Compartir a través de


Obtención de formación de expertos sobre la búsqueda avanzada

Se aplica a:

  • Microsoft Defender XDR

Aumente su conocimiento de la caza avanzada rápidamente con Tracking the adversary, una serie de webcast para nuevos analistas de seguridad y cazadores de amenazas experimentados. La serie le guía por los conceptos básicos hasta crear sus propias consultas sofisticadas. Comience con el primer vídeo sobre aspectos básicos o vaya a vídeos más avanzados que se adapten a su nivel de experiencia.

Título Descripción Reloj Consultas
Episodio 1: Aspectos básicos de KQL Este episodio trata los conceptos básicos de la caza avanzada en Microsoft Defender XDR. Obtenga información sobre los datos de búsqueda avanzados disponibles y los operadores y sintaxis básicos de KQL. YouTube (54:14) Archivo de texto
Episodio 2: Combinaciones Siga aprendiendo sobre los datos de búsqueda avanzada y cómo combinar tablas. Obtenga información sobre innerlas combinaciones , outer, uniquey semi y comprenda los matices de la combinación de Kusto innerunique predeterminada. YouTube (53:33) Archivo de texto
Episodio 3: Resumen, dinamización y visualización de datos Ahora que ha aprendido a filtrar, manipular y combinar datos, es el momento de resumir, cuantificar, dinamizar y visualizar. En este episodio se describe el summarize operador y varios cálculos, al tiempo que se presentan tablas adicionales en el esquema. También aprenderá a convertir conjuntos de datos en gráficos que pueden ayudarle a extraer información. YouTube (48:52) Archivo de texto
Episodio 4: ¡Vamos a cazar! Aplicación de KQL al seguimiento de incidentes En este episodio, aprenderás a realizar un seguimiento de alguna actividad del atacante. Usamos nuestra comprensión mejorada de Kusto y la búsqueda avanzada para realizar un seguimiento de un ataque. Obtenga información sobre los trucos reales que se usan en el campo, incluidos los ABC de ciberseguridad y cómo aplicarlos a la respuesta a incidentes. YouTube (59:36) Archivo de texto

Obtenga formación más experta con L33TSP3AK: Búsqueda avanzada en Microsoft Defender XDR, una serie de webcasts para analistas que buscan ampliar sus conocimientos técnicos y habilidades prácticas en la realización de investigaciones de seguridad mediante la búsqueda avanzada en Microsoft Defender XDR.

Título Descripción Reloj Consultas
Episodio 1 En este episodio, aprenderá diferentes procedimientos recomendados en la ejecución de consultas de búsqueda avanzadas. Entre los temas tratados se incluyen: cómo optimizar las consultas, usar la búsqueda avanzada de ransomware, controlar JSON como tipo dinámico y trabajar con operadores de datos externos. YouTube (56:34) Archivo de texto
Episodio 2 En este episodio, aprenderá a investigar y responder a ubicaciones de inicio de sesión sospechosas o inusuales y a la filtración de datos a través de reglas de reenvío de bandeja de entrada. Sebastien Molendijk, administrador sénior de programas de Cloud Security CxE, comparte cómo usar la búsqueda avanzada para investigar incidentes de varias fases con datos de Microsoft Defender for Cloud Apps. YouTube (57:07) Archivo de texto
Episodio 3 En este episodio trataremos las últimas mejoras en la búsqueda avanzada, cómo importar un origen de datos externo en la consulta y cómo usar la creación de particiones para segmentar los resultados de consultas grandes en conjuntos de resultados más pequeños para evitar alcanzar los límites de api. YouTube (40:59) Archivo de texto

Uso del archivo CSL

Antes de iniciar un episodio, acceda al archivo de texto correspondiente en GitHub y copie su contenido en el editor de consultas de búsqueda avanzada. A medida que watch un episodio, puede usar el contenido copiado para seguir al hablante y ejecutar consultas.

El extracto siguiente de un archivo de texto que contiene las consultas muestra un conjunto completo de instrucciones marcadas como comentarios con //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

El mismo archivo de texto incluye consultas antes y después de los comentarios, como se muestra a continuación. Para ejecutar una consulta específica con varias consultas en el editor, mueva el cursor a esa consulta y seleccione Ejecutar consulta.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Otros recursos

Título Descripción Reloj
Combinación de tablas en KQL Obtenga información sobre la eficacia de combinar tablas para crear resultados significativos. YouTube (4:17)
Optimización de tablas en KQL Obtenga información sobre cómo evitar tiempos de espera al ejecutar consultas complejas mediante la optimización de las consultas. YouTube (5:38)

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.