Búsqueda en la plataforma unificada de SecOps de Microsoft
La búsqueda de amenazas de seguridad es una actividad altamente personalizable que es más eficaz cuando se realiza en todas las fases de la búsqueda de amenazas: proactiva, reactiva y posterior al incidente. La plataforma de operaciones de seguridad unificadas (SecOps) de Microsoft proporciona herramientas de búsqueda eficaces para cada fase de búsqueda de amenazas. Estas herramientas son adecuadas para los analistas que están empezando en su carrera o para los cazadores de amenazas experimentados mediante métodos de caza avanzados. Los cazadores de amenazas de todos los niveles se benefician de características de herramientas de búsqueda que les permiten compartir sus técnicas, consultas y hallazgos con su equipo a lo largo del camino.
Herramientas de búsqueda
La base de las consultas de búsqueda en el portal de Defender se basa en Lenguaje de consulta Kusto (KQL). KQL es un lenguaje eficaz y flexible que está optimizado para buscar a través de almacenes de macrodatos en entornos de nube. Sin embargo, la elaboración de consultas complejas no es la única manera de buscar amenazas. Estas son algunas herramientas y recursos de búsqueda más en el portal de Defender diseñados para poner la búsqueda al alcance de los usuarios:
- Security Copilot en la búsqueda avanzada genera KQL a partir de mensajes de lenguaje natural.
- La búsqueda guiada usa un generador de consultas para crear consultas de búsqueda significativas sin conocer KQL ni el esquema de datos.
- Obtenga ayuda a medida que escribe consultas con características como autosuggest, árbol de esquema y consultas de ejemplo.
- El centro de contenido proporciona consultas de expertos para que coincidan con las soluciones integradas en Microsoft Sentinel.
- Expertos de detección de Microsoft Defender felicita incluso a los mejores cazadores de amenazas que quieren ayuda.
Maximice la extensión completa de la destreza de búsqueda de su equipo con las siguientes herramientas de búsqueda en el portal de Defender:
| Herramienta de búsqueda | Descripción |
|---|---|
| Búsqueda avanzada | Vea y consulte los orígenes de datos disponibles en la plataforma unificada de SecOps de Microsoft y comparta consultas con su equipo. Use todo el contenido del área de trabajo Microsoft Sentinel existente, incluidas las consultas y las funciones. |
| búsqueda de Microsoft Sentinel | Busque amenazas de seguridad entre orígenes de datos. Use herramientas especializadas de búsqueda y consulta, como búsquedas, marcadores y livestream. |
| Ir a la caza | Dinamizar rápidamente una investigación para las entidades que se encuentran dentro de un incidente. |
| Caza | Un proceso de búsqueda proactiva de amenazas de un extremo a otro con características de colaboración. |
| Bookmarks | Conservar las consultas y sus resultados, agregando notas y observaciones contextuales. |
| Livestream | Inicie una sesión de búsqueda interactiva y use cualquier consulta de Log Analytics. |
| Búsqueda con reglas de resumen | Use reglas de resumen para ahorrar costos en la búsqueda de amenazas en registros detallados. |
| Mapa de MITRE ATT&CK | Al crear una nueva consulta de búsqueda, seleccione tácticas y técnicas específicas que se aplicarán. |
| Restauración de datos históricos | Restaure los datos de los registros archivados para usarlos en consultas de alto rendimiento. |
| Buscar conjuntos de datos grandes | Busque eventos específicos en los registros de hace hasta siete años mediante KQL. |
| Encadenamiento de infraestructura | Busque nuevas conexiones entre los actores de amenazas, agrupe una actividad de ataque similar y suposiciones fundamentadas. |
| Explorador de amenazas | Busque amenazas especializadas relacionadas con el correo electrónico. |
Fases de búsqueda
En la tabla siguiente se describe cómo puede aprovechar al máximo las herramientas de búsqueda del portal de Defender en todas las fases de la búsqueda de amenazas:
| Fase de búsqueda | Herramientas de búsqueda |
|---|---|
| Proactivo : busque las áreas débiles del entorno antes que los actores de amenazas. Detecte actividades sospechosas de forma más temprana. | - Realice búsquedas de un extremo a otro periódicamente para buscar de forma proactiva amenazas no detectadas y comportamientos malintencionados, validar hipótesis y actuar sobre los resultados mediante la creación de nuevas detecciones, incidentes o inteligencia sobre amenazas. - Use el mapa MITRE ATT&CK para identificar brechas de detección y, a continuación, ejecute consultas de búsqueda predefinidas para técnicas resaltadas. - Inserte nueva inteligencia sobre amenazas en consultas probadas para ajustar las detecciones y confirmar si hay un riesgo en proceso. - Realice pasos proactivos para compilar y probar consultas en datos de orígenes nuevos o actualizados. - Use la búsqueda avanzada para encontrar ataques o amenazas en fase temprana que no tengan alertas. |
| Reactivo: use herramientas de búsqueda durante una investigación activa. | - Use livestream para ejecutar consultas específicas a intervalos coherentes para supervisar eventos de forma activa. - Dinamizar rápidamente los incidentes con el botón Buscar para buscar en general entidades sospechosas encontradas durante una investigación. - Busque a través de la inteligencia sobre amenazas para realizar el encadenamiento de infraestructura. - Use Security Copilot en la búsqueda avanzada para generar consultas a velocidad y escala de la máquina. |
| Después del incidente : mejore la cobertura y la información para evitar que incidentes similares se repitan. | - Convertir consultas de búsqueda correctas en nuevas reglas de análisis y detección, o refinar las existentes. - Restaure datos históricos y busque en conjuntos de datos grandes búsquedas especializadas como parte de las investigaciones completas de incidentes. |