Obtener formación de expertos sobre la búsqueda avanzadaGet expert training on advanced hunting

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender para punto de conexiónMicrosoft Defender for Endpoint

Aumente su conocimiento de la búsqueda avanzada rápidamente con Tracking the adversary, una serie de difusión por web para nuevos analistas de seguridad y cazacarros de amenazas expertos.Boost your knowledge of advanced hunting quickly with Tracking the adversary, a webcast series for new security analysts and seasoned threat hunters. La serie le guía a través de los conceptos básicos hasta la creación de sus propias consultas sofisticadas.The series guides you through the basics all the way to creating your own sophisticated queries. Empieza con el primer vídeo sobre conceptos básicos o salta a vídeos más avanzados que se adapten a tu nivel de experiencia.Start with the first video on fundamentals or jump to more advanced videos that suit your level of experience.

TitleTitle DescripciónDescription RelojWatch ConsultasQueries
Episodio 1: Conceptos básicos de KQLEpisode 1: KQL fundamentals Este episodio trata los conceptos básicos de la búsqueda avanzada en Microsoft 365 Defender.This episode covers the basics of advanced hunting in Microsoft 365 Defender. Obtenga información sobre los datos de búsqueda avanzados disponibles y la sintaxis y los operadores básicos de KQL.Learn about available advanced hunting data and basic KQL syntax and operators. YouTube (54:14)YouTube (54:14) Archivo de textoText file
Episodio 2: CombinacionesEpisode 2: Joins Siga aprendiendo sobre los datos en la búsqueda avanzada y cómo unir tablas.Continue learning about data in advanced hunting and how to join tables together. Obtenga información inner sobre , , y outer unique combinaciones, y comprenda los semi matices de la combinación predeterminada de Kusto. inneruniqueLearn about inner, outer, unique, and semi joins, and understand the nuances of the default Kusto innerunique join. YouTube (53:33)YouTube (53:33) Archivo de textoText file
Episodio 3: Resumen, pivotación y visualización de datosEpisode 3: Summarizing, pivoting, and visualizing data Ahora que ha aprendido a filtrar, manipular y unir datos, es hora de resumir, cuantificar, pivotar y visualizar.Now that you've learned to filter, manipulate, and join data, it’s time to summarize, quantify, pivot, and visualize. En este episodio se analiza el operador y varios cálculos, al tiempo que se presentan tablas summarize adicionales en el esquema.This episode discusses the summarize operator and various calculations, while introducing additional tables in the schema. También aprenderá a convertir conjuntos de datos en gráficos que pueden ayudarle a extraer información.You'll also learn to turn datasets into charts that can help you extract insight. YouTube (48:52)YouTube (48:52) Archivo de textoText file
Episodio 4: Vamos a cazar.Episode 4: Let’s hunt! Aplicación de KQL al seguimiento de incidentesApplying KQL to incident tracking En este episodio, aprenderás a realizar un seguimiento de alguna actividad de atacante.In this episode, you learn to track some attacker activity. Usamos nuestra mejor comprensión de Kusto y la búsqueda avanzada para realizar un seguimiento de un ataque.We use our improved understanding of Kusto and advanced hunting to track an attack. Obtenga información sobre los trucos reales usados en el campo, incluidos los ABC de ciberseguridad y cómo aplicarlos a la respuesta a incidentes.Learn actual tricks used in the field, including the ABCs of cybersecurity and how to apply them to incident response. YouTube (59:36)YouTube (59:36) Archivo de textoText file

Obtenga más formación de expertos con L33TSP3AK: Búsqueda avanzada en Microsoft 365 Defender, una serie de difusión por web para analistas que buscan expandir sus conocimientos técnicos y habilidades prácticas en la realización de investigaciones de seguridad mediante la búsqueda avanzada en Microsoft 365 Defender.Get more expert training with L33TSP3AK: Advanced hunting in Microsoft 365 Defender, a webcast series for analysts looking to expand their technical knowledge and practical skills in conducting security investigations using advanced hunting in Microsoft 365 Defender.

TitleTitle DescripciónDescription RelojWatch ConsultasQueries
Episodio 1Episode 1 En este episodio, aprenderás diferentes procedimientos recomendados para ejecutar consultas avanzadas de búsqueda.In this episode, you will learn different best practices in running advanced hunting queries. Entre los temas tratados se encuentran: cómo optimizar las consultas, usar la búsqueda avanzada para ransomware, controlar JSON como un tipo dinámico y trabajar con operadores de datos externos.Among the topics covered are: how to optimize your queries, use advanced hunting for ransomware, handle JSON as a dynamic type, and work with external data operators. YouTube (56:34)YouTube (56:34) Archivo de textoText file

Cómo usar el archivo CSLHow to use the CSL file

Antes de iniciar un episodio, acceda al archivo de texto correspondiente en GitHub y copie su contenido en el editor de consultas de búsqueda avanzada.Before starting an episode, access the corresponding text file on GitHub and copy its contents to the advanced hunting query editor. Al ver un episodio, puede usar el contenido copiado para seguir el altavoz y ejecutar consultas.As you watch an episode, you can use the copied contents to follow the speaker and run queries.

El siguiente fragmento de un archivo de texto que contiene las consultas muestra un conjunto completo de instrucciones marcadas como comentarios con // .The following excerpt from a text file containing the queries shows a comprehensive set of guidance marked as comments with //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

El mismo archivo de texto incluye consultas antes y después de los comentarios como se muestra a continuación.The same text file includes queries before and after the comments as shown below. Para ejecutar una consulta específica con varias consultas en el editor,mueva el cursor a esa consulta y seleccione Ejecutar consulta.To run a specific query with multiple queries in the editor, move the cursor to that query and select Run query.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

AppFileEvents
| take 100
| sort by Timestamp desc