Búsqueda rápida de información de entidad o evento con go hunt

Nota

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a:

  • Microsoft 365 Defender
  • Microsoft Defender para punto de conexión

Con la acción ir a la búsqueda, puede investigar rápidamente eventos y varios tipos de entidad mediante potentes capacidades de búsqueda avanzada basadas en consultas. Esta acción ejecuta automáticamente una consulta de búsqueda avanzada para buscar información relevante sobre el evento o entidad seleccionado.

La acción ir a la búsqueda está disponible en varias secciones de Defender para la nube. Esta acción está disponible para ver una vez que se muestran los detalles del evento o la entidad. Por ejemplo, puede usar la opción ir a la búsqueda de las siguientes secciones:

  • En la página de incidentes, puede revisar detalles sobre usuarios, dispositivos y muchas otras entidades asociadas a un incidente. Al seleccionar una entidad, obtiene información adicional y las distintas acciones que podría realizar en esa entidad. En el ejemplo siguiente, se selecciona un buzón que muestra detalles sobre el buzón y la opción de buscar más información sobre el buzón.

    La página Buzones con la opción Ir a la búsqueda en el portal Microsoft 365 Defender búsqueda

  • En la página de incidentes, también puede obtener acceso a una lista de entidades en la pestaña Evidencia. Seleccionar una de estas entidades proporciona una opción para buscar rápidamente información sobre esa entidad.

    La opción Ir a buscar para un elemento de evidencia en la página Incidente en Microsoft 365 Defender portal

  • Al ver la escala de tiempo de un dispositivo, puedes seleccionar un evento en la escala de tiempo para ver información adicional sobre ese evento. Una vez seleccionado un evento, se obtiene la opción de buscar otros eventos relevantes en la búsqueda avanzada.

    La opción Buscar eventos relacionados en la página de un evento en la pestaña Escalas de tiempo en Microsoft 365 Defender portal

Al seleccionar Ir a la búsqueda o a La búsqueda de eventos relacionados, se pasan distintas consultas, según si ha seleccionado una entidad o un evento.

Consulta de información de entidad

Puedes usar ir a buscar para consultar información sobre un usuario, dispositivo o cualquier otro tipo de entidad; la consulta comprueba todas las tablas de esquema relevantes en busca de eventos que impliquen esa entidad para devolver información. Para que los resultados se administren, la consulta es:

  • en el mismo período de tiempo que la actividad más temprana de los últimos 30 días que implica a la entidad
  • asociado con el incidente.

Este es un ejemplo de la consulta de búsqueda de ir para un dispositivo:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Tipos de entidad compatibles

Puede usar la opción ir a buscar después de seleccionar cualquiera de estos tipos de entidad:

  • Archivos
  • Mensajes de correo electrónico
  • Clústeres de correo electrónico
  • Buzones
  • Usuarios
  • Dispositivos
  • Direcciones IP
  • Direcciones URL

Consulta de información de eventos

Al usar ir a buscar para consultar información sobre un evento de escala de tiempo, la consulta comprueba todas las tablas de esquema relevantes para otros eventos en el momento del evento seleccionado. Por ejemplo, la siguiente consulta enumera los eventos de varias tablas de esquema que se produjeron alrededor del mismo período de tiempo en el mismo dispositivo:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Ajustar la consulta

Con cierto conocimiento del idioma de consulta, puede ajustar la consulta a su preferencia. Por ejemplo, puede ajustar esta línea, que determina el tamaño de la ventana de tiempo:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Además de modificar la consulta para obtener resultados más relevantes, también puede:

Nota

Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para endpoint. Activa la Microsoft 365 Defender para buscar amenazas con más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para endpoint a Microsoft 365 Defender siguiendo los pasos descritos en Migrar consultas avanzadas de búsqueda desde Microsoft Defender para endpoint.