Introducción

  • 3 minutos

Microsoft Sentinel recopila datos de registro almacenados en tablas. La página Registros de Microsoft Sentinel proporciona una interfaz de usuario para compilar y ver los resultados de las consultas mediante el lenguaje de consulta Kusto (KQL). KQL es el lenguaje de consulta que se usa para realizar análisis de datos para crear análisis, libros y realizar búsquedas con Microsoft Sentinel.

Es analista de operaciones de seguridad que trabaja en una empresa que implementa Microsoft Sentinel. Debes explorar las tablas que están disponibles en tu área de trabajo. Puede usar la página Registros de Microsoft Sentinel en Azure Portal y búsqueda avanzada y páginas de Lago de datos disponibles en el portal de Defender para escribir instrucciones del lenguaje de consulta Kusto (KQL) para ver los datos almacenados en las tablas. Al conectar datos de registro al área de trabajo de Microsoft Sentinel, los conectores escriben datos en tablas específicas.

Debe tener un conocimiento básico de las tablas proporcionadas y su propósito previsto. Por ejemplo, la tabla "SecurityEvents" está diseñada para los datos del registro de eventos de seguridad de Windows. Con este conocimiento, puede consultar las tablas necesarias para usarlas en la búsqueda de actividades malintencionadas.

Después de completar este módulo, podrá:

  • Uso de la página Registros para ver tablas de datos con Microsoft Sentinel
  • Consultar las tablas más utilizadas con Microsoft Sentinel

Prerrequisitos

Conocimientos básicos de conceptos operativos como los de supervisión, registro y creación de alertas

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.