Refinar la consulta en modo guiado
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Uso de tipos de datos diferentes
La búsqueda avanzada en modo guiado admite varios tipos de datos que puede usar para ajustar la consulta.
Números
Cadenas
En el cuadro de texto libre, escriba el valor y presione Entrar para agregarlo. Tenga en cuenta que el delimitador entre valores es Entrar.
Booleano
Datetime
Lista cerrada: no es necesario recordar el valor exacto que está buscando. Puede elegir fácilmente entre una lista cerrada sugerida que admita la selección múltiple.
Uso de subgrupos
Para crear grupos de condiciones, haga clic en Agregar subgrupo:
Uso del autocompletar inteligente para la búsqueda
Se admite la autocompletar inteligente para buscar dispositivos y cuentas de usuario. No es necesario recordar el identificador de dispositivo, el nombre completo del dispositivo o el nombre de la cuenta de usuario. Puede empezar a escribir los primeros caracteres del dispositivo o usuario que está buscando y aparece una lista sugerida desde la que puede elegir lo que necesita:
Use EventType
Incluso puede buscar tipos de eventos específicos, como todos los inicios de sesión con errores, eventos de modificación de archivos o conexiones de red correctas mediante el filtro EventType en cualquier sección donde sea aplicable.
Por ejemplo, si desea agregar una condición que busque eliminaciones de valores del Registro, puede ir a la sección Eventos del Registro y seleccionar EventType.
Seleccionar EventType en Eventos del Registro le permite elegir entre diferentes eventos del Registro, incluido el que está buscando, RegistryValueDeleted.
Nota:
EventType
es el equivalente de en el esquema de ActionType
datos, con el que los usuarios del modo avanzado podrían estar más familiarizados.
Prueba de la consulta con un tamaño de ejemplo más pequeño
Si sigue trabajando en la consulta y desea ver su rendimiento y algunos resultados de ejemplo rápidamente, ajuste el número de registros que se devolverán seleccionando un conjunto más pequeño a través del menú desplegable Tamaño de ejemplo.
El tamaño de ejemplo se establece en 10 000 resultados de forma predeterminada. Este es el número máximo de registros que se pueden devolver en la búsqueda. Sin embargo, se recomienda reducir el tamaño de la muestra a 10 o 100 para probar rápidamente la consulta, ya que al hacerlo se consumen menos recursos mientras sigue trabajando para mejorar la consulta.
A continuación, una vez finalizada la consulta y lista para usarla para obtener todos los resultados pertinentes para la actividad de búsqueda, asegúrese de que el tamaño de la muestra está establecido en 10 000, el máximo.
Cambiar al modo avanzado después de compilar una consulta
Puede hacer clic en Editar en KQL para ver la consulta KQL generada por las condiciones seleccionadas. La edición en KQL abre una nueva pestaña en modo avanzado, con la consulta KQL correspondiente:
En el ejemplo anterior, la vista seleccionada es Todo, por lo que puede ver que la consulta KQL busca en todas las tablas que tienen propiedades de archivo de nombre y SHA256, y en todas las columnas pertinentes que cubren estas propiedades.
Si cambia la vista a Correos electrónicos & colaboración, la consulta se reduce a:
Consulte también
- Cuotas de búsqueda avanzadas y parámetros de uso
- Ampliación de la cobertura de búsqueda avanzada con la configuración adecuada
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.