Compartir vía


Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel

Los marcadores de búsqueda en Microsoft Sentinel le ayudan a conservar las consultas y los resultados de las consultas que considere pertinentes. También puede registrar las observaciones realizadas dentro de un contexto y hacer referencia a sus hallazgos agregando notas y etiquetas. Los datos marcados están visibles tanto para usted como para sus compañeros de equipo para, así, colaborar de forma más sencilla. Para más información, consulte Marcadores.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Agregar un marcador

Cree un marcador para conservar las consultas, los resultados, las observaciones y los resultados.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. En la pestaña Búsqueda, seleccione una búsqueda.

  3. Seleccione una de las consultas de búsqueda.

  4. En los detalles de la consulta de búsqueda, seleccione Ejecutar consulta.

  5. Seleccione View query results (Ver resultados de la consulta). Por ejemplo:

    Captura de pantalla de la visualización de los resultados de la consulta de búsqueda de Microsoft Sentinel.

    Esta acción abre los resultados de la consulta en el panel Registros.

  6. En la lista de resultados de la consulta de registro, use las casillas para seleccionar una o más filas que contengan la información que le interese.

  7. Seleccione Agregar marcador:

    Captura de pantalla de la adición de un marcador de búsqueda a la consulta.

  8. A la derecha, en el panel Agregar marcador, puede actualizar el nombre del marcador y agregar etiquetas y notas que le ayuden a identificar el interés que tiene el elemento.

  9. Los marcadores se pueden asignar opcionalmente a técnicas o sub-técnicas de MITRE ATT&CK. Las asignaciones de MITRE ATT&CK se heredan de los valores asignados en las consultas de búsqueda, pero también puede crearlas manualmente. Seleccione la táctica MITRE ATT&CK asociada a la técnica deseada en el menú desplegable de la sección Tácticas y técnicas del panel Agregar marcador. El menú se expande para mostrar todas las técnicas de MITRE ATT&CK, y puede seleccionar varias técnicas y sub-técnicas en este menú.

    Captura de pantalla de cómo asignar tácticas y técnicas de Mitre Attack a los marcadores.

  10. Ahora se puede extraer un conjunto ampliado de entidades de los resultados de consultas marcadas para realizar una investigación más profunda. En la sección Asignación de entidades, use los menús desplegables para seleccionar los identificadores y tipos de entidades. A continuación, asigne la columna en los resultados de la consulta que contiene el identificador correspondiente. Por ejemplo:

    Captura de pantalla para asignar tipos de entidad a los marcadores de búsqueda.

    Para ver el marcador en el gráfico de investigación, debe asignar al menos una entidad. Se admiten las asignaciones de entidades a los tipos de entidad de cuenta, host, IP y dirección URL que ha creado, lo que conserva la compatibilidad con versiones anteriores.

  11. Seleccione Guardar para confirmar los cambios y agregar el marcador. Todos los datos marcados se comparten con otros analistas, y es un primer paso hacia una experiencia de investigación colaborativa.

Los resultados de la consulta de registro admiten marcadores cada vez que se abre este panel desde Microsoft Sentinel. Por ejemplo, seleccione General>Registros en la barra de navegación, seleccione vínculos de eventos en el grafo de investigación o seleccione un identificador de alerta en los detalles completos de un incidente. No se pueden crear marcadores si el panel Registros se abre desde otras ubicaciones como, por ejemplo, directamente desde Azure Monitor.

Ver y actualizar marcadores

Busque y actualice un marcador desde la pestaña marcador.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Búsqueda.

  2. Seleccione la pestaña Marcadores para ver la lista de marcadores.

  3. Busque o filtre para buscar un marcador o marcadores específicos.

  4. Seleccione marcadores individuales para ver los detalles del marcador en el panel derecho.

  5. Realice los cambios según sea necesario. Los cambios se guardan automáticamente.

Exploración de marcadores en el gráfico de investigación

Visualice los datos marcados iniciando la experiencia de investigación en la que puede ver, investigar y comunicar visualmente los resultados mediante un diagrama interactivo de gráfico de entidades y una escala de tiempo.

  1. En la pestaña Marcadores, seleccione el marcador o los marcadores que desea investigar.

  2. En los detalles del marcador, asegúrese de que al menos una entidad está asignada.

  3. Haga clic en Investigar para ver el marcador en el gráfico de investigación.

Para obtener instrucciones sobre cómo usar el gráfico de investigación, consulte Use the investigation graph to deep dive (Uso del gráfico de investigación para un análisis a fondo).

Agregar marcadores a un incidente nuevo o a otro ya existente

Agregue marcadores a un incidente desde la pestaña marcadores de la página Búsqueda.

  1. En la pestaña Marcadores, seleccione el marcador o los marcadores que desea agregar a un incidente.

  2. Seleccione Acciones de incidente en la barra de comandos:

    Captura de pantalla de la adición de marcadores al incidente.

  3. Seleccione Crear incidente nuevo o Agregar a incidente existente, según sea necesario. A continuación:

    • Para un nuevo incidente: Opcionalmente, actualice los detalles del incidente y, a continuación, seleccione Crear.
    • Para agregar un marcador a un incidente existente: Seleccione un incidente y, a continuación, seleccione Agregar.
  4. Para ver el marcador en el incidente,

    1. Vaya a Microsoft Sentinel>Administración de amenazas>Incidentes.
    2. Seleccione el incidente con el marcador y Ver los detalles completos.
    3. En la página incidente, en el panel izquierdo, seleccione Marcadores.

Ver datos marcados en registros

Vea las consultas, los resultados o su historial de marcados.

  1. Seleccione el marcador en la pestaña Búsqueda>Marcadores.

  2. En el panel de detalles, seleccione los vínculos siguientes:

    • Seleccione Ver consulta de origen para ver la consulta de origen en el panel Registros.

    • Haga clic en View bookmark logs (Ver registros de marcador) para ver todos los metadatos de marcadores, como quién realizó la actualización, los valores actualizados y la hora en que se produjo la actualización.

  3. En la barra de comandos de la pestaña Búsqueda>de marcadores, seleccione Registros de marcadores para ver los datos sin procesar de todos los marcadores.

    Captura de pantalla del comando de registros de marcadores.

Esta vista muestra todos