Elija entre modos guiados y avanzados para cazar en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
Para encontrar la página de búsqueda avanzada, vaya a la barra de navegación izquierda en Microsoft Defender XDR y seleccione Búsqueda>avanzada. Si la barra de navegación está contraída, seleccione el icono de búsqueda de icono 
.
En la página de búsqueda avanzada , se admiten dos modos:
- Modo guiado : para realizar consultas mediante el generador de consultas
- Modo avanzado: para realizar consultas mediante el editor de consultas mediante Lenguaje de consulta Kusto (KQL)
La principal diferencia entre los dos modos es que el modo guiado no requiere que el cazador conozca KQL para consultar la base de datos, mientras que el modo avanzado requiere conocimientos de KQL.
El modo guiado incluye un generador de consultas que tiene un estilo de bloque de creación visual y fácil de usar de construir consultas a través de menús desplegables que contienen filtros y condiciones disponibles. Para usar el modo guiado, consulte Introducción al modo de búsqueda guiada.
El modo avanzado incluye un área del editor de consultas donde los usuarios pueden crear consultas desde cero. Para usar el modo avanzado, consulte Introducción al modo de búsqueda avanzada.
Introducción al modo de búsqueda guiada
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Al abrir la página de búsqueda avanzada por primera vez después de que la búsqueda guiada esté disponible para usted, se le invita a realizar el recorrido para obtener más información sobre las distintas partes de la página, como las pestañas y las áreas de consulta.
Para realizar el recorrido, seleccione Tomar tour cuando aparezca este banner:
Siga las burbujas de enseñanza azules que aparecen a lo largo de la página y seleccione Siguiente para pasar de un paso al siguiente.
Puede volver a realizar el recorrido en cualquier momento si va a Recursos> de ayudaMás información y selecciona Tomar el recorrido.
A continuación, puede empezar a compilar la consulta para buscar amenazas. Los siguientes artículos pueden ayudarle a sacar el máximo partido a la búsqueda en modo guiado:
| Objetivo de aprendizaje | Descripción | Recurso |
|---|---|---|
| Creación de la primera consulta | Obtenga información sobre los conceptos básicos del generador de consultas, como especificar el dominio de datos y agregar condiciones y filtros para ayudarle a crear una consulta significativa. Para más información, ejecute consultas de ejemplo. | Compilación de consultas de búsqueda mediante el modo guiado |
| Obtenga información sobre las distintas funcionalidades del generador de consultas | Conozca los diferentes tipos de datos admitidos y las funcionalidades de modo guiado para ayudarle a ajustar la consulta según sus necesidades. | Refinar la consulta en modo guiado |
| Obtenga información sobre lo que puede hacer con los resultados de la consulta. | Familiarícese con la vista Resultados y lo que puede hacer con los resultados generados, como cómo realizar acciones en ellos o vincularlos a un incidente. | - Trabajar con resultados de consulta en modo guiado - Realizar acciones en los resultados de la consulta - Vinculación de los resultados de la consulta a un incidente |
| Create reglas de detección personalizadas | Comprenda cómo se pueden usar las consultas de búsqueda avanzada para desencadenar alertas y realizar acciones de respuesta automáticamente. | - Introducción a las detecciones personalizadas - Reglas de detección personalizadas |
Introducción al modo de búsqueda avanzada
Se recomienda seguir estos pasos para empezar a trabajar rápidamente con la búsqueda avanzada:
| Objetivo de aprendizaje | Descripción | Recurso |
|---|---|---|
| Aprender el idioma | La búsqueda avanzada se basa en el lenguaje de consulta Kusto, que admite la misma sintaxis y operadores. Empiece a aprender el lenguaje de consulta mediante la ejecución de la primera consulta. | Introducción al lenguaje de consulta |
| Aprenda a usar los resultados de la consulta. | Obtenga información sobre los gráficos y las distintas formas en que se pueden ver o exportar los resultados. Explore rápidamente cómo se pueden ajustar las consultas, explorar en profundidad para obtener información más completa y realizar acciones de respuesta. | - Trabajar con resultados de consulta en modo avanzado - Realizar acciones en los resultados de la consulta - Vinculación de los resultados de la consulta a un incidente |
| Entender el esquema | Obtenga una visión adecuada y de alto nivel de las tablas en el esquema y sus columnas. Obtenga información sobre dónde buscar datos al crear las consultas. | - Referencia de esquema - Transición de Microsoft Defender para punto de conexión |
| Obtener sugerencias y ejemplos expertos | Entrene gratis con guías de expertos de Microsoft. Explore colecciones de consultas predefinidas que cubren diferentes escenarios de búsqueda de amenazas. | - Obtener formación de expertos - Uso de consultas compartidas - Ir a buscar - Búsqueda de amenazas entre dispositivos, correos electrónicos, aplicaciones e identidades |
| Optimización de consultas y control de errores | Obtenga información sobre cómo crear consultas eficaces y sin errores. | - Procedimientos recomendados de consulta - Controlar errores |
| Create reglas de detección personalizadas | Comprenda cómo se pueden usar las consultas de búsqueda avanzada para desencadenar alertas y realizar acciones de respuesta automáticamente. | - Introducción a las detecciones personalizadas - Reglas de detección personalizadas |
Consulte también
- Entender el esquema
- Compilación de consultas de búsqueda mediante el modo guiado
- Aprender el lenguaje de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de