Búsqueda proactiva de amenazas con búsqueda avanzada

Se aplica a:

¿Desea experimentar Defender for Endpoint? Regístrese para obtener una prueba gratuita.

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consulta que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite la búsqueda sin restricciones para amenazas conocidas y potenciales.

Vea este vídeo para obtener una introducción rápida a la búsqueda avanzada y un breve tutorial que le ayudará a empezar rápidamente.

Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y responder a una actividad de infracción sospechosa, máquinas mal configuradas y otras conclusiones.

Sugerencia

Usa la búsqueda avanzada en Microsoft 365 Defender para buscar amenazas con datos de Defender para endpoint, Microsoft Defender para Office 365, Microsoft Defender para aplicaciones en la nube y Microsoft Defender para Identity. Active la Microsoft 365 Defender.

Obtenga más información sobre cómo mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para endpoint a Microsoft 365 Defender en Migrar consultas avanzadas de búsqueda de Microsoft Defender para endpoint.

Introducción a la búsqueda avanzada

Siga estos pasos para aumentar los conocimientos avanzados de búsqueda.

Le recomendamos que siga los pasos siguientes para empezar a trabajar rápidamente con la búsqueda avanzada.



Objetivo de aprendizaje Descripción Recurso
Aprender el idioma La búsqueda avanzada se basa en el lenguaje de consulta Kusto,que admite la misma sintaxis y operadores. Empiece a aprender el lenguaje de consulta mediante la ejecución de la primera consulta. Introducción al lenguaje de consulta
Obtenga información sobre cómo usar los resultados de la consulta Obtenga información sobre gráficos y diversas formas de ver o exportar los resultados. Explore cómo puede ajustar rápidamente las consultas y profundizar para obtener información más enriquecente. Trabajar con resultados de consulta
Entender el esquema Obtenga una visión adecuada y de alto nivel de las tablas en el esquema y sus columnas. Obtenga información sobre dónde buscar datos al crear las consultas. Referencia del esquema
Usar consultas predefinidas Explore colecciones de consultas predefinidas que cubren diferentes escenarios de búsqueda de amenazas. Consultas compartidas
Optimizar consultas y controlar errores Comprenda cómo crear consultas eficientes y libres de errores. Prácticas recomendadas de consulta

Controlar los errores

Obtener la cobertura más completa Use la configuración de auditoría para proporcionar una mejor cobertura de datos para su organización. Ampliar la cobertura de búsqueda avanzada
Ejecutar una investigación rápida Ejecute rápidamente una consulta de búsqueda avanzada para investigar la actividad sospechosa. Búsqueda rápida de información de entidad o evento con go hunt
Contener amenazas y solucionar compromisos Responder a los ataques mediante la quarantining de archivos, la restricción de la ejecución de aplicaciones y otras acciones Realizar acciones en los resultados avanzados de la consulta de búsqueda
Crear reglas de detección personalizadas Comprenda cómo puede usar consultas de búsqueda avanzadas para desencadenar alertas y realizar acciones de respuesta automáticamente. Introducción a las detecciones personalizadas

Reglas de detección personalizada

Actualización de datos y frecuencia de actualización

Los datos de búsqueda avanzada se pueden clasificar en dos tipos distintos, cada uno consolidado de forma diferente.

  • Datos de eventos o actividades: rellena tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a Defender for Endpoint.
  • Datos de entidad: rellena tablas con información consolidada sobre usuarios y dispositivos. Estos datos proceden tanto de orígenes de datos relativamente estáticos como de orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos nuevos, las tablas se actualizan con cualquier información nueva cada 15 minutos, agregando filas que podrían no estar completamente rellenadas. Cada 24 horas, los datos se consolidan para insertar un registro que contiene el conjunto de datos más reciente y completo sobre cada entidad.

Zona horaria

La información de hora en la búsqueda avanzada se encuentra actualmente en la zona horaria UTC.