Para eliminar un libro, seleccione el libro en la pestaña Mis libros y, a continuación, seleccione Eliminar. Esta acción elimina el recurso del libro de trabajo y cualquier cambio que tú hayas hecho en la plantilla. La plantilla original seguirá estando disponible.
Recomendaciones de libros
En esta sección se revisan las recomendaciones básicas que tenemos para usar libros con Microsoft Sentinel.
Adición de libros de Microsoft Entra ID
Si usa Microsoft Entra ID con Microsoft Sentinel, se recomienda que instale la solución Microsoft Entra para Microsoft Sentinel y utilice los siguientes libros:
- Inicios de sesión de Microsoft Entra: analiza los inicios de sesión con el tiempo para ver si hay anomalías. Este libro proporciona los errores de inicio de sesión de aplicaciones, dispositivos y ubicaciones de forma que pueda advertir de un vistazo si sucede algo inusual. Preste atención cuando se producen varios errores de inicio de sesión.
- Registros de auditoría de Microsoft Entra: analiza las actividades de administración, como los cambios en los usuarios (agregar, quitar, etc.), la creación de grupos y las modificaciones.
Adición de libros de firewall
Se recomienda instalar la solución adecuada desde el Centro de contenido para agregar un libro para el firewall.
Por ejemplo, instale la solución de firewall Palo Alto para Microsoft Sentinel para agregar los libros de Palo Alto. Los libros analizan el tráfico del firewall, lo que proporciona correlaciones entre los datos del firewall y los eventos de amenazas, y resalta los eventos sospechosos de las distintas entidades.
Creación de libros diferentes para distintos usos
Se recomienda crear diferentes visualizaciones para cada tipo de rol que use libros, en función del rol y de lo que buscan. Por ejemplo, cree un libro para el administrador de red que incluya los datos del firewall.
Como alternativa, cree libros en función de la frecuencia con la que quiera examinarlos, ya sea que haya cosas que desee revisar diariamente y otros elementos que desee comprobar cada hora. Por ejemplo, puede que quiera ver los inicios de sesión de Microsoft Entra cada hora para buscar anomalías.
Consulta de ejemplo para comparar tendencias de tráfico entre semanas
Use la consulta siguiente para crear una visualización que compare las tendencias de tráfico entre semanas. Cambie el proveedor del dispositivo y el origen de datos en el que ejecuta la consulta, en función de su entorno.
En la consulta de ejemplo siguiente, se usa la tabla SecurityEvent de Windows. Es posible que desee cambiar esto para que se ejecute en la tabla AzureActivity o CommonSecurityLog, en cualquier otro firewall.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Consulta de ejemplo con datos de varios orígenes
Puede que quiera crear una consulta que incorpore datos de varios orígenes. Por ejemplo, cree una consulta que examine los registros de auditoría de Microsoft Entra de los nuevos usuarios que ha creado y que luego compruebe los registros de Azure para ver si el usuario ha comenzado a realizar cambios en la asignación de roles al cabo de 24 horas de la creación. Esa actividad sospechosa se mostraría en una visualización con la siguiente consulta:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:
- Operador where
- Operador extend
- Operador project
- Operador project-away
- Operador join
- Operador summarize
- Función ago()
- función bin()
- Función iff()
- Función tostring()
- función de agregación count()
Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).
Otros recursos:
Problemas conocidos para editar libros en el portal de Defender (versión preliminar)
La edición de libros de trabajo directamente en el portal de Defender está actualmente en versión preliminar e incluye los siguientes problemas conocidos.
- El editor avanzado puede aparecer en modo claro, incluso si el portal está establecido en modo oscuro.
- Los datos de punto de conexión personalizados no son compatibles con la edición de libros en el portal de Defender.
- Los libros dentro de libros no son compatibles para su edición en el portal de Defender.
- El uso compartido de solo lectura no es compatible para libros de trabajo en el portal de Defender.
- Los diagramas de Mermaid no son compatibles con la edición de libros en el portal de Defender.
Artículos relacionados
Para más información, consulte: