Compartir vía

Trabajar con resultados de consulta de búsqueda avanzada

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Aunque puede crear consultas de búsqueda avanzadas para devolver información precisa, también puede trabajar con los resultados de la consulta para obtener más información e investigar actividades e indicadores específicos. Puede realizar las siguientes acciones en los resultados de la consulta:

  • Visualización de resultados como tabla o gráfico
  • Exportar tablas y gráficos
  • Explorar en profundidad la información detallada de la entidad
  • Ajustar las consultas directamente desde los resultados

Visualización de los resultados de la consulta como tabla o gráfico

De forma predeterminada, la búsqueda avanzada muestra los resultados de la consulta como datos tabulares. También puede mostrar los mismos datos que un gráfico. La búsqueda avanzada admite las siguientes vistas:

Tipo de vista Descripción
Tabla Muestra los resultados de la consulta en formato tabular
Gráfico de columnas Representa una serie de elementos únicos en el eje X como barras verticales cuyos altos representan valores numéricos de otro campo.
Gráfico circular Representa los pasteles seccionales que representan elementos únicos. El tamaño de cada gráfico circular representa valores numéricos de otro campo.
Gráfico de líneas Traza valores numéricos para una serie de elementos únicos y conecta los valores trazados
Gráfico de dispersión Traza valores numéricos para una serie de elementos únicos
Gráfico de áreas Traza valores numéricos para una serie de elementos únicos y rellena las secciones debajo de los valores trazados.
Gráfico de áreas apiladas Traza valores numéricos para una serie de elementos únicos y apila las secciones rellenas debajo de los valores trazados.
Gráfico de tiempo Traza valores por recuento en una escala de tiempo lineal

Construcción de consultas para gráficos efectivos

Al representar gráficos, la búsqueda avanzada identifica automáticamente las columnas de interés y los valores numéricos que se van a agregar. Para obtener gráficos significativos, construya las consultas para devolver los valores específicos que desea ver visualizados. Estas son algunas consultas de ejemplo y los gráficos resultantes.

Alertas por gravedad

Use el summarize operador para obtener un recuento numérico de los valores que desea trazar. En la consulta siguiente se usa el summarize operador para obtener el número de alertas por gravedad.

AlertInfo
| summarize Total = count() by Severity

Al representar los resultados, un gráfico de columnas muestra cada valor de gravedad como una columna independiente:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Ejemplo de un gráfico que muestra los resultados de búsqueda avanzada en el portal de Microsoft Defender

Correos electrónicos de suplantación de identidad en los diez dominios de remitente principales

Si trabaja con una lista de valores que no son finitos, puede usar el Top operador para trazar solo los valores con la mayoría de las instancias. Por ejemplo, para obtener los 10 dominios de remitente principales con la mayoría de los correos electrónicos de phishing, use la consulta siguiente:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Use la vista de gráfico circular para mostrar de forma eficaz la distribución entre los dominios principales:

Gráfico circular que muestra los resultados de búsqueda avanzada en el portal de Microsoft Defender

Actividades de archivo a lo largo del tiempo

Con el summarize operador con la bin() función , puede comprobar si hay eventos que impliquen un indicador determinado a lo largo del tiempo. La consulta siguiente cuenta los eventos que implican el archivo invoice.doc a intervalos de 30 minutos para mostrar picos de actividad relacionados con ese archivo:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

El gráfico de líneas siguiente resalta claramente los períodos de tiempo con más actividad relacionada con invoice.doc:

Gráfico de líneas que muestra los resultados de búsqueda avanzada en el portal de Microsoft Defender

Exportar tablas y gráficos

Después de ejecutar una consulta, seleccione Exportar para guardar los resultados en el archivo local. La vista elegida determina cómo se exportan los resultados:

  • Vista de tabla: los resultados de la consulta se exportan en formato tabular como un libro de Microsoft Excel
  • Cualquier gráfico: los resultados de la consulta se exportan como una imagen JPEG del gráfico representado.

Resultados del filtro

Después de ejecutar una consulta, seleccione Filtrar para restringir los resultados.

Captura de pantalla de los filtros en la búsqueda avanzada.

Para agregar un filtro, active una o varias de las casillas para seleccionar los datos que desea filtrar. A continuación, seleccione Aceptar.

Captura de pantalla de la lista desplegable de filtros en la búsqueda avanzada.

Para reducir aún más los resultados a datos específicos, seleccione el filtro recién agregado.

Captura de pantalla de la nueva píldora de filtro en la búsqueda avanzada.

Se abre una lista desplegable que muestra los posibles filtros que puede usar más. Seleccione una o varias de las casillas y, a continuación, seleccione Aplicar.

Captura de pantalla de la lista desplegable del nuevo filtro en la búsqueda avanzada.

Confirme que ha agregado los filtros que quería comprobando la sección Filtros.

Captura de pantalla de los filtros agregados de búsqueda avanzada.

Obtención de detalles de los resultados de la consulta

También puede explorar los resultados en línea con las siguientes características:

  • Expanda un resultado seleccionando la flecha desplegable situada a la izquierda de cada resultado.
  • Cuando corresponda, expanda los detalles de los resultados que están en formato JSON y matriz; para ello, seleccione la flecha desplegable situada a la izquierda de los nombres de columna aplicables para mejorar la legibilidad.
  • Abra el panel lateral para ver los detalles de un registro (simultáneamente con filas expandidas)

Captura de pantalla de la expansión de los resultados para explorar en profundidad

También puede hacer clic con el botón derecho en cualquier valor de resultado de una fila para que pueda usarlo para agregar más filtros a la consulta existente o copiar el valor para usarlo en una investigación posterior.

Captura de pantalla de las opciones al hacer clic con el botón derecho en una opción

Además, para los campos JSON y de matriz, puede hacer clic con el botón derecho y actualizar la consulta existente para incluir o excluir el campo, o para ampliar el campo a una nueva columna.

Captura de pantalla de las opciones al hacer clic con el botón derecho en una opción para los campos JSON y matriz

Para inspeccionar rápidamente un registro en los resultados de la consulta, seleccione la fila correspondiente para abrir el panel Inspeccionar registro . El panel proporciona la siguiente información en función del registro seleccionado:

  • Activos: vista resumida de los principales recursos (buzones, dispositivos y usuarios) que se encuentran en el registro, enriquecidos con información disponible, como los niveles de riesgo y exposición.
  • Todos los detalles: todos los valores de las columnas del registro

Registro seleccionado con panel para inspeccionar el registro en el portal de Microsoft Defender

Para ver más información sobre una entidad específica en los resultados de la consulta, como una máquina, un archivo, un usuario, una dirección IP o una dirección URL, seleccione el identificador de entidad para abrir una página de perfil detallada para esa entidad.

Modificar las consultas de los resultados

Seleccione los tres puntos situados a la derecha de cualquier columna en el panel Inspeccionar registro . Puede usar las opciones para:

  • Buscar explícitamente el valor seleccionado (==)
  • Excluir el valor seleccionado de la consulta (!=)
  • Obtenga operadores más avanzados para agregar el valor a la consulta, como contains, starts withy . ends with

El panel Tipo de acción de la página Inspeccionar registro del portal de Microsoft Defender

Nota:

Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR siguiendo los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.