Exploración de la búsqueda avanzada
La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades. El acceso flexible a los datos permite la búsqueda sin restricciones de amenazas conocidas y potenciales.
Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, después, responder a la sospecha de actividad de infracción, a máquinas mal configuradas y a otros resultados. La funcionalidad de búsqueda avanzada admite consultas que comprueban un conjunto de datos más amplio de:
Microsoft Defender para punto de conexión
Microsoft Defender para Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Para usar la búsqueda avanzada, active Microsoft Defender XDR.
Nivel de actualización de los datos y frecuencia de la actualización
Los datos de la búsqueda avanzada pueden clasificarse en dos tipos distintos, cada uno de ellos consolidado de manera diferente.
Datos de eventos o actividades: rellena tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a los servicios en la nube correspondientes. Por ejemplo, puede consultar datos de eventos de sensores correctos en estaciones de trabajo o controladores de dominio casi inmediatamente después de que estén disponibles en Microsoft Defender para punto de conexión y Microsoft Defender for Identity.
Datos de entidades: rellena las tablas con información sobre los usuarios y los dispositivos. Estos datos proceden de orígenes de datos relativamente estáticos y orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos actuales, las tablas se actualizan con cualquier información nueva cada 15 minutos, agregando filas que podrían no estar completamente rellenas. Cada 24 horas, los datos se consolidan para insertar un registro que contiene el conjunto de datos más reciente y más completo sobre cada entidad.
Zona horaria
La información horaria en la búsqueda avanzada está en la zona UTC.
Esquema de datos
El esquema de búsqueda avanzada consta de varias tablas que proporcionan información de eventos o sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas que abarquen varias tablas de forma eficaz, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.
Obtención de la información de esquema
Al construir consultas, use la referencia de esquema integrada para obtener rápidamente la siguiente información sobre cada tabla del esquema:
Descripción de la tabla: tipo de datos contenidos en la tabla y el origen de esos datos.
Columnas: todas las columnas de la tabla.
Tipos de acción: valores posibles de la columna ActionType que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos.
Consulta de ejemplo: consultas de ejemplo que presentan cómo se puede usar la tabla.
Acceso a la referencia de esquema
Para acceder rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de la tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.
Obtención de información sobre las tablas de esquema
En la referencia siguiente se enumeran todas las tablas del esquema. Cada nombre de tabla se vincula a una página en la que se describen los nombres de columna de esa tabla. Los nombres de tabla y columna también se muestran en el centro de seguridad como parte de la representación del esquema en la pantalla de búsqueda avanzada.
| Nombre de la tabla | Descripción |
|---|---|
| AlertEvidence | Archivos, direcciones IP, URL, usuarios o dispositivos asociados con alertas |
| AlertInfo | Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Cloud App Security y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de la amenaza |
| CloudAppEvents | Eventos que implican cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube |
| DeviceEvents | Varios tipos de eventos, incluidos los desencadenados por controles de seguridad como Antivirus de Windows Defender y protección contra vulnerabilidades |
| DeviceFileCertificateInfo | Información de certificado de los archivos firmados obtenidos de los eventos de comprobación de certificados en los puntos de conexión |
| DeviceFileEvents | Creación y modificación de archivos, y otros eventos del sistema de archivos |
| DeviceImageLoadEvents | Eventos de carga de DLL |
| DeviceInfo | Información de la máquina, incluida la información del sistema operativo |
| DeviceLogonEvents | Inicios de sesión y otros eventos de autenticación en dispositivos |
| DeviceNetworkEvents | Conexión de red y eventos relacionados |
| DeviceNetworkInfo | Propiedades de red de los dispositivos, incluidos adaptadores físicos y direcciones IP y MAC, así como redes y dominios conectados |
| DeviceProcessEvents | Creación de procesos y eventos relacionados |
| DeviceRegistryEvents | Creación y modificación de entradas del Registro |
| DeviceTvmSecureConfigurationAssessment | Eventos de evaluación de administración de amenazas y vulnerabilidades, que indican el estado de varias configuraciones de seguridad en los dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Knowledge base de varias configuraciones de seguridad utilizadas por la administración de amenazas y vulnerabilidades para evaluar los dispositivos; incluye asignaciones a varios estándares y puntos de referencia |
| DeviceTvmSoftwareInventory | Inventario de software instalado en dispositivos, incluida la información de versión y el estado de finalización del soporte |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas en los dispositivos y la lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad |
| DeviceTvmSoftwareVulnerabilitiesKB | Knowledge base de las vulnerabilidades divulgadas públicamente, incluido si el código de explotación está disponible de forma pública |
| EmailAttachmentInfo | Información sobre los archivos adjuntos a correos electrónicos |
| EmailEvents | Eventos de correo electrónico de Microsoft 365, incluidos los eventos de entrega y bloqueo de correo electrónico |
| EmailPostDeliveryEvents | Eventos de seguridad que se producen después de la entrega, después de que Microsoft 365 haya entregado los correos electrónicos en el buzón del destinatario |
| EmailUrlInfo | Información sobre las direcciones URL de los correos electrónicos |
| IdentityDirectoryEvents | Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). Esta tabla abarca un intervalo de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio. |
| IdentityInfo | Información de la cuenta de varios orígenes, incluido Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticación en Active Directory y servicios en línea de Microsoft |
| IdentityQueryEvents | Consultas para objetos de Active Directory, como usuarios, grupos, dispositivos y dominios |
Detecciones personalizadas
Con las detecciones personalizadas, puede supervisar de forma proactiva varios eventos y estados del sistema, y responder a ellos, incluida la actividad de vulneración sospechosa y los puntos de conexión mal configurados. Esto es posible por medio de reglas de detección personalizables que desencadenan automáticamente alertas y acciones de respuesta.
Las detecciones personalizadas funcionan con la búsqueda avanzada, que proporciona un lenguaje de consulta eficaz y flexible que abarca un amplio conjunto de información de eventos y sistemas de la red. Puede configurarlas para que se ejecuten a intervalos regulares, generar alertas y tomar medidas de respuesta siempre que haya coincidencias.
Las detecciones personalizadas proporcionan:
Alertas para las detecciones basadas en reglas creadas a partir de consultas de búsqueda avanzadas.
Acciones de respuesta automáticas que se aplican a archivos y dispositivos.
Crear reglas de detección
Para crear reglas de detección:
1. Prepare la consulta
En el Centro de Seguridad de Microsoft Defender, vaya a Búsqueda avanzada y seleccione una consulta existente o cree una nueva. Cuando utilice una nueva consulta, ejecútela para detectar los errores y comprender los posibles resultados.
Importante
Para evitar que el servicio devuelva demasiadas alertas, cada regla tiene un límite de 100 alertas cada vez. Antes de crear una regla, ajuste su consulta para evitar alertas por la actividad normal del día a día.
Para usar una consulta para una regla de detección personalizada, la consulta debe devolver las columnas siguientes:
Timestamp
deviceId
ReportId
Las consultas simples, como las que no utilizan el operador project o summarize para personalizar o agregar resultados, suelen devolver estas columnas comunes.
Hay varias maneras de asegurarse de que las consultas más complejas devuelvan estas columnas. Por ejemplo, si prefiere agregar y contar por DeviceId, puede seguir devolviendo Timestamp y ReportId obteniéndolos del evento más reciente que implique a cada dispositivo.
En la consulta de ejemplo siguiente se cuenta el número de dispositivos únicos (DeviceId) con detecciones de antivirus y se usa para buscar solo los dispositivos con más de cinco detecciones. Para devolver el valor Timestamp más reciente y el correspondiente valor ReportId, utiliza el operador summarize con la función arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Cree una regla nueva y proporcione detalles de la alerta
Con la consulta en el editor de consultas, seleccione Create detection rule (Crear regla de detección) y especifique los detalles de alerta siguientes:
Nombre de detección: nombre de la regla de detecció
Frecuencia: intervalo para ejecutar la consulta y tomar medidas. Vea a continuación instrucciones adicionales.
Título de la alerta: título que se muestra con las alertas desencadenadas por la regla.
Gravedad: riesgo potencial del componente o actividad detectado por la regla.
Categoría: tipo de componente o actividad de la amenaza, si la hay.
Técnicas de MITRE ATT&CK: una o varias técnicas de ataque detectadas por la regla y documentadas en el marco de MITRE ATT&CK. Esta sección no está disponible con determinadas categorías de alerta, como malware, ransomware, actividad sospechosa y software no deseado.
Descripción: más información sobre el componente o la actividad que ha detectado la regla.
Acciones recomendadas: acciones adicionales que los respondedores podrían llevar a cabo en respuesta a una alerta.
3. Frecuencia de la regla
Cuando se guarda, una nueva regla de detección personalizada se ejecuta inmediatamente y comprueba las coincidencias de los últimos 30 días de datos. A continuación, la regla se ejecuta de nuevo a intervalos fijos y con duraciones de retroceso basadas en la frecuencia elegida:
Cada 24 horas: se ejecuta cada 24 horas, comprobando los datos de los últimos 30 días.
Cada 12 horas: se ejecuta cada 12 horas, comprobando los datos de las últimas 48 horas
Cada 3 horas: se ejecuta cada 3 horas, comprobando los datos de las últimas 12 horas
Cada hora: se ejecuta cada hora, comprobando los datos de las últimas 4 horas
Continuo (NRT): se ejecuta continuamente, comprobando los datos de los eventos a medida que se recopilan y procesan casi en tiempo real (NRT)
Seleccione la frecuencia que se ajuste a la intensidad con la que desea supervisar las detecciones y tenga en cuenta la capacidad de su organización para dar respuesta a las alertas.
Nota:
Configurar una detección personalizada para que se ejecute con frecuencia Continua (NRT) le permite aumentar la capacidad de su organización para identificar amenazas más rápidamente.
4. Seleccione las entidades afectadas.
Identifique las columnas de los resultados de su consulta donde espera encontrar la principal entidad afectada. Por ejemplo, una consulta puede devolver los identificadores de los dispositivos y de los usuarios. Determinar cuál de estas columnas representa la principal entidad afectada ayuda al servicio a agregar las alertas pertinentes, correlacionar los incidentes y orientar las acciones de respuesta.
Solo puede seleccionar una columna para cada tipo de entidad. No se pueden seleccionar las columnas que no devuelve la consulta.
5. Especifique acciones.
La regla de detección personalizada puede realizar acciones automáticamente en los archivos o dispositivos devueltos por la consulta.
Acciones en dispositivos
Estas acciones se aplican a los dispositivos de la columna DeviceId de los resultados de la consulta:
Aislar dispositivo: aplica un aislamiento total de la red, impidiendo que el dispositivo se conecte a cualquier aplicación o servicio, excepto al servicio Defender para punto de conexión.
Recopilar paquete de investigación: recopila información del dispositivo en un archivo ZIP.
Ejecutar examen antivirus: realiza un examen completo del Antivirus de Microsoft Defender en el dispositivo.
Iniciar investigación: inicia una investigación automatizada en el dispositivo.
Acciones en archivos
Estas acciones se aplican a los archivos de la columna SHA1 o InitiatingProcessSHA1 de los resultados de la consulta:
Permitir/Bloquear: agrega automáticamente el archivo a su lista de indicadores personalizados para que siempre se permita o se bloquee su ejecución. Puede establecer el ámbito de esta acción para que se realice solo en los grupos de dispositivos seleccionados. Este ámbito es independiente del ámbito de la regla.
Archivo en cuarentena: elimina el archivo de su ubicación actual y coloca una copia en cuarentena.
6. Establezca el ámbito de la regla.
Establezca el ámbito para especificar qué dispositivos están incluidos en la regla:
Todos los dispositivos
Grupos de dispositivos específicos
Solo se consultarán los datos de los dispositivos en el ámbito de aplicación. Además, las acciones solo se realizarán en esos dispositivos.
7. Revise y active la regla.
Después de revisar la regla, seleccione Crear para guardarla. La regla de detección personalizada se ejecuta inmediatamente. Vuelve a ejecutarse en función de la frecuencia configurada para buscar coincidencias, generar alertas y tomar medidas de respuesta.