Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La búsqueda de amenazas suele conllevar revisar una infinidad de datos de registro en busca de pruebas que evidencien comportamientos malintencionados. Durante este proceso, los investigadores dan con eventos que quieren recordar, volver a ver y analizar como parte de la validación de posibles hipótesis y para entender la historia completa de un riesgo.

Los marcadores de búsqueda de Microsoft Sentinel le ayudan a conservar las consultas que ejecutó en Microsoft Sentinel - Registros, junto con los resultados de la consulta que considere pertinentes. También puede registrar las observaciones realizadas dentro de un contexto y hacer referencia a sus hallazgos agregando notas y etiquetas. Los datos marcados están visibles tanto para usted como para sus compañeros de equipo para, así, colaborar de forma más sencilla.

Ahora puede identificar y solucionar brechas en la cobertura de la técnica MITRE ATT&CK en todas las consultas de búsqueda, mediante la asignación de consultas de búsqueda personalizadas a técnicas de MITRE ATT&CK.

Investigue más tipos de entidades mientras busca con marcadores mediante la asignación del conjunto completo de tipos de entidad e identificadores admitidos por Microsoft Sentinel Analytics en las consultas personalizadas. Use marcadores para explorar las entidades devueltas en los resultados de la consulta de búsqueda mediante páginas de entidades, incidentes y el gráfico de investigación. Si un marcador captura los resultados de una consulta de búsqueda, hereda automáticamente la técnica MITRE ATT&CK de la consulta y las asignaciones de entidades.

Si encuentra algo que deba abordarse con urgencia mientras busca en los registros, puede crear fácilmente un marcador y promoverlo a un incidente o agregarlo a un incidente existente. Para obtener más información sobre los incidentes, consulte Investigación de incidentes con Microsoft Sentinel.

Si ha encontrado algo que merece la pena marcar, pero no es urgente, puede crear un marcador y, a continuación, volver a visitar los datos marcados en cualquier momento en la pestaña Marcadores del panel Búsqueda. Puede usar opciones de filtrado y de búsqueda para encontrar rápidamente datos concretos de la investigación actual.

Puede ver los datos marcados seleccionando Investigar en los detalles del marcador. Esto inicia la experiencia de investigación, en la que puede ver, investigar y comunicar visualmente sus hallazgos con un diagrama gráfico de entidades y una escala de tiempo interactivos.

Si lo desea, también puede ver los datos marcados directamente en la tabla HuntingBookmark del área de trabajo de Log Analytics. Por ejemplo:

Captura de pantalla de la visualización de la tabla de marcadores de búsqueda.

La visualización de los marcadores de la table le permite filtrar, resumir y combinar los datos marcados con otros orígenes de datos, lo que facilita la búsqueda de pruebas definitivas.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Agregar un marcador

Cree un marcador para conservar las consultas, los resultados, las observaciones y los resultados.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione una de las consultas de búsqueda.

  3. En los detalles de la consulta de búsqueda, seleccione Ejecutar consulta.

  4. Seleccione View query results (Ver resultados de la consulta). Por ejemplo:

    Captura de pantalla de la visualización de los resultados de la consulta de búsqueda de Microsoft Sentinel.

    Esta acción abre los resultados de la consulta en el panel Registros.

  5. En la lista de resultados de la consulta de registro, use las casillas para seleccionar una o más filas que contengan la información que le interese.

  6. Seleccione Agregar marcador:

    Captura de pantalla de la adición de un marcador de búsqueda a la consulta.

  7. A la derecha, en el panel Agregar marcador, puede actualizar el nombre del marcador y agregar etiquetas y notas que le ayuden a identificar el interés que tiene el elemento.

  8. Los marcadores se pueden asignar opcionalmente a técnicas o sub-técnicas de MITRE ATT&CK. Las asignaciones de MITRE ATT&CK se heredan de los valores asignados en las consultas de búsqueda, pero también puede crearlas manualmente. Seleccione la táctica MITRE ATT&CK asociada a la técnica deseada en el menú desplegable de la sección Tácticas y técnicas del panel Agregar marcador. El menú se expande para mostrar todas las técnicas de MITRE ATT&CK, y puede seleccionar varias técnicas y sub-técnicas en este menú.

    Captura de pantalla de cómo asignar tácticas y técnicas de Mitre Attack a los marcadores.

  9. Ahora se puede extraer un conjunto ampliado de entidades de los resultados de consultas marcadas para realizar una investigación más profunda. En la sección Asignación de entidades, use los menús desplegables para seleccionar los identificadores y tipos de entidades. A continuación, asigne la columna en los resultados de la consulta que contiene el identificador correspondiente. Por ejemplo:

    Captura de pantalla para asignar tipos de entidad a los marcadores de búsqueda.

    Para ver el marcador en el gráfico de investigación, debe asignar al menos una entidad. Se admiten las asignaciones de entidades a los tipos de entidad de cuenta, host, IP y dirección URL que ha creado, lo que conserva la compatibilidad con versiones anteriores.

  10. Seleccione Guardar para confirmar los cambios y agregar el marcador. Todos los datos marcados se comparten con otros analistas, y es un primer paso hacia una experiencia de investigación colaborativa.

Los resultados de la consulta de registro admiten marcadores cada vez que se abre este panel desde Microsoft Sentinel. Por ejemplo, seleccione General>Registros en la barra de navegación, seleccione vínculos de eventos en el grafo de investigación o seleccione un identificador de alerta en los detalles completos de un incidente. No se pueden crear marcadores si el panel Registros se abre desde otras ubicaciones como, por ejemplo, directamente desde Azure Monitor.

Ver y actualizar marcadores

Busque y actualice un marcador desde la pestaña marcador.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Marcadores para ver la lista de marcadores.

  3. Busque o filtre para buscar un marcador o marcadores específicos.

  4. Seleccione marcadores individuales para ver los detalles del marcador en el panel derecho.

  5. Realice los cambios según sea necesario. Los cambios se guardan automáticamente.

Exploración de marcadores en el gráfico de investigación

Visualice los datos marcados iniciando la experiencia de investigación en la que puede ver, investigar y comunicar visualmente los resultados mediante un diagrama interactivo de gráfico de entidades y una escala de tiempo.

  1. En la pestaña Marcadores, seleccione el marcador o los marcadores que desea investigar.

  2. En los detalles del marcador, asegúrese de que al menos una entidad está asignada.

  3. Haga clic en Investigar para ver el marcador en el gráfico de investigación.

Para obtener instrucciones sobre cómo usar el gráfico de investigación, consulte Use the investigation graph to deep dive (Uso del gráfico de investigación para un análisis a fondo).

Agregar marcadores a un incidente nuevo o a otro ya existente

Agregue marcadores a un incidente desde la pestaña marcadores de la página Búsqueda.

  1. En la pestaña Marcadores, seleccione el marcador o los marcadores que desea agregar a un incidente.

  2. Seleccione Acciones de incidente en la barra de comandos:

    Captura de pantalla de la adición de marcadores al incidente.

  3. Seleccione Crear incidente nuevo o Agregar a incidente existente, según sea necesario. A continuación:

    • Para un nuevo incidente: Opcionalmente, actualice los detalles del incidente y, a continuación, seleccione Crear.
    • Para agregar un marcador a un incidente existente: Seleccione un incidente y, a continuación, seleccione Agregar.

Como alternativa a la opción Acciones de incidente de la barra de comandos, puede usar el menú contextual ( ... ) para uno o varios marcadores y seleccionar las opciones para Crear incidente, Agregar a incidente existente y Quitar del incidente.

Para ver el marcador del incidente, vaya a Microsoft Sentinel>Administración de amenazas>Incidentes y seleccione el incidente con su marcador. Seleccione Ver detalles completos y, a continuación, seleccione la pestaña Marcadores.

Ver datos marcados en registros

Vea las consultas, los resultados o su historial de marcados.

  1. Seleccione el marcador en la pestaña Búsqueda>Marcadores.

  2. Seleccione los vínculos proporcionados en el panel de detalles:

    • Seleccione Ver consulta de origen para ver la consulta de origen en el panel Registros.

    • Haga clic en View bookmark logs (Ver registros de marcador) para ver todos los metadatos de marcadores, como quién realizó la actualización, los valores actualizados y la hora en que se produjo la actualización.

  3. Para ver los datos de marcador sin procesar de todos los marcadores, seleccione Registros de marcadores en la barra de comandos de la pestaña Búsqueda>Marcadores:

    Captura de pantalla del comando de registros de marcadores.

Esta vista muestra todos los marcadores con los metadatos asociados. Puede usar consultas del Lenguaje de consulta Kusto (KQL) para filtrar a la versión más reciente del marcador específico que busca.

Puede haber un retraso significativo (medido en minutos) entre el tiempo que cree un marcador y cuando se muestre en la pestaña Marcadores.

Eliminar un marcador

Al eliminar el marcador, este se quita de la lista de la pestaña Bookmarks (Marcadores). La tabla HuntingBookmark del área de trabajo de Log Analytics seguirá conteniendo entradas de marcador anteriores, pero la entrada más reciente cambia el valor de SoftDelete a true, lo que facilita filtrar los marcadores antiguos. La eliminación de un marcador no quita ninguna entidad de la experiencia de investigación asociada a otros marcadores o alertas.

Para eliminar un marcador, complete los pasos siguientes.

  1. En la pestaña Búsqueda>Marcadores, seleccione el marcador o los marcadores que desea eliminar.

  2. Haga clic con el botón derecho y seleccione la opción para eliminar los marcadores seleccionados.

Contenido relacionado

En este artículo, ha aprendido a ejecutar una investigación de búsqueda usando marcadores en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: