Búsqueda en intervalos de tiempo largos en grandes conjuntos de datos

Use un trabajo de búsqueda cuando inicie una investigación para encontrar eventos específicos en los registros de hasta hace siete años. Puede buscar eventos en todos los registros, incluidos eventos en los planes de registro de Analytics, Básico y Archivado. Filtre y busque eventos que coincidan con sus criterios.

Importante

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Inicio de un trabajo de búsqueda

Vaya a Buscar en Microsoft Sentinel desde el Azure portal o el portal de Microsoft Defender para introducir sus criterios de búsqueda. Según el tamaño del conjunto de datos de destino, los tiempos de búsqueda varían. Aunque la mayoría de los trabajos de búsqueda tardan unos minutos en completarse, también se admiten búsquedas en conjuntos de datos masivos que se ejecutan hasta 24 horas.

  1. Para Microsoft Sentinel en Azure Portal, en General, seleccione Buscar.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Buscar.

  2. Seleccione el menú Tabla y elija una tabla para la búsqueda.

  3. En el cuadro Buscar, escriba el término de búsqueda.

  4. Seleccione el Inicio para abrir el editor avanzado de Kusto Query Language (KQL) y la versión preliminar de los resultados para un intervalo de tiempo establecido.

  5. Cambie la consulta KQL según sea necesario y seleccione Ejecutar para obtener una versión preliminar actualizada de los resultados de la búsqueda.

    Captura de pantalla del editor de KQL con la búsqueda revisada.

  6. Cuando esté satisfecho con la consulta y la versión preliminar de los resultados de la búsqueda, seleccione las elipses ... y active el modo Buscar trabajo.

    Captura de pantalla del editor KQL con la búsqueda revisada y los puntos suspensivos resaltados para el modo de búsqueda de trabajo.

  7. Seleccione el intervalo de tiempo adecuado.

  8. Resuelva cualquier problema KQL indicado por una línea roja en el editor.

  9. Cuando esté listo para iniciar la búsqueda de trabajo, seleccione Buscar trabajo.

  10. Introduzca un nuevo nombre de tabla para almacenar los resultados de la búsqueda´de trabajo.

  11. Seleccione Ejecutar la búsqueda de trabajo.

  12. Espere a la notificación Búsqueda de trabajo realizada para ver los resultados.

Visualización de los resultados del trabajo de búsqueda

Para ver el estado y los resultados del trabajo de búsqueda, vaya a la pestaña Búsquedas guardadas.

  1. En Microsoft Sentinel, seleccione Buscar>Búsquedas guardadas.

  2. En la tarjeta de búsqueda, seleccione Ver resultados de la búsqueda.

    Captura de pantalla que muestra el vínculo para ver los resultados de búsqueda en la parte inferior de la tarjeta de trabajo de búsqueda.

    De forma predeterminada, podrá ver todos los resultados que coinciden con los criterios de búsqueda originales.

  3. Para afinar la lista de resultados de la tabla de búsqueda, seleccione Agregar filtro.

  4. Mientras revisa los resultados de su búsqueda de empleo, seleccione Agregar marcador, o seleccione el icono de marcador para conservar una fila. Agregar un marcador le permite etiquetar eventos, agregar notas y adjuntar esos eventos a un incidente para una referencia posterior.

    Captura de pantalla que muestra los resultados del trabajo de búsqueda con un marcador agregándose.

  5. Seleccione el botón Columnas y marque la casilla situada junto a las columnas que desee agregar a la vista de resultados.

  6. Agregue el filtro Marcado para mostrar solo las entradas que ha conservado.

  7. Seleccione Ver todos los marcadores para ir a la página de Búsqueda donde puede agregar un marcador a un incidente existente.

Pasos siguientes

Para más información, consulte los siguientes artículos.