Búsqueda proactiva de amenazas con la búsqueda avanzada de Microsoft 365 Defender

Nota:

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a:

  • Microsoft 365 Defender

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite la búsqueda sin restricciones de amenazas conocidas y potenciales.

La búsqueda avanzada admite dos modos, guiados y avanzados. Use el modo guiado si aún no está familiarizado con Lenguaje de consulta Kusto (KQL) o prefiere la comodidad de un generador de consultas. Use el modo avanzado si está cómodo con KQL para crear consultas desde cero.

Para empezar a buscar, lea Elegir entre modos guiados y avanzados para cazar en Microsoft 365 Defender.

Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, a continuación, responder a sospechas de actividad de infracción, máquinas mal configuradas y otros hallazgos.

La búsqueda avanzada admite consultas que comprueban un conjunto de datos más amplio procedente de:

  • Microsoft Defender para punto de conexión
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Para usar la búsqueda avanzada, active Microsoft 365 Defender.

Para obtener más información sobre la búsqueda avanzada en Microsoft Defender for Cloud Apps datos, vea el vídeo.

Obtener acceso

Para usar la búsqueda avanzada u otras funcionalidades de Microsoft 365 Defender, necesita un rol adecuado en Azure Active Directory. Obtenga información sobre los roles y permisos necesarios para la búsqueda avanzada.

Además, el acceso a los datos de punto de conexión viene determinado por la configuración del control de acceso basado en rol (RBAC) en Microsoft Defender para punto de conexión. Obtenga información sobre cómo administrar el acceso a Microsoft 365 Defender.

Actualización de datos y frecuencia de actualización

Los datos de búsqueda avanzada se pueden clasificar en dos tipos distintos, cada uno consolidado de forma diferente.

  • Datos de eventos o de actividad: rellena tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a los servicios en la nube correspondientes. Por ejemplo, puede consultar datos de eventos de sensores en buen estado en estaciones de trabajo o controladores de dominio casi inmediatamente después de que estén disponibles en Microsoft Defender para punto de conexión y Microsoft Defender for Identity.
  • Datos de entidad: rellena tablas con información sobre usuarios y dispositivos. Estos datos proceden tanto de orígenes de datos relativamente estáticos como de orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos nuevos, las tablas se actualizan con cualquier información nueva cada 15 minutos, agregando filas que podrían no estar completamente rellenadas. Cada 24 horas, los datos se consolidan para insertar un registro que contiene el conjunto de datos más reciente y completo sobre cada entidad.

Zona horaria

Consultas

Los datos de búsqueda avanzados usan la zona horaria UTC (coordenadas horarias universales). Captura de pantalla del intervalo de tiempo personalizado.

Las consultas deben crearse en UTC.

Resultados

Los resultados de búsqueda avanzados se convierten en la zona horaria establecida en Microsoft 365 Defender.