Búsqueda rápida de información de entidades o eventos con go hunt

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Con la acción de búsqueda go , puede investigar rápidamente eventos y varios tipos de entidad mediante eficaces funcionalidades de búsqueda avanzada basadas en consultas. Esta acción ejecuta automáticamente una consulta de búsqueda avanzada para buscar información relevante sobre el evento o la entidad seleccionados.

La acción de búsqueda go está disponible en varias secciones de Microsoft Defender XDR. Esta acción está disponible para ver una vez que se muestran los detalles de eventos o entidades. Por ejemplo, puede usar la opción go hunt en las secciones siguientes:

  • En la página del incidente, puede revisar los detalles sobre los usuarios, los dispositivos y muchas otras entidades asociadas a un incidente. Al seleccionar una entidad, obtendrá información adicional y las distintas acciones que podría realizar en esa entidad. En el ejemplo siguiente, se selecciona un buzón, que muestra detalles sobre el buzón y la opción para buscar más información sobre el buzón.

    Página Buzones con la opción De búsqueda de Go en el portal de Microsoft Defender

  • En la página incidente, también puede acceder a una lista de entidades en la pestaña Evidencia . La selección de una de esas entidades proporciona una opción para buscar rápidamente información sobre esa entidad.

    La opción Búsqueda de Go para un fragmento de evidencia en la página Incidente de Microsoft Defender portal

  • Al ver la escala de tiempo de un dispositivo, puede seleccionar un evento en la escala de tiempo para ver información adicional sobre ese evento. Una vez seleccionado un evento, obtendrá la opción de buscar otros eventos relevantes en la búsqueda avanzada.

    La opción Buscar eventos relacionados en la página de un evento en la pestaña Escalas de tiempo de Microsoft Defender portal

Al seleccionar Buscar o Buscar eventos relacionados , se pasan consultas diferentes, en función de si ha seleccionado una entidad o un evento.

Consulta de información de entidad

Puede usar go hunt para consultar información sobre un usuario, dispositivo o cualquier otro tipo de entidad; la consulta comprueba todas las tablas de esquema pertinentes para ver si hay eventos que impliquen a esa entidad para devolver información. Para mantener los resultados administrables, la consulta es:

  • en torno al mismo período de tiempo que la actividad más antigua de los últimos 30 días que implica la entidad
  • asociado al incidente.

Este es un ejemplo de la consulta go hunt para un dispositivo:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Tipos de entidad admitidos

Puede usar la opción go hunt después de seleccionar cualquiera de estos tipos de entidad:

  • Dispositivos
  • clústeres de Email
  • Mensajes de correo electrónico
  • Archivos
  • Grupos
  • Direcciones IP
  • Buzones
  • Usuarios
  • Direcciones URL

Consulta de información de eventos

Cuando se usa go hunt para consultar información sobre un evento de escala de tiempo, la consulta comprueba todas las tablas de esquema pertinentes para otros eventos alrededor del momento del evento seleccionado. Por ejemplo, en la consulta siguiente se enumeran los eventos de varias tablas de esquema que se produjeron alrededor del mismo período de tiempo en el mismo dispositivo:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Ajuste de la consulta

Con algunos conocimientos del lenguaje de consulta, puede ajustar la consulta a sus preferencias. Por ejemplo, puede ajustar esta línea, que determina el tamaño del período de tiempo:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Además de modificar la consulta para obtener resultados más relevantes, también puede:

Nota:

Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR siguiendo los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.