Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

La búsqueda avanzada admite dos modos, guiados y avanzados. Use el modo guiado si aún no está familiarizado con Lenguaje de consulta Kusto (KQL) o prefiere la comodidad de un generador de consultas. Use el modo avanzado si está cómodo con KQL para crear consultas desde cero.

Para empezar a buscar, lea Elegir entre modos guiados y avanzados para buscar en el portal de Microsoft Defender.

Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, a continuación, responder a sospechas de actividad de infracción, máquinas mal configuradas y otros hallazgos.

La búsqueda avanzada admite consultas que comprueban un conjunto de datos más amplio procedente de:

  • Microsoft Defender para punto de conexión
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

Para usar la búsqueda avanzada, active Microsoft Defender XDR. O bien, para usar la búsqueda avanzada con Microsoft Sentinel, conéctese Microsoft Sentinel al portal de Defender.

Para obtener más información sobre la búsqueda avanzada en Microsoft Defender for Cloud Apps datos, vea el vídeo.

Obtener acceso

Para usar la búsqueda avanzada u otras funcionalidades de Microsoft Defender XDR, necesita un rol adecuado en Microsoft Entra ID. Obtenga información sobre los roles y permisos necesarios para la búsqueda avanzada.

Además, el acceso a los datos de punto de conexión viene determinado por la configuración del control de acceso basado en rol (RBAC) en Microsoft Defender para punto de conexión. Obtenga información sobre cómo administrar el acceso a Microsoft Defender XDR.

Actualización de datos y frecuencia de actualización

Los datos de búsqueda avanzada se pueden clasificar en dos tipos distintos, cada uno consolidado de forma diferente.

  • Datos de eventos o de actividad: rellena tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a los servicios en la nube correspondientes. Por ejemplo, puede consultar datos de eventos de sensores en buen estado en estaciones de trabajo o controladores de dominio casi inmediatamente después de que estén disponibles en Microsoft Defender para punto de conexión y Microsoft Defender for Identity.
  • Datos de entidad: rellena tablas con información sobre usuarios y dispositivos. Estos datos proceden tanto de orígenes de datos relativamente estáticos como de orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos nuevos, las tablas se actualizan con cualquier información nueva cada 15 minutos, agregando filas que podrían no estar completamente rellenadas. Cada 24 horas, los datos se consolidan para insertar un registro que contiene el conjunto de datos más reciente y completo sobre cada entidad.

Zona horaria

Consultas

Los datos de búsqueda avanzados usan la zona horaria UTC (coordenadas horarias universales). Captura de pantalla del intervalo de tiempo personalizado.

Las consultas deben crearse en UTC.

Resultados

Los resultados de búsqueda avanzados se convierten en la zona horaria establecida en Microsoft Defender XDR.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.