Compartir a través de

Búsqueda de eventos específicos en grandes conjuntos de datos en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Use un trabajo de búsqueda al iniciar una investigación para examinar hasta un año de datos en una tabla para eventos específicos. Puede ejecutar un trabajo de búsqueda en cualquier tabla, incluidas las tablas con los planes de registro Análisis, Básico y Auxiliar. El trabajo de búsqueda envía sus resultados a una nueva tabla de Analytics en la misma área de trabajo que los datos de origen.

En este artículo se explica cómo ejecutar un trabajo de búsqueda en Microsoft Sentinel y cómo trabajar con los resultados del trabajo de búsqueda.

Los trabajos de búsqueda en determinados conjuntos de datos pueden conllevar gastos adicionales. Para obtener más información, consulte la página de precios de Microsoft Sentinel.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Inicio de un trabajo de búsqueda

Vaya a Buscar en Microsoft Sentinel desde Azure Portal o en el portal de Microsoft Defender para especificar los criterios de búsqueda. Según el tamaño del conjunto de datos de destino, los tiempos de búsqueda varían. Aunque la mayoría de los trabajos de búsqueda tardan unos minutos en completarse, también se admiten búsquedas en conjuntos de datos masivos que se ejecutan hasta 24 horas.

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Búsqueda. Para Microsoft Sentinel en Azure Portal, en General, seleccione Buscar.

  2. Seleccione el menú Tabla y elija una tabla para la búsqueda.

  3. En el cuadro Buscar , escriba un término de búsqueda.

  4. Seleccione el inicio para abrir el editor avanzado del lenguaje de consulta kusto (KQL) y obtener una vista previa de los resultados para un intervalo de tiempo establecido.

  5. Cambie la consulta KQL según sea necesario y seleccione Ejecutar para obtener una vista previa actualizada de los resultados de la búsqueda.

    Captura de pantalla del editor de KQL con la búsqueda revisada.

  6. Cuando esté satisfecho con la consulta y la vista previa de los resultados de la búsqueda, seleccione los puntos suspensivos ... y active el modo de búsqueda de empleo.

    Captura de pantalla del editor de KQL con la búsqueda revisada con puntos suspensivos resaltados para el modo de trabajo de búsqueda.

  7. Especifique el intervalo de fechas del trabajo de búsqueda mediante el selector intervalo de tiempo . Si la consulta también especifica un intervalo de tiempo, Microsoft Sentinel ejecuta el trabajo de búsqueda en la unión de los intervalos de tiempo.

  8. Resuelva cualquier problema KQL indicado por una línea roja en el editor.

  9. Cuando esté listo para iniciar el trabajo de búsqueda, seleccione Buscar trabajo.

  10. Introduzca un nuevo nombre de tabla para almacenar los resultados de la búsqueda´de trabajo.

  11. Seleccione Ejecutar un trabajo de búsqueda.

  12. Espere a la notificación la búsqueda ha terminado para ver los resultados.

Visualización de los resultados del trabajo de búsqueda

Para ver el estado y los resultados del trabajo de búsqueda, vaya a la pestaña Búsquedas guardadas .

  1. En Microsoft Sentinel, seleccione Buscar>búsquedas guardadas.

  2. En la tarjeta de búsqueda, seleccione Ver resultados de búsqueda.

    Captura de pantalla que muestra el vínculo para ver los resultados de búsqueda en la parte inferior de la tarjeta de trabajo de búsqueda.

    De forma predeterminada, podrá ver todos los resultados que coinciden con los criterios de búsqueda originales.

  3. Para refinar la lista de resultados devueltos desde la tabla de búsqueda, seleccione Agregar filtro.

  4. A medida que revise los resultados del trabajo de búsqueda, seleccione Agregar marcador o seleccione el icono de marcador para conservar una fila. Agregar un marcador le permite etiquetar eventos, agregar notas y adjuntar esos eventos a un incidente para una referencia posterior.

    Captura de pantalla que muestra los resultados de búsqueda de empleo con un marcador que se está añadiendo.

  5. Seleccione el botón Columnas y active la casilla situada junto a las columnas que desea agregar a la vista de resultados.

  6. Agregue el filtro Bookmarked para mostrar solo las entradas conservadas.

  7. Seleccione Ver todos los marcadores para ir a la página Búsqueda , donde puede agregar un marcador a un incidente existente.

Pasos siguientes

Para más información, consulte los siguientes artículos.