Creación de consultas de búsqueda personalizadas en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Busque amenazas de seguridad en los orígenes de datos de la organización con consultas de búsqueda personalizadas. Microsoft Sentinel proporciona consultas de búsqueda integradas para ayudarle a encontrar problemas en los datos que tiene en la red. También se pueden crear consultas propias personalizadas. Para obtener más información sobre las consultas de búsqueda, consulte Búsqueda de amenazas en Microsoft Sentinel.

Creación de una consulta

En Microsoft Sentinel, cree una consulta de búsqueda personalizada desde la pestaña Búsqueda de>Consultas.

1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
   Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

2. Seleccione la pestaña Consultas.

3. En la barra de comandos, seleccione Nueva consulta.

   Azure Portal

   

   Portal de Defender

   

4. Rellene todos los campos en blanco.

   1. Cree asignaciones de entidades seleccionando tipos de entidad, identificadores y columnas.

      

   2. Asigne las técnicas ATT&CK de MITRE a sus consultas de búsqueda seleccionando la táctica, la técnica y la sub técnica (si procede).

      

5. Cuando termine de definir la consulta, seleccione Crear.

Clonar de una consulta existente

Clone una consulta personalizada o integrada y edítelo según sea necesario.

1. En la pestaña Búsqueda>Consultas, seleccione la consulta de búsqueda que quiere clonar.

2. Seleccione la elipsis (...) en la línea de la consulta que desea modificar y seleccione Clonar.

   Azure Portal

   

   Portal de Defender

   

3. Edite la consulta y otros campos según corresponda.

4. Seleccione Crear.

Edición de una consulta personalizada existente

Solo pueden editarse las consultas que procedan de una fuente de contenido personalizada. Otros orígenes de contenido deben editarse en ese origen.

1. En la pestaña Búsqueda>Consultas, seleccione la consulta de búsqueda que quiere cambiar.

2. Seleccione el botón de puntos suspensivos (...) en la línea de la consulta que quiere modificar y seleccione Editar.

3. Actualice el campo Consulta con la consulta actualizada. También puede cambiar la asignación de entidades y las técnicas.

4. Cuando termine, seleccione Save.

Contenido relacionado

• Referencia rápida de KQL
• Analizadores del Modelo avanzado de información de seguridad (ASIM)
• Búsqueda de amenazas en Microsoft Sentinel
• Realice una búsqueda proactiva de amenazas de extremo a extremo en Microsoft Sentinel