Compartir a través de

Creación de listas de control en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Las listas de vigilancia de Microsoft Sentinel le ayudan a correlacionar los datos de un origen de datos que usted proporciona con los eventos en su entorno de Microsoft Sentinel. Por ejemplo, puede crear una lista de control con una lista de recursos de alto valor, de empleados que ya no trabajen para usted o de cuentas de servicio en su entorno.

Puede crear una lista de reproducción mediante cualquiera de los métodos siguientes:

Actualmente puede cargar archivos locales de hasta 3,8 MB de tamaño. Un archivo de más de 3,8 MB y hasta 500 MB se considera una lista de seguimiento grande. Para cargar una lista de reproducción grande, cargue el archivo en una cuenta de Azure Storage. Antes de crear una lista de control, revise las limitaciones de las listas de control.

Los datos de la tabla Watchlist de Log Analytics se conservan durante 28 días.

Importante

Las características de las plantillas de lista de seguimiento, la capacidad de crear una lista de reproducción a partir de un archivo de Azure Storage y la capacidad de crear una lista de reproducción manualmente se encuentran actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos nuevos usuarios también se incorporan y redirigen automáticamente desde Azure Portal al portal de Defender. Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Carga de una lista de reproducción desde una carpeta local

Hay dos formas de cargar un archivo CSV desde una máquina local para crear una lista de reproducción.

Cargar una lista de reproducción desde un archivo que creó

Si no usaste una plantilla de lista de seguimiento para crear tu archivo:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>Lista de seguimiento.

  2. Seleccione + Nuevo para abrir el asistente para listas de seguimiento.

    Captura de pantalla de la opción Agregar lista de reproducción en la página lista de reproducción.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

    Captura de pantalla de la pestaña general de la lista de reproducción en el Asistente para listas de reproducción.

  4. En la página Origen , use la información de la tabla siguiente para cargar los datos de la lista de reproducción y, a continuación, seleccione Siguiente: Revisar y crear.

    Campo Descripción
    Tipo de origen Archivo local
    Tipo de archivo Archivo CSV con un encabezado (.csv)
    Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que está en el archivo de datos.
    Cargar archivo Arrastre y coloque el archivo de datos, o seleccione Examinar archivos y seleccione el archivo que desea cargar.
    Clave de Búsqueda Escriba el nombre de una columna en la lista de control que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. Por ejemplo, si su lista de seguimiento de servidores contiene nombres de país/región y los códigos de dos letras correspondientes, y espera usar los códigos a menudo para búsquedas o combinaciones, use la columna Código como SearchKey.

    Nota:

    Si el archivo CSV tiene más de 3,8 MB, debe usar las instrucciones para Crear una lista de reproducción grande a partir del archivo en Azure Storage.

    Captura de pantalla de la pestaña origen de la lista de control.

  5. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear.

    Captura de pantalla de la página de revisión de la lista de reproducción.

    Una vez que se crea la lista de seguimiento, aparece una notificación.

Pueden transcurrir varios minutos hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.

Carga de una lista de reproducción creada a partir de una plantilla (versión preliminar)

Para crear una lista de reproducción a partir de una plantilla que ha rellenado:

  1. En el portal de Defender, vaya a Microsoft Sentinel>>.

  2. Seleccione la pestaña Plantillas (versión preliminar).

  3. En la lista, seleccione la plantilla adecuada para ver los detalles de la plantilla en el panel derecho.

  4. Seleccione Crear desde plantilla para abrir el Asistente de lista de seguimiento.

    Captura de pantalla de la opción para crear una lista de reproducción a partir de una plantilla integrada.

  5. En la página General , observe que los campos Nombre, Descripción y Alias son de solo lectura. Seleccione Next: Source (Siguiente: Origen).

  6. En la página Origen , seleccione Buscar archivos y, a continuación, seleccione el archivo que creó a partir de la plantilla.

  7. Seleccione Siguiente: Revisar y crear y, a continuación, seleccione Crear. Una vez que se crea la lista de seguimiento, aparece una notificación.

Pueden transcurrir varios minutos hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.

