Obtención de formación de expertos sobre la búsqueda avanzada
Se aplica a:
- Microsoft Defender XDR
Aumente su conocimiento de la caza avanzada rápidamente con Tracking the adversary, una serie de webcast para nuevos analistas de seguridad y cazadores de amenazas experimentados. La serie le guía por los conceptos básicos hasta crear sus propias consultas sofisticadas. Comience con el primer vídeo sobre aspectos básicos o vaya a vídeos más avanzados que se adapten a su nivel de experiencia.
| Título | Descripción | Reloj | Consultas |
|---|---|---|---|
| Episodio 1: Aspectos básicos de KQL | Este episodio trata los conceptos básicos de la caza avanzada en Microsoft Defender XDR. Obtenga información sobre los datos de búsqueda avanzados disponibles y los operadores y sintaxis básicos de KQL. | YouTube (54:14) | Archivo de texto |
| Episodio 2: Combinaciones | Siga aprendiendo sobre los datos de búsqueda avanzada y cómo combinar tablas. Obtenga información sobre innerlas combinaciones , outer, uniquey semi y comprenda los matices de la combinación de Kusto innerunique predeterminada. |
YouTube (53:33) | Archivo de texto |
| Episodio 3: Resumen, dinamización y visualización de datos | Ahora que ha aprendido a filtrar, manipular y combinar datos, es el momento de resumir, cuantificar, dinamizar y visualizar. En este episodio se describe el summarize operador y varios cálculos, al tiempo que se presentan tablas adicionales en el esquema. También aprenderá a convertir conjuntos de datos en gráficos que pueden ayudarle a extraer información. |
YouTube (48:52) | Archivo de texto |
| Episodio 4: ¡Vamos a cazar! Aplicación de KQL al seguimiento de incidentes | En este episodio, aprenderás a realizar un seguimiento de alguna actividad del atacante. Usamos nuestra comprensión mejorada de Kusto y la búsqueda avanzada para realizar un seguimiento de un ataque. Obtenga información sobre los trucos reales que se usan en el campo, incluidos los ABC de ciberseguridad y cómo aplicarlos a la respuesta a incidentes. | YouTube (59:36) | Archivo de texto |
Obtenga formación más experta con L33TSP3AK: Búsqueda avanzada en Microsoft Defender XDR, una serie de webcasts para analistas que buscan ampliar sus conocimientos técnicos y habilidades prácticas en la realización de investigaciones de seguridad mediante la búsqueda avanzada en Microsoft Defender XDR.
| Título | Descripción | Reloj | Consultas |
|---|---|---|---|
| Episodio 1 | En este episodio, aprenderá diferentes procedimientos recomendados en la ejecución de consultas de búsqueda avanzadas. Entre los temas tratados se incluyen: cómo optimizar las consultas, usar la búsqueda avanzada de ransomware, controlar JSON como tipo dinámico y trabajar con operadores de datos externos. | YouTube (56:34) | Archivo de texto |
| Episodio 2 | En este episodio, aprenderá a investigar y responder a ubicaciones de inicio de sesión sospechosas o inusuales y a la filtración de datos a través de reglas de reenvío de bandeja de entrada. Sebastien Molendijk, administrador sénior de programas de Cloud Security CxE, comparte cómo usar la búsqueda avanzada para investigar incidentes de varias fases con datos de Microsoft Defender for Cloud Apps. | YouTube (57:07) | Archivo de texto |
| Episodio 3 | En este episodio trataremos las últimas mejoras en la búsqueda avanzada, cómo importar un origen de datos externo en la consulta y cómo usar la creación de particiones para segmentar los resultados de consultas grandes en conjuntos de resultados más pequeños para evitar alcanzar los límites de api. | YouTube (40:59) | Archivo de texto |
Uso del archivo CSL
Antes de iniciar un episodio, acceda al archivo de texto correspondiente en GitHub y copie su contenido en el editor de consultas de búsqueda avanzada. A medida que watch un episodio, puede usar el contenido copiado para seguir al hablante y ejecutar consultas.
El extracto siguiente de un archivo de texto que contiene las consultas muestra un conjunto completo de instrucciones marcadas como comentarios con //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
El mismo archivo de texto incluye consultas antes y después de los comentarios, como se muestra a continuación. Para ejecutar una consulta específica con varias consultas en el editor, mueva el cursor a esa consulta y seleccione Ejecutar consulta.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Otros recursos
| Título | Descripción | Reloj |
|---|---|---|
| Combinación de tablas en KQL | Obtenga información sobre la eficacia de combinar tablas para crear resultados significativos. | YouTube (4:17) |
| Optimización de tablas en KQL | Obtenga información sobre cómo evitar tiempos de espera al ejecutar consultas complejas mediante la optimización de las consultas. | YouTube (5:38) |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Conozca el lenguaje de consulta de búsqueda avanzada
- Trabajar con resultados de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.