Búsqueda rápida de información de entidades o eventos con go hunt
Nota:
¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.
Se aplica a:
- Microsoft 365 Defender
Con la acción de búsqueda go , puede investigar rápidamente eventos y varios tipos de entidad mediante eficaces funcionalidades de búsqueda avanzada basadas en consultas. Esta acción ejecuta automáticamente una consulta de búsqueda avanzada para buscar información relevante sobre el evento o la entidad seleccionados.
La acción de búsqueda go está disponible en varias secciones de Microsoft 365 Defender. Esta acción está disponible para ver una vez que se muestran los detalles de eventos o entidades. Por ejemplo, puede usar la opción go hunt en las secciones siguientes:
En la página del incidente, puede revisar los detalles sobre los usuarios, los dispositivos y muchas otras entidades asociadas a un incidente. Al seleccionar una entidad, obtendrá información adicional y las distintas acciones que podría realizar en esa entidad. En el ejemplo siguiente, se selecciona un buzón, que muestra detalles sobre el buzón y la opción para buscar más información sobre el buzón.
En la página incidente, también puede acceder a una lista de entidades en la pestaña Evidencia . La selección de una de esas entidades proporciona una opción para buscar rápidamente información sobre esa entidad.
Al ver la escala de tiempo de un dispositivo, puede seleccionar un evento en la escala de tiempo para ver información adicional sobre ese evento. Una vez seleccionado un evento, obtendrá la opción de buscar otros eventos relevantes en la búsqueda avanzada.
Al seleccionar Buscar o Buscar eventos relacionados , se pasan consultas diferentes, en función de si ha seleccionado una entidad o un evento.
Consulta de información de entidad
Puede usar go hunt para consultar información sobre un usuario, dispositivo o cualquier otro tipo de entidad; la consulta comprueba todas las tablas de esquema pertinentes para ver si hay eventos que impliquen a esa entidad para devolver información. Para mantener los resultados administrables, la consulta es:
- en torno al mismo período de tiempo que la actividad más antigua de los últimos 30 días que implica la entidad
- asociado al incidente.
Este es un ejemplo de la consulta go hunt para un dispositivo:
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
Tipos de entidad admitidos
Puede usar la opción go hunt después de seleccionar cualquiera de estos tipos de entidad:
- Archivos
- Mensajes de correo electrónico
- clústeres de Email
- Buzones
- Usuarios
- Dispositivos
- Direcciones IP
- Direcciones URL
Consulta de información de eventos
Cuando se usa go hunt para consultar información sobre un evento de escala de tiempo, la consulta comprueba todas las tablas de esquema pertinentes para otros eventos alrededor del momento del evento seleccionado. Por ejemplo, en la consulta siguiente se enumeran los eventos de varias tablas de esquema que se produjeron alrededor del mismo período de tiempo en el mismo dispositivo:
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
Ajuste de la consulta
Con algunos conocimientos del lenguaje de consulta, puede ajustar la consulta a sus preferencias. Por ejemplo, puede ajustar esta línea, que determina el tamaño del período de tiempo:
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
Además de modificar la consulta para obtener resultados más relevantes, también puede:
Nota:
Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft 365 Defender para buscar amenazas mediante más orígenes de datos. Para mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft 365 Defender, siga los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión .