Búsqueda de amenazas con Azure SentinelHunt for threats with Azure Sentinel

Si es un investigador que quiere ser proactivo a la hora de buscar amenazas de seguridad, use las eficaces herramientas de búsqueda y consulta de Azure Sentinel para encontrar amenazas de seguridad en cualquier origen de datos de la organización.If you're an investigator who wants to be proactive about looking for security threats, Azure Sentinel powerful hunting search and query tools to hunt for security threats across your organization's data sources. Pero los sistemas y dispositivos de seguridad generan infinidad de datos que pueden ser difíciles de analizar y filtrar para hallar eventos significativos.But your systems and security appliances generate mountains of data that can be difficult to parse and filter into meaningful events. Para ayudar a los analistas de seguridad a buscar proactivamente nuevas anomalías que las aplicaciones de seguridad no han sido capaces de identificar, las consultas de búsqueda integradas de Azure Sentinel servirán de guía para formular las preguntas adecuadas para detectar problemas en los datos que ya hay en la red.To help security analysts look proactively for new anomalies that weren't detected by your security apps, Azure Sentinel' built-in hunting queries guide you into asking the right questions to find issues in the data you already have on your network.

Por ejemplo, una consulta integrada proporciona datos sobre los procesos menos habituales que se ejecutan en la infraestructura; no tiene sentido recibir una alerta cada vez que estos procesos se ejecuten (pueden ser totalmente inofensivos), pero sí conviene echar un vistazo a la consulta de vez en cuando para ver si hay algo inusual.For example, one built-in query provides data about the most uncommon processes running on your infrastructure - you wouldn't want an alert about each time they are run, they could be entirely innocent, but you might want to take a look at the query on occasion to see if there's anything unusual.

Con la función de búsqueda de Azure Sentinel, puede aprovechar las siguientes capacidades:With Azure Sentinel hunting, you can take advantage of the following capabilities:

  • Consultas integradas: para ayudarle a comenzar, una página de inicio proporciona ejemplos precargados de consultas diseñadas para que pueda empezar a trabajar y a familiarizarse con las tablas y el lenguaje de consulta.Built-in queries: To get you started, a starting page provides preloaded query examples designed to get you started and get you familiar with the tables and the query language. Estas consultas de búsqueda integradas están desarrolladas por investigadores de seguridad de Microsoft, y lo hacen de forma continua, agregando nuevas consultas y ajustando las consultas existentes para que sean un punto de entrada para buscar nuevas detecciones y averiguar dónde empezar a buscar comienzos de nuevos ataques.These built-in hunting queries are developed by Microsoft security researchers on a continuous basis, adding new queries, and fine-tuning existing queries to provide you with an entry point to look for new detections and figure out where to start hunting for the beginnings of new attacks.

  • Lenguaje de consulta eficaz con IntelliSense: se basa en un lenguaje de consulta que le reporta la flexibilidad que necesita para llevar la búsqueda al siguiente nivel.Powerful query language with IntelliSense: Built on top of a query language that gives you the flexibility you need to take hunting to the next level.

  • Creación de marcadores propios: durante el proceso de búsqueda, puede encontrar coincidencias, hallazgos, paneles o actividades que tienen un aspecto sospechoso o poco usual.Create your own bookmarks: During the hunting process, you may come across matches or findings, dashboards, or activities that look unusual or suspicious. A fin de marcar esos elementos de forma que se pueda volver a ellos en el futuro, utilice la funcionalidad de marcador.In order to mark those items so you can come back to them in the future, use the bookmark functionality. Los marcadores permiten guardar los elementos para usarlos más adelante para crear un incidente de investigación.Bookmarks let you save items for later, to be used to create an incident for investigation. Para obtener más información sobre los marcadores, vea el tema sobre el uso de marcadores de búsqueda.For more information about bookmarks, see Use bookmarks in hunting.

  • Uso de cuadernos para automatizar la investigación: los cuadernos son cuadernos de estrategias pormenorizados que se pueden crear para recorrer paso a paso un proceso investigación y de búsqueda.Use notebooks to automate investigation: Notebooks are like step-by-step playbooks that you can build to walk through the steps of an investigation and hunt. Los cuadernos aglutinan todos los pasos de búsqueda en un cuaderno de estrategias reutilizable que se puede compartir con otras personas de la organización.Notebooks encapsulate all the hunting steps in a reusable playbook that can be shared with others in your organization.

  • Consulta de los datos almacenados: los datos están accesibles en las tablas para que se puedan consultar.Query the stored data: The data is accessible in tables for you to query. Así, por ejemplo, se puede consultar la creación de procesos, los eventos DNS y otros muchos tipos de eventos.For example, you can query process creation, DNS events, and many other event types.

  • Vínculos a la comunidad: saque partido de la tremenda eficacia de la comunidad más amplia para acceder a más consultas y orígenes de datos.Links to community: Leverage the power of the greater community to find additional queries and data sources.

Empezar a realizar búsquedasGet started hunting

  1. En el portal de Azure Sentinel, haga clic en Hunting (Búsqueda).In the Azure Sentinel portal, click Hunting. Azure Sentinel empieza a buscarAzure Sentinel starts hunting

  2. Al abrir la página Hunting (Búsqueda), todas las consultas de búsqueda se muestran en una misma tabla.When you open the Hunting page, all the hunting queries are displayed in a single table. En esa tabla se enumeran todas las consultas escritas por el equipo de analistas de seguridad de Microsoft, así como otras consultas adicionales que haya creado o modificado.The table lists all the queries written by Microsoft's team of security analysts as well as any additional query you created or modified. En cada consulta se proporciona una descripción de lo que se busca y en qué tipo de datos se ejecuta.Each query provides a description of what it hunts for, and what kind of data it runs on. Estas plantillas se agrupan según diversas tácticas; así, los iconos de la derecha clasifican el tipo de amenaza, como acceso inicial, persistencia y filtración.These templates are grouped by their various tactics - the icons on the right categorize the type of threat, such as initial access, persistence, and exfiltration. Estas plantillas de consulta de búsqueda se pueden filtrar mediante cualquiera de los campos.You can filter these hunting query templates using any of the fields. Puede guardar cualquier consulta en sus favoritos.You can save any query to your favorites. Al guardar una consulta en favoritos, esta se ejecuta automáticamente cada vez que se acceda a la página Hunting (Búsqueda).By saving a query to your favorites, the query automatically runs each time the Hunting page is accessed. Puede crear sus propias consultas de búsqueda o clonar y personalizar una plantilla de consulta de búsqueda ya existente.You can create your own hunting query or clone and customize an existing hunting query template.

  3. Haga clic en Run query (Ejecutar consulta) en la página de detalles de la consulta de búsqueda para ejecutar la consulta que quiera sin salir de la página de búsquedas.Click Run query in the hunting query details page to run any query without leaving the hunting page. El número de coincidencias encontradas se muestra en la tabla.The number of matches is displayed within the table. Revise la lista de consultas de búsqueda y las coincidencias encontradas correspondientes.Review the list of hunting queries and their matches. Compruebe con qué fase del ciclo de ciberataque está asociada una coincidencia.Check out which stage in the kill chain the match is associated with.

  4. Revise rápidamente la consulta subyacente en el panel de detalles de la consulta o haga clic en View query result (Ver resultado de la consulta) para abrir la consulta en Log Analytics.Perform a quick review of the underlying query in the query details pane or click View query result to open the query in Log Analytics. Al final, revise a las coincidencias encontradas relativas a la consulta.At the bottom, review the matches for the query.

  5. Haga clic en la fila y seleccione Add bookmark (Agregar marcador) para agregar las filas que se van a investigar. Esto se puede realizar con cualquier elemento que considere sospechoso.Click on the row and select Add bookmark to add the rows to be investigated - you can do this for anything that looks suspicious.

  6. Luego, vuelva a la página principal Hunting (Búsqueda) y haga clic en la pestaña Bookmarks (Marcadores) para ver todas las actividades sospechosas.Then, go back to the main Hunting page and click the Bookmarks tab to see all the suspicious activities.

  7. Seleccione un marcador y haga clic en Investigate (Investigar) para abrir la experiencia de investigación.Select a bookmark and then click Investigate to open the investigation experience. Los marcadores se pueden filtrar.You can filter the bookmarks. Por ejemplo, si está investigando una campaña, puede crear una etiqueta de la campaña y, después, filtrar todos los marcadores por esa campaña.For example, if you're investigating a campaign, you can create a tag for the campaign and then filter all the bookmarks based on the campaign.

  8. Una vez que ha descubierto qué consulta de búsqueda proporciona las conclusiones más valiosas sobre posibles ataques, también puede crear reglas de detección personalizadas basadas en la consulta y exponer esas conclusiones como alertas para los respondedores a los incidentes de seguridad.After you discovered which hunting query provides high value insights into possible attacks, you can also create custom detection rules based on your query and surface those insights as alerts to your security incident responders.

Lenguaje de consultaQuery language

Las búsquedas de Azure Sentinel se basan en el lenguaje de consultas de Kusto.Hunting in Azure Sentinel is based on Kusto query language. Para obtener más información sobre el lenguaje de consulta y los operadores admitidos, consulte la referencia de idioma de consulta.For more information on the query language and supported operators, see Query Language Reference.

Repositorio de GitHub de consultas de búsquedas públicasPublic hunting query GitHub repository

Eche un vistazo al repositorio de consultas de búsqueda.Check out the Hunting query repository. Use las consultas de ejemplo compartidas por nuestros clientes y aporte las suyas propias.Contribute and use example queries shared by our customers.

Consulta de ejemploSample query

Una consulta típica empieza por un nombre de tabla, seguido de una serie de operadores separados por |.A typical query starts with a table name followed by a series of operators separated by |.

En el ejemplo anterior, empiece con la tabla SecurityEvent y agregue elementos canalizados según sea necesario.In the example above, start with the table name SecurityEvent and add piped elements as needed.

  1. Defina un filtro de tiempo para revisar solo los registros de los últimos siete días.Define a time filter to review only records from the previous seven days.

  2. Agregue un filtro a la consulta para mostrar únicamente el evento con el identificador 4688.Add a filter in the query to only show event ID 4688.

  3. Agregue un filtro a la consulta en CommandLine para que contenga solo instancias de cscript.exe.Add a filter in the query on the CommandLine to contain only instances of cscript.exe.

  4. Proyecte solo las columnas que esté interesado en explorar, limite los resultados a 1000 y haga clic en Run query (Ejecutar consulta).Project only the columns you're interested in exploring and limit the results to 1000 and click Run query.

  5. Haga clic en el triángulo verde y ejecute la consulta.Click the green triangle and run the query. Puede comprobar la consulta y ejecutarla para hallar comportamientos anómalos.You can test the query and run it to look for anomalous behavior.

Operadores útilesUseful operators

El lenguaje de consulta es muy eficaz y cuenta con numerosos operadores disponibles. Estos son algunos de operadores útiles:The query language is powerful and has many available operators, some useful operators are listed here:

where: filtra una tabla por el subconjunto de filas que cumplen un predicado.where - Filter a table to the subset of rows that satisfy a predicate.

summarize: crea una tabla que agrega el contenido de la tabla de entrada.summarize - Produce a table that aggregates the content of the input table.

join: combina las filas de dos tablas para formar una nueva tabla, haciendo coincidir los valores de las columnas especificadas de cada tabla.join - Merge the rows of two tables to form a new table by matching values of the specified column(s) from each table.

count: devuelve el número de registros en el conjunto de registros de entrada.count - Return the number of records in the input record set.

top: devuelve los primeros N registros ordenados por las columnas especificadas.top - Return the first N records sorted by the specified columns.

limit: devuelve hasta el número de filas especificado.limit - Return up to the specified number of rows.

project: selecciona las columnas que se incluirán, las cambia de nombre o las quita e inserta nuevas columnas calculadas.project - Select the columns to include, rename or drop, and insert new computed columns.

extend: crea columnas calculadas y las anexa al conjunto de resultados.extend - Create calculated columns and append them to the result set.

makeset: devuelve una matriz dinámica (JSON) del conjunto de valores distintos que una expresión toma en el grupo.makeset - Return a dynamic (JSON) array of the set of distinct values that Expr takes in the group

find: busca filas que coinciden con un predicado a través de un conjunto de tablas.find - Find rows that match a predicate across a set of tables.

Almacenamiento de una consultaSave a query

Puede crear o modificar una consulta y guardarla como consulta propia o compartirla con los usuarios que están en el mismo inquilino.You can create or modify a query and save it as your own query or share it with users who are in the same tenant.

Guardar consulta

Cree una consulta de búsqueda:Create a new hunting query:

  1. Haga clic en New query (Nueva consulta) y seleccione Save (Guardar).Click New query and select Save.

  2. Rellene todos los campos en blanco y seleccione Save (Guardar).Fill in all the blank fields and select Save.

    Nueva consulta

Clone y modifique una consulta de búsqueda existente:Clone and modify an existing hunting query:

  1. Seleccione la consulta de búsqueda en la tabla que quiere modificar.Select the hunting query in the table you want to modify.

  2. Seleccione el botón de puntos suspensivos (...) en la línea de la consulta que quiere modificar y seleccione Clone query (Clonar consulta).Select the ellipsis (...) in the line of the query you want to modify, and select Clone query.

    Clonar una consulta

  3. Modifique la consulta y seleccione Create (Crear).Modify the query and select Create.

    Consulta personalizada

Pasos siguientesNext steps

En este artículo, ha aprendido a realizar una investigación de búsqueda en Azure Sentinel.In this article, you learned how to run a hunting investigation with Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: