Búsqueda avanzada de amenazas en el portal de Microsoft Defender
La búsqueda avanzada en el portal unificado permite ver y consultar todos los datos de Microsoft Defender XDR. Esto incluye datos de varios servicios de seguridad de Microsoft y Microsoft Sentinel, que incluyen datos de productos que no son de Microsoft, en una sola plataforma. También puede acceder y usar todo el contenido del área de trabajo de Microsoft Sentinel existente, incluidas las consultas y las funciones.
La consulta desde un único portal en distintos conjuntos de datos hace que la búsqueda sea más eficaz y elimina la necesidad de cambiar de contexto.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública para la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Cómo acceder a
Permisos y roles necesarios
Para consultar datos de Microsoft Sentinel y Microsoft Defender XDR en la página de búsqueda avanzada unificada, debe tener acceso a Microsoft Defender XDR búsqueda avanzada (consulte Roles y permisos necesarios) y al menos lector de Microsoft Sentinel (consulte Roles específicos de Microsoft Sentinel).
En el portal unificado, puede consultar cualquier dato de cualquier carga de trabajo a la que pueda acceder actualmente en función de los roles y permisos que tenga.
Conexión de un área de trabajo
En Microsoft Defender, puede conectar áreas de trabajo seleccionando Conectar un área de trabajo en el banner superior. Este botón aparece si es apto para incorporar un área de trabajo de Microsoft Sentinel al portal de Microsoft Defender unificado. Siga los pasos descritos en: Incorporación de un área de trabajo.
Después de conectar el área de trabajo de Microsoft Sentinel y Microsoft Defender XDR datos de búsqueda avanzada, puede empezar a consultar datos de Microsoft Sentinel desde la página de búsqueda avanzada. Para obtener información general sobre las características avanzadas de búsqueda, lea Búsqueda proactiva de amenazas con búsqueda avanzada.
Qué esperar para Defender XDR tablas que se transmiten a Microsoft Sentinel
- Usar tablas con un período de retención de datos más largo en las consultas: la búsqueda avanzada sigue el período máximo de retención de datos configurado para las tablas de Defender XDR (consulte Descripción de las cuotas). Si transmite Defender XDR tablas a Microsoft Sentinel y tiene un período de retención de datos superior a 30 días para dichas tablas, puede consultar durante el período más largo en la búsqueda avanzada.
- Usar operadores de Kusto que ha usado en Microsoft Sentinel: en general, las consultas de Microsoft Sentinel funcionan en la búsqueda avanzada, incluidas las consultas que usan el
adx()
operador. Puede haber casos en los que IntelliSense le advierta de que los operadores de la consulta no coinciden con el esquema; sin embargo, todavía puede ejecutar la consulta y debe ejecutarse correctamente. - Use la lista desplegable filtro de tiempo en lugar de establecer el intervalo de tiempo en la consulta: si va a filtrar la ingesta de Defender XDR tablas a Sentinel en lugar de transmitir las tablas tal cual, no filtre la hora de la consulta, ya que esto podría generar resultados incompletos. Si establece la hora en la consulta, se usan los datos filtrados por secuencias de Sentinel porque suelen tener el período de retención de datos más largo. Si desea asegurarse de que está consultando todos los datos Defender XDR durante un máximo de 30 días, use la lista desplegable de filtros de tiempo proporcionada en el editor de consultas.
- Visualización
SourceSystem
yMachineGroup
columnas de Defender XDR datos que se han transmitido desde Microsoft Sentinel: dado que las columnasSourceSystem
yMachineGroup
se agregan a Defender XDR tablas una vez que se transmiten a Microsoft Sentinel, también aparecen en resultados de búsqueda avanzada en Defender. Sin embargo, permanecen en blanco para Defender XDR tablas que no se transmitieron (tablas que siguen el período de retención de datos predeterminado de 30 días).
Nota:
El uso del portal unificado, donde puede consultar datos de Microsoft Sentinel después de conectar un área de trabajo de Microsoft Sentinel, no significa automáticamente que también pueda consultar Defender XDR datos en Microsoft Sentinel. La ingesta de datos sin procesar de Defender XDR todavía debe configurarse en Microsoft Sentinel para que esto suceda.
Dónde encontrar los datos de Microsoft Sentinel
Puede usar consultas KQL de búsqueda avanzada (Lenguaje de consulta Kusto) para buscar a través de Microsoft Defender XDR y datos de Microsoft Sentinel.
Al abrir la página de búsqueda avanzada por primera vez después de conectar un área de trabajo, puede encontrar muchas de las tablas de ese área de trabajo organizadas por solución después de las tablas de Microsoft Defender XDR en la pestaña Esquema.
Del mismo modo, puede encontrar las funciones de Microsoft Sentinel en la pestaña Funciones y las consultas compartidas y de ejemplo de Microsoft Sentinel se pueden encontrar en la pestaña Consultas dentro de carpetas marcadas como Sentinel.
Visualización de la información del esquema
Para obtener más información sobre una tabla de esquema, seleccione los puntos suspensivos verticales ( ) a la derecha de cualquier nombre de tabla de esquema en la pestaña Esquema y, a continuación, seleccione Ver esquema.
En el portal unificado, además de ver los nombres y descripciones de las columnas de esquema, también puede ver:
- Datos de ejemplo: seleccione Ver datos de vista previa, que carga una consulta sencilla como
TableName | take 5
- Tipo de esquema : si la tabla admite funcionalidades de consulta completas (tabla avanzada) o no (tabla de registros básicos)
- Período de retención de datos : cuánto tiempo se establece que se conservarán los datos
- Etiquetas : disponibles para tablas de datos de Sentinel
Uso de funciones
Para usar una función de Microsoft Sentinel, vaya a la pestaña Funciones y desplácese hasta que encuentre la función que desee. Haga doble clic en el nombre de la función para insertar la función en el editor de consultas.
También puede seleccionar los puntos suspensivos verticales ( ) a la derecha de la función y seleccionar Insertar para consultar para insertar la función en una consulta en el editor de consultas.
Otras opciones disponibles son:
- Ver detalles : abre el panel lateral de la función que contiene sus detalles
- Cargar código de función : abre una nueva pestaña que contiene el código de función.
Para las funciones editables, hay más opciones disponibles al seleccionar los puntos suspensivos verticales:
- Editar detalles : abre el panel lateral de la función para permitirle editar detalles sobre la función (excepto los nombres de carpeta de las funciones de Sentinel)
- Eliminar : elimina la función
Uso de consultas guardadas
Para usar una consulta guardada de Microsoft Sentinel, vaya a la pestaña Consultas y desplácese hasta que encuentre la consulta que desee. Haga doble clic en el nombre de la consulta para cargar la consulta en el editor de consultas. Para obtener más opciones, seleccione los puntos suspensivos verticales ( ) a la derecha de la consulta. Desde aquí, puede realizar las siguientes acciones:
Ejecutar consulta : carga la consulta en el editor de consultas y la ejecuta automáticamente
Abrir en el editor de consultas : carga la consulta en el editor de consultas
Ver detalles : abre el panel lateral de detalles de la consulta, donde puede inspeccionar la consulta, ejecutarla o abrirla en el editor.
En el caso de las consultas editables, hay más opciones disponibles:
- Editar detalles : abre el panel lateral de detalles de la consulta con la opción de editar los detalles, como la descripción (si procede) y la propia consulta; solo los nombres de carpeta (ubicación) de las consultas de Microsoft Sentinel no se pueden editar
- Eliminar : elimina la consulta
- Cambiar nombre : permite modificar el nombre de la consulta
Create reglas de análisis y detección personalizadas
Para ayudar a detectar amenazas y comportamientos anómalo en el entorno, puede crear directivas de detección personalizadas.
Para las reglas de análisis que se aplican a los datos ingeridos a través del área de trabajo de Microsoft Sentinel conectada, seleccione Administrar reglas > Create regla de análisis.
Aparece el Asistente para reglas de Analytics . Rellene los detalles necesarios como se describe en el Asistente para reglas de Análisis: pestaña General.
Para las reglas de detección personalizadas que se aplican a Microsoft Defender XDR datos, seleccione Administrar reglas > Create detección personalizada. Lea Create y administre las reglas de detección personalizadas para obtener más información.
Exploración de resultados
Los resultados de las consultas que se ejecutaron aparecen en la pestaña Resultados . Para exportar los resultados a un archivo CSV, seleccione Exportar.
También puede explorar los resultados en línea con las siguientes características:
- Expanda un resultado seleccionando la flecha desplegable situada a la izquierda de cada resultado.
- Cuando corresponda, expanda los detalles de los resultados que están en formato JSON o matriz; para ello, seleccione la flecha desplegable situada a la izquierda de la fila de resultados aplicable para mejorar la legibilidad.
- Abra el panel lateral para ver los detalles de un registro (simultáneamente con filas expandidas)
También puede hacer clic con el botón derecho en cualquier valor de resultado de una fila para que pueda usarlo para:
- Adición de más filtros a la consulta existente
- Copia del valor para su uso en una investigación posterior
- Actualización de la consulta para ampliar un campo JSON a una nueva columna
Para Microsoft Defender XDR datos, puede realizar más acciones seleccionando las casillas situadas a la izquierda de cada fila de resultados. Seleccione Vincular al incidente para vincular los resultados seleccionados a un incidente (lea Vincular los resultados de la consulta a un incidente) o Realizar acciones para abrir el Asistente para realizar acciones (lea Acción en los resultados avanzados de la consulta de búsqueda).
Problemas conocidos
- El
IdentityInfo table
elemento de Microsoft Sentinel no está disponible, ya que laIdentityInfo
tabla permanece como está en Defender XDR. Las características de Microsoft Sentinel, como las reglas de análisis que consultan esta tabla, no se ven afectadas, ya que consultan directamente el área de trabajo de Log Analytics. - La tabla de Microsoft Sentinel
SecurityAlert
se reemplaza porAlertInfo
yAlertEvidence
las tablas, que contienen todos los datos de las alertas. Aunque SecurityAlert no está disponible en la pestaña esquema, todavía puede usarlo en consultas mediante el editor de búsqueda avanzada. Esta aprovisionamiento se realiza para no interrumpir las consultas existentes de Microsoft Sentinel que usan esta tabla. - El modo de búsqueda guiada solo se admite para Defender XDR datos.
- Las detecciones personalizadas, los vínculos a incidentes y las funcionalidades de acciones se admiten solo para Defender XDR datos.
- Los marcadores no se admiten en la experiencia de búsqueda avanzada. Se admiten en la característica de búsqueda de administración de amenazas de > Microsoft Sentinel>.
- Si va a transmitir Defender XDR tablas a Log Analytics, puede haber una diferencia entre las
Timestamp
columnas yTimeGenerated
. En caso de que los datos lleguen a Log Analytics después de 48 horas, se invalidan tras la ingestanow()
en . Por lo tanto, para obtener la hora real en que se produjo el evento, se recomienda confiar en laTimestamp
columna . - Microsoft Graph API para ejecutar una consulta de búsqueda avanzada aún no admite la consulta de datos de Microsoft Sentinel.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de