Compartir a través de


Búsqueda avanzada con datos de Microsoft Sentinel en Microsoft Defender portal

La búsqueda avanzada permite ver y consultar todos los orígenes de datos disponibles en el portal de Microsoft Defender unificado. Los orígenes de datos pueden incluir Microsoft Defender XDR y varios servicios de seguridad de Microsoft. Si incorpora Microsoft Sentinel al portal de Defender, acceda y use todo el contenido del área de trabajo Microsoft Sentinel existente, incluidas las consultas y las funciones.

La consulta desde un único portal en distintos conjuntos de datos hace que la búsqueda sea más eficaz y elimina la necesidad de cambiar de contexto.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificadas de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Cómo acceder a

Permisos y roles necesarios

Puede consultar datos en cualquier carga de trabajo a la que pueda acceder actualmente en función de sus roles y permisos.

Para realizar consultas entre datos Microsoft Sentinel y Microsoft Defender XDR en la página de búsqueda avanzada unificada, también necesitará al menos el rol lector de Microsoft Sentinel. Para obtener más información, consulte roles específicos de Microsoft Sentinel.

Conexión de un área de trabajo

En Microsoft Defender, puede conectar áreas de trabajo seleccionando Conectar un área de trabajo en el banner superior. Este botón aparece si es apto para incorporar un área de trabajo de Microsoft Sentinel al portal de Microsoft Defender unificado. Siga los pasos descritos en: Incorporación de un área de trabajo.

Después de conectar el área de trabajo de Microsoft Sentinel y Microsoft Defender XDR datos de búsqueda avanzada, puede empezar a consultar Microsoft Sentinel datos desde la página de búsqueda avanzada. Para obtener información general sobre las características avanzadas de búsqueda, lea Búsqueda proactiva de amenazas con búsqueda avanzada.

¿Qué esperar para Defender XDR tablas que se transmiten a Microsoft Sentinel

  • Usar tablas con un período de retención de datos más largo en las consultas: la búsqueda avanzada sigue el período máximo de retención de datos configurado para las tablas de Defender XDR (consulte Descripción de las cuotas). Si transmite Defender XDR tablas a Microsoft Sentinel y tiene un período de retención de datos superior a 30 días para dichas tablas, puede consultar durante el período más largo en la búsqueda avanzada.
  • Use los operadores de Kusto que ha usado en Microsoft Sentinel: en general, las consultas de Microsoft Sentinel funcionan en la búsqueda avanzada, incluidas las consultas que usan el adx() operador . Puede haber casos en los que IntelliSense le advierta de que los operadores de la consulta no coinciden con el esquema; sin embargo, todavía puede ejecutar la consulta y debe ejecutarse correctamente.
  • Use la lista desplegable filtro de tiempo en lugar de establecer el intervalo de tiempo en la consulta: si va a filtrar la ingesta de Defender XDR tablas para Sentinel en lugar de transmitir las tablas tal cual, no filtre la hora de la consulta, ya que esto podría generar resultados incompletos. Si establece la hora en la consulta, se usan los datos filtrados por secuencias de Sentinel porque suelen tener el período de retención de datos más largo. Si desea asegurarse de que está consultando todos los datos Defender XDR durante un máximo de 30 días, use la lista desplegable de filtros de tiempo proporcionada en el editor de consultas.
  • Vista SourceSystem y MachineGroup columnas de Defender XDR datos que se han transmitido desde Microsoft Sentinel: dado que las columnas SourceSystem y MachineGroup se agregan a las tablas de Defender XDR una vez que se transmiten a Microsoft Sentinel, también aparecen en los resultados de la búsqueda avanzada en Defender. Sin embargo, permanecen en blanco para Defender XDR tablas que no se transmitieron (tablas que siguen el período de retención de datos predeterminado de 30 días).

Nota:

El uso del portal unificado, donde puede consultar datos de Microsoft Sentinel después de conectar un área de trabajo de Microsoft Sentinel, no significa automáticamente que también pueda consultar Defender XDR datos mientras está en Microsoft Sentinel. La ingesta de datos sin procesar de Defender XDR debe configurarse en Microsoft Sentinel para que esto suceda.

Dónde encontrar los datos de Microsoft Sentinel

Puede usar consultas KQL de búsqueda avanzada (Lenguaje de consulta Kusto) para buscar datos de Microsoft Defender XDR y Microsoft Sentinel.

Al abrir la página de búsqueda avanzada por primera vez después de conectar un área de trabajo, puede encontrar muchas de las tablas de ese área de trabajo organizadas por solución después de las tablas de Microsoft Defender XDR en la pestaña Esquema.

Captura de pantalla de la pestaña esquema de búsqueda avanzada en el portal de Microsoft Defender que resalta la ubicación de las tablas de Sentinel

Del mismo modo, puede encontrar las funciones de Microsoft Sentinel en la pestaña Funciones y las consultas compartidas y de ejemplo de Microsoft Sentinel se pueden encontrar en la pestaña Consultas dentro de carpetas marcadas Sentinel.

Visualización de la información del esquema

Para obtener más información sobre una tabla de esquema, seleccione los puntos suspensivos verticales ( icono kebab ) a la derecha de cualquier nombre de tabla de esquema en la pestaña Esquema y, a continuación, seleccione Ver esquema.

En el portal unificado, además de ver los nombres y descripciones de las columnas de esquema, también puede ver:

  • Datos de ejemplo: seleccione Ver datos de vista previa, que carga una consulta sencilla como TableName | take 5
  • Tipo de esquema : si la tabla admite funcionalidades de consulta completas (tabla avanzada) o no (tabla de registros básicos)
  • Período de retención de datos : cuánto tiempo se establece que se conservarán los datos
  • Etiquetas: disponibles para tablas de datos de Sentinel

Captura de pantalla del panel de información de esquema en el portal de Microsoft Defender

Problemas conocidos

  • El IdentityInfo table elemento de Microsoft Sentinel no está disponible, ya que la IdentityInfo tabla permanece tal y como está en Defender XDR. Microsoft Sentinel características como las reglas de análisis que consultan esta tabla no se ven afectadas, ya que consultan directamente el área de trabajo de Log Analytics.
  • La tabla Microsoft Sentinel SecurityAlert se reemplaza por AlertInfo y AlertEvidence las tablas, que contienen todos los datos de las alertas. Aunque SecurityAlert no está disponible en la pestaña esquema, todavía puede usarlo en consultas mediante el editor de búsqueda avanzada. Esta disposición se realiza para no interrumpir las consultas existentes de Microsoft Sentinel que usan esta tabla.
  • El modo de búsqueda guiada y las funcionalidades de acciones se admiten solo para Defender XDR datos.
  • Las detecciones personalizadas tienen las siguientes limitaciones:
    • Las detecciones personalizadas no están disponibles para las consultas KQL que no incluyen Defender XDR datos.
    • La frecuencia de detección casi en tiempo real no está disponible para las detecciones que incluyen datos Microsoft Sentinel.
    • No se admiten las funciones personalizadas que se crearon y guardaron en Microsoft Sentinel.
    • Todavía no se admite la definición de entidades a partir de datos Sentinel en detecciones personalizadas.
  • Los marcadores no se admiten en la experiencia de búsqueda avanzada. Se admiten en la característica de búsqueda de administración > de amenazas Microsoft Sentinel>.
  • Si va a transmitir Defender XDR tablas a Log Analytics, puede haber una diferencia entre lasTimestamp columnas y TimeGenerated . En caso de que los datos lleguen a Log Analytics después de 48 horas, se invalidan tras la ingesta now()en . Por lo tanto, para obtener la hora real en que se produjo el evento, se recomienda confiar en la Timestamp columna .
  • Al solicitar a Copilot for Security consultas de búsqueda avanzadas, es posible que no se admitan actualmente todas las tablas de Microsoft Sentinel. Sin embargo, se puede esperar compatibilidad con estas tablas en el futuro.

Vea también