Creación de una lista de reproducción de gran tamaño a partir de un archivo en Azure Storage (versión preliminar)

Si tiene una lista de reproducción grande, cuyo tamaño no supere los 500 MB, cargue el archivo de la misma en la cuenta de Azure Storage. A continuación, cree una dirección URL de firma de acceso compartido para que Microsoft Sentinel recupere los datos de la lista de control. Una dirección URL de firma de acceso compartido es un URI que contiene el URI de recurso y el token de firma de acceso compartido de un recurso como un archivo CSV en la cuenta de almacenamiento. Por último, agregue la lista de control al área de trabajo en Microsoft Sentinel.

Para más información sobre las firmas de acceso compartido, consulte Token SAS de Azure Storage.

Paso 1: Carga de un archivo de lista de reproducción en Azure Storage

Para cargar un archivo de lista de reproducción en una cuenta de Azure Storage, use AzCopy o Azure Portal.

  1. Si aún no tiene una cuenta de Azure Storage, créela. La cuenta de almacenamiento puede estar en un grupo de recursos o región diferente al del área de trabajo de Microsoft Sentinel.
  2. Use AzCopy o Azure Portal para cargar el archivo CSV con los datos de la lista de reproducción en la cuenta de almacenamiento.

Carga de un archivo con AzCopy

Cargue archivos y directorios en Blob Storage mediante la utilidad de línea de comandos AzCopy v10. Para más información, consulte Carga de archivos en Azure Blob Storage con AzCopy.

  1. Si aún no tiene un contenedor de almacenamiento, créelo, para lo que debe ejecutar el siguiente comando.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. Luego, ejecute el siguiente comando para cargar el archivo.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Carga del archivo en Azure Portal

Si no usa AzCopy, cargue el archivo mediante Azure Portal. Vaya a la cuenta de almacenamiento en Azure Portal para cargar el archivo CSV con los datos de la lista de reproducción.

  1. Si aún no tiene un contenedor de almacenamiento, créelo. Para el nivel de acceso público al contenedor, use el valor predeterminado que se establece en Privado (sin acceso anónimo).
  2. Cargue un blob de bloques para cargar el archivo CSV en la cuenta de almacenamiento.

Paso 2: Creación de la dirección URL de firma de acceso compartido

Cree una dirección URL de firma de acceso compartido para que Microsoft Sentinel recupere los datos de la lista de reproducción.

  1. Siga los pasos de Creación de tokens de SAS para blobs en Azure Portal.
  2. Establezca el tiempo de expiración del token de firma de acceso compartido en al menos seis horas.
  3. Mantenga el valor predeterminado para Direcciones IP permitidas en blanco.
  4. Copie el valor de URL de SAS de Blob.

Paso 3: Agregar Azure a la pestaña CORS

Antes de utilizar un URI SAS, agregue el Azure portal al Uso compartido de recursos entre orígenes (CORS).

  1. Vaya a la configuración de la cuenta de almacenamiento, página de Uso compartido de recursos.
  2. Seleccione la pestaña Blob service.
  3. Agregue https://*.portal.azure.net a la tabla de orígenes permitidos.
  4. Seleccione los métodos permitidos adecuados de GET y OPTIONS.
  5. Guarde la configuración.

Para más información, consulte Compatibilidad de CORS con Azure Storage.

Paso 4: Agregar la lista de reproducción a un área de trabajo

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>Listas de seguimiento.

  2. Seleccione + Nuevo para abrir el Asistente para listas de seguimiento.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

  4. En la página Origen , use la información de la tabla siguiente para cargar los datos de la lista de reproducción y, a continuación, seleccione Siguiente: Revisar y crear.

    Campo Descripción
    Tipo de origen Azure Storage (versión preliminar)
    Selección de un tipo para el conjunto de datos Archivo CSV con un encabezado (.csv)
    Número de líneas antes de la fila con encabezados Escriba el número de líneas antes de la fila de encabezado que está en el archivo de datos.
    URL de SAS de Blob (versión preliminar) Pegue la dirección URL de acceso compartido que creó.
    Clave de Búsqueda Escriba el nombre de una columna en la lista de control que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas. Por ejemplo, si su lista de seguimiento de servidores contiene nombres de país/región y los códigos de dos letras correspondientes, y espera usar los códigos a menudo para búsquedas o combinaciones, use la columna Código como SearchKey.

  5. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear. Una vez que se crea la lista de seguimiento, aparece una notificación.

Es posible que pueda tardar un tiempo en crearse una lista de seguimiento grande y que los nuevos datos estén disponibles en las consultas.

Crear una lista de reproducción manualmente (versión preliminar)

Para crear una lista de reproducción desde cero:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>Lista de seguimiento.

  2. Seleccione + Nuevo para abrir el Asistente para listas de seguimiento.

  3. En la página General , escriba el nombre, la descripción y el alias de la lista de reproducción y, a continuación, seleccione Siguiente: Origen.

  4. En la página Origen , elija Manual (versión preliminar) como tipo de origen.

  5. Agregue y defina los nombres de columna de su lista de seguimiento. Elija la columna que actúa como clave de búsqueda. La clave es la columna en la lista de seguimiento que espera usar como combinación con otros datos o como un objeto frecuente de búsquedas.

    Captura de pantalla de la opción para crear una lista de reproducción manualmente.

  6. Seleccione Siguiente: Revisar y crear.

  7. Revise la información, compruebe que es correcta y, a continuación, seleccione Crear. Una vez que se crea la lista de seguimiento, aparece una notificación.

Pueden transcurrir varios minutos hasta que la lista de reproducción se crea y los datos nuevos están disponibles en las consultas.

Nota:

Las listas de reproducción que se crean automáticamente contienen una sola entrada que usa valores predeterminados. Puede actualizar esta entrada según sea necesario. Para obtener más información, consulte Administrar listas de reproducción.

Visualización del estado de la lista de reproducción

Para ver el estado de una lista de vigilancia en el espacio de trabajo:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>Lista de vigilancia.

  2. En la pestaña Mis listas de reproducción, seleccione la lista de reproducción.

  3. En la página de detalles, vea el valor de Estado (versión preliminar).

    Captura de pantalla que muestra el estado en la lista de reproducción.

  4. Cuando el estado sea Correcto, seleccione Ver en registros para usar la lista de seguimiento en una consulta. La lista de reproducción puede tardar varios minutos en mostrarse en Log Analytics.

    Captura de pantalla de la página de lista de seguimiento con el botón Ver en los registros resaltado.

Descarga de la plantilla de lista de reproducción (versión preliminar)

Descargue una de las plantillas de lista de control de Microsoft Sentinel para rellenarla con los datos. A continuación, cargue ese archivo al crear la lista de control en Microsoft Sentinel.

Cada plantilla de lista de control integrada tiene su propio conjunto de datos enumerados en el archivo CSV asociado a la plantilla. Para más información, consulte Esquemas de listas de control integradas.

Para descargar una de las plantillas de lista de reproducción:

  1. En el portal de Defender, vaya a Microsoft Sentinel>Configuración>Lista de seguimiento.

  2. Seleccione la pestaña Plantillas (versión preliminar).

  3. Seleccione una plantilla de la lista para ver los detalles de la plantilla en el panel derecho.

  4. Seleccione los puntos suspensivos () al final de la fila.

  5. Seleccione Descargar esquema.

    Captura de pantalla de la pestaña plantillas con el esquema de descarga seleccionado.

  6. Rellene la versión local del archivo y guárdelo localmente como un archivo CSV.

  7. Siga los pasos para cargar la lista de reproducción creada desde una plantilla (versión preliminar).

Listas de control eliminadas y recreadas en la vista de Log Analytics

Si elimina y vuelve a crear una lista de control, es posible que, en los cinco minutos estipulados en el Acuerdo de Nivel de Servicio para la ingesta de datos, vea las entradas que se han eliminado y vuelto a crear en Log Analytics. Si ve estas entradas duplicadas en Log Analytics durante un periodo de tiempo más prolongado, envíe una incidencia de soporte técnico.

Contenido relacionado

Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

  • Last updated on