Trabajar con resultados de consulta de búsqueda avanzada
Nota:
¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Aunque puede crear consultas de búsqueda avanzadas para devolver información precisa, también puede trabajar con los resultados de la consulta para obtener más información e investigar actividades e indicadores específicos. Puede realizar las siguientes acciones en los resultados de la consulta:
- Visualización de resultados como tabla o gráfico
- Exportar tablas y gráficos
- Explorar en profundidad la información detallada de la entidad
- Ajustar las consultas directamente desde los resultados
Visualización de los resultados de la consulta como tabla o gráfico
De forma predeterminada, la búsqueda avanzada muestra los resultados de la consulta como datos tabulares. También puede mostrar los mismos datos que un gráfico. La búsqueda avanzada admite las siguientes vistas:
| Tipo de vista | Descripción |
|---|---|
| Tabla | Muestra los resultados de la consulta en formato tabular |
| Gráfico de columnas | Representa una serie de elementos únicos en el eje X como barras verticales cuyos altos representan valores numéricos de otro campo. |
| Gráfico circular | Representa los pasteles seccionales que representan elementos únicos. El tamaño de cada gráfico circular representa valores numéricos de otro campo. |
| Gráfico de líneas | Traza valores numéricos para una serie de elementos únicos y conecta los valores trazados |
| Gráfico de dispersión | Traza valores numéricos para una serie de elementos únicos |
| Gráfico de áreas | Traza valores numéricos para una serie de elementos únicos y rellena las secciones debajo de los valores trazados. |
| Gráfico de áreas apiladas | Traza valores numéricos para una serie de elementos únicos y apila las secciones rellenas debajo de los valores trazados. |
| Gráfico de tiempo | Traza valores por recuento en una escala de tiempo lineal |
Construcción de consultas para gráficos efectivos
Al representar gráficos, la búsqueda avanzada identifica automáticamente las columnas de interés y los valores numéricos que se van a agregar. Para obtener gráficos significativos, construya las consultas para devolver los valores específicos que desea ver visualizados. Estas son algunas consultas de ejemplo y los gráficos resultantes.
Alertas por gravedad
Use el summarize operador para obtener un recuento numérico de los valores que desea trazar. En la consulta siguiente se usa el summarize operador para obtener el número de alertas por gravedad.
AlertInfo
| summarize Total = count() by Severity
Al representar los resultados, un gráfico de columnas muestra cada valor de gravedad como una columna independiente:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Correos electrónicos de suplantación de identidad en los diez dominios de remitente principales
Si trabaja con una lista de valores que no son finitos, puede usar el Top operador para trazar solo los valores con la mayoría de las instancias. Por ejemplo, para obtener los 10 dominios de remitente principales con la mayoría de los correos electrónicos de phishing, use la consulta siguiente:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Use la vista de gráfico circular para mostrar de forma eficaz la distribución entre los dominios principales:
Actividades de archivo a lo largo del tiempo
Con el summarize operador con la bin() función , puede comprobar si hay eventos que impliquen un indicador determinado a lo largo del tiempo. La consulta siguiente cuenta los eventos que implican el archivo invoice.doc a intervalos de 30 minutos para mostrar picos de actividad relacionados con ese archivo:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
El gráfico de líneas siguiente resalta claramente los períodos de tiempo con más actividad relacionada con invoice.doc:
Exportar tablas y gráficos
Después de ejecutar una consulta, seleccione Exportar para guardar los resultados en el archivo local. La vista elegida determina cómo se exportan los resultados:
- Vista de tabla: los resultados de la consulta se exportan en formato tabular como un libro de Microsoft Excel
- Cualquier gráfico: los resultados de la consulta se exportan como una imagen JPEG del gráfico representado.
Obtención de detalles de los resultados de la consulta
También puede explorar los resultados en línea con las siguientes características:
- Expanda un resultado seleccionando la flecha desplegable situada a la izquierda de cada resultado.
- Cuando corresponda, expanda los detalles de los resultados que están en formato JSON y matriz; para ello, seleccione la flecha desplegable situada a la izquierda de los nombres de columna aplicables para mejorar la legibilidad.
- Abra el panel lateral para ver los detalles de un registro (simultáneamente con filas expandidas)
También puede hacer clic con el botón derecho en cualquier valor de resultado de una fila para que pueda usarlo para agregar más filtros a la consulta existente o copiar el valor para usarlo en una investigación posterior.
Además, para los campos JSON y de matriz, puede hacer clic con el botón derecho y actualizar la consulta existente para incluir o excluir el campo, o para ampliar el campo a una nueva columna.
Para inspeccionar rápidamente un registro en los resultados de la consulta, seleccione la fila correspondiente para abrir el panel Inspeccionar registro . El panel proporciona la siguiente información en función del registro seleccionado:
- Activos: vista resumida de los principales recursos (buzones, dispositivos y usuarios) que se encuentran en el registro, enriquecidos con información disponible, como los niveles de riesgo y exposición.
- Todos los detalles: todos los valores de las columnas del registro
Para ver más información sobre una entidad específica en los resultados de la consulta, como una máquina, un archivo, un usuario, una dirección IP o una dirección URL, seleccione el identificador de entidad para abrir una página de perfil detallada para esa entidad.
Modificar las consultas de los resultados
Seleccione los tres puntos situados a la derecha de cualquier columna en el panel Inspeccionar registro . Puede usar las opciones para:
- Buscar explícitamente el valor seleccionado (
==) - Excluir el valor seleccionado de la consulta (
!=) - Obtenga operadores más avanzados para agregar el valor a la consulta, como
contains,starts withy .ends with
Nota:
Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR siguiendo los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
- Introducción a las detecciones personalizadas
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de