Share via

Búsqueda avanzada de amenazas en el portal de Microsoft Defender

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La búsqueda avanzada en el portal unificado permite ver y consultar todos los datos de Microsoft Defender XDR. Esto incluye datos de varios servicios de seguridad de Microsoft y Microsoft Sentinel, que incluyen datos de productos que no son de Microsoft, en una sola plataforma. También puede acceder y usar todo el contenido del área de trabajo de Microsoft Sentinel existente, incluidas las consultas y las funciones.

La consulta desde un único portal en distintos conjuntos de datos hace que la búsqueda sea más eficaz y elimina la necesidad de cambiar de contexto.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública para la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Cómo acceder a

Permisos y roles necesarios

Para consultar datos de Microsoft Sentinel y Microsoft Defender XDR en la página de búsqueda avanzada unificada, debe tener acceso a Microsoft Defender XDR búsqueda avanzada (consulte Roles y permisos necesarios) y al menos lector de Microsoft Sentinel (consulte Roles específicos de Microsoft Sentinel).

En el portal unificado, puede consultar cualquier dato de cualquier carga de trabajo a la que pueda acceder actualmente en función de los roles y permisos que tenga.

Conexión de un área de trabajo

En Microsoft Defender, puede conectar áreas de trabajo seleccionando Conectar un área de trabajo en el banner superior. Este botón aparece si es apto para incorporar un área de trabajo de Microsoft Sentinel al portal de Microsoft Defender unificado. Siga los pasos descritos en: Incorporación de un área de trabajo.

Después de conectar el área de trabajo de Microsoft Sentinel y Microsoft Defender XDR datos de búsqueda avanzada, puede empezar a consultar datos de Microsoft Sentinel desde la página de búsqueda avanzada. Para obtener información general sobre las características avanzadas de búsqueda, lea Búsqueda proactiva de amenazas con búsqueda avanzada.

Qué esperar para Defender XDR tablas que se transmiten a Microsoft Sentinel

  • Usar tablas con un período de retención de datos más largo en las consultas: la búsqueda avanzada sigue el período máximo de retención de datos configurado para las tablas de Defender XDR (consulte Descripción de las cuotas). Si transmite Defender XDR tablas a Microsoft Sentinel y tiene un período de retención de datos superior a 30 días para dichas tablas, puede consultar durante el período más largo en la búsqueda avanzada.
  • Usar operadores de Kusto que ha usado en Microsoft Sentinel: en general, las consultas de Microsoft Sentinel funcionan en la búsqueda avanzada, incluidas las consultas que usan el adx() operador. Puede haber casos en los que IntelliSense le advierta de que los operadores de la consulta no coinciden con el esquema; sin embargo, todavía puede ejecutar la consulta y debe ejecutarse correctamente.
  • Use la lista desplegable filtro de tiempo en lugar de establecer el intervalo de tiempo en la consulta: si va a filtrar la ingesta de Defender XDR tablas a Sentinel en lugar de transmitir las tablas tal cual, no filtre la hora de la consulta, ya que esto podría generar resultados incompletos. Si establece la hora en la consulta, se usan los datos filtrados por secuencias de Sentinel porque suelen tener el período de retención de datos más largo. Si desea asegurarse de que está consultando todos los datos Defender XDR durante un máximo de 30 días, use la lista desplegable de filtros de tiempo proporcionada en el editor de consultas.
  • Visualización SourceSystem y MachineGroup columnas de Defender XDR datos que se han transmitido desde Microsoft Sentinel: dado que las columnas SourceSystem y MachineGroup se agregan a Defender XDR tablas una vez que se transmiten a Microsoft Sentinel, también aparecen en resultados de búsqueda avanzada en Defender. Sin embargo, permanecen en blanco para Defender XDR tablas que no se transmitieron (tablas que siguen el período de retención de datos predeterminado de 30 días).

Nota:

El uso del portal unificado, donde puede consultar datos de Microsoft Sentinel después de conectar un área de trabajo de Microsoft Sentinel, no significa automáticamente que también pueda consultar Defender XDR datos en Microsoft Sentinel. La ingesta de datos sin procesar de Defender XDR todavía debe configurarse en Microsoft Sentinel para que esto suceda.

Dónde encontrar los datos de Microsoft Sentinel

Puede usar consultas KQL de búsqueda avanzada (Lenguaje de consulta Kusto) para buscar a través de Microsoft Defender XDR y datos de Microsoft Sentinel.

Al abrir la página de búsqueda avanzada por primera vez después de conectar un área de trabajo, puede encontrar muchas de las tablas de ese área de trabajo organizadas por solución después de las tablas de Microsoft Defender XDR en la pestaña Esquema.

Captura de pantalla de la pestaña esquema de búsqueda avanzada en el portal de Microsoft Defender que resalta la ubicación de las tablas de Sentinel

Del mismo modo, puede encontrar las funciones de Microsoft Sentinel en la pestaña Funciones y las consultas compartidas y de ejemplo de Microsoft Sentinel se pueden encontrar en la pestaña Consultas dentro de carpetas marcadas como Sentinel.

Visualización de la información del esquema

Para obtener más información sobre una tabla de esquema, seleccione los puntos suspensivos verticales ( icono kebab ) a la derecha de cualquier nombre de tabla de esquema en la pestaña Esquema y, a continuación, seleccione Ver esquema.

En el portal unificado, además de ver los nombres y descripciones de las columnas de esquema, también puede ver:

  • Datos de ejemplo: seleccione Ver datos de vista previa, que carga una consulta sencilla como TableName | take 5
  • Tipo de esquema : si la tabla admite funcionalidades de consulta completas (tabla avanzada) o no (tabla de registros básicos)
  • Período de retención de datos : cuánto tiempo se establece que se conservarán los datos
  • Etiquetas : disponibles para tablas de datos de Sentinel

Captura de pantalla del panel de información de esquema en el portal de Microsoft Defender

Uso de funciones

Para usar una función de Microsoft Sentinel, vaya a la pestaña Funciones y desplácese hasta que encuentre la función que desee. Haga doble clic en el nombre de la función para insertar la función en el editor de consultas.

También puede seleccionar los puntos suspensivos verticales ( icono kebab ) a la derecha de la función y seleccionar Insertar para consultar para insertar la función en una consulta en el editor de consultas.

Otras opciones disponibles son:

  • Ver detalles : abre el panel lateral de la función que contiene sus detalles
  • Cargar código de función : abre una nueva pestaña que contiene el código de función.

Para las funciones editables, hay más opciones disponibles al seleccionar los puntos suspensivos verticales:

  • Editar detalles : abre el panel lateral de la función para permitirle editar detalles sobre la función (excepto los nombres de carpeta de las funciones de Sentinel)
  • Eliminar : elimina la función

Uso de consultas guardadas

Para usar una consulta guardada de Microsoft Sentinel, vaya a la pestaña Consultas y desplácese hasta que encuentre la consulta que desee. Haga doble clic en el nombre de la consulta para cargar la consulta en el editor de consultas. Para obtener más opciones, seleccione los puntos suspensivos verticales ( icono de kebab ) a la derecha de la consulta. Desde aquí, puede realizar las siguientes acciones:

  • Ejecutar consulta : carga la consulta en el editor de consultas y la ejecuta automáticamente

  • Abrir en el editor de consultas : carga la consulta en el editor de consultas

  • Ver detalles : abre el panel lateral de detalles de la consulta, donde puede inspeccionar la consulta, ejecutarla o abrirla en el editor.

    Captura de pantalla de las opciones disponibles en las consultas guardadas en el portal de Microsoft Defender

En el caso de las consultas editables, hay más opciones disponibles:

  • Editar detalles : abre el panel lateral de detalles de la consulta con la opción de editar los detalles, como la descripción (si procede) y la propia consulta; solo los nombres de carpeta (ubicación) de las consultas de Microsoft Sentinel no se pueden editar
  • Eliminar : elimina la consulta
  • Cambiar nombre : permite modificar el nombre de la consulta

Create reglas de análisis y detección personalizadas

Para ayudar a detectar amenazas y comportamientos anómalo en el entorno, puede crear directivas de detección personalizadas.

Para las reglas de análisis que se aplican a los datos ingeridos a través del área de trabajo de Microsoft Sentinel conectada, seleccione Administrar reglas > Create regla de análisis.

Captura de pantalla de las opciones para crear análisis o detecciones personalizados en el portal de Microsoft Defender

Aparece el Asistente para reglas de Analytics . Rellene los detalles necesarios como se describe en el Asistente para reglas de Análisis: pestaña General.

Para las reglas de detección personalizadas que se aplican a Microsoft Defender XDR datos, seleccione Administrar reglas > Create detección personalizada. Lea Create y administre las reglas de detección personalizadas para obtener más información.

Exploración de resultados

Los resultados de las consultas que se ejecutaron aparecen en la pestaña Resultados . Para exportar los resultados a un archivo CSV, seleccione Exportar.

Captura de pantalla de los resultados de búsqueda avanzada con opciones para expandir las filas de resultados en el portal de Microsoft Defender

También puede explorar los resultados en línea con las siguientes características:

  • Expanda un resultado seleccionando la flecha desplegable situada a la izquierda de cada resultado.
  • Cuando corresponda, expanda los detalles de los resultados que están en formato JSON o matriz; para ello, seleccione la flecha desplegable situada a la izquierda de la fila de resultados aplicable para mejorar la legibilidad.
  • Abra el panel lateral para ver los detalles de un registro (simultáneamente con filas expandidas)

También puede hacer clic con el botón derecho en cualquier valor de resultado de una fila para que pueda usarlo para:

  • Adición de más filtros a la consulta existente
  • Copia del valor para su uso en una investigación posterior
  • Actualización de la consulta para ampliar un campo JSON a una nueva columna

Para Microsoft Defender XDR datos, puede realizar más acciones seleccionando las casillas situadas a la izquierda de cada fila de resultados. Seleccione Vincular al incidente para vincular los resultados seleccionados a un incidente (lea Vincular los resultados de la consulta a un incidente) o Realizar acciones para abrir el Asistente para realizar acciones (lea Acción en los resultados avanzados de la consulta de búsqueda).

Problemas conocidos

  • El IdentityInfo table elemento de Microsoft Sentinel no está disponible, ya que la IdentityInfo tabla permanece como está en Defender XDR. Las características de Microsoft Sentinel, como las reglas de análisis que consultan esta tabla, no se ven afectadas, ya que consultan directamente el área de trabajo de Log Analytics.
  • La tabla de Microsoft Sentinel SecurityAlert se reemplaza por AlertInfo y AlertEvidence las tablas, que contienen todos los datos de las alertas. Aunque SecurityAlert no está disponible en la pestaña esquema, todavía puede usarlo en consultas mediante el editor de búsqueda avanzada. Esta aprovisionamiento se realiza para no interrumpir las consultas existentes de Microsoft Sentinel que usan esta tabla.
  • El modo de búsqueda guiada solo se admite para Defender XDR datos.
  • Las detecciones personalizadas, los vínculos a incidentes y las funcionalidades de acciones se admiten solo para Defender XDR datos.
  • Los marcadores no se admiten en la experiencia de búsqueda avanzada. Se admiten en la característica de búsqueda de administración de amenazas de > Microsoft Sentinel>.
  • Si va a transmitir Defender XDR tablas a Log Analytics, puede haber una diferencia entre lasTimestamp columnas y TimeGenerated . En caso de que los datos lleguen a Log Analytics después de 48 horas, se invalidan tras la ingesta now()en . Por lo tanto, para obtener la hora real en que se produjo el evento, se recomienda confiar en la Timestamp columna .
  • Microsoft Graph API para ejecutar una consulta de búsqueda avanzada aún no admite la consulta de datos de Microsoft Sentinel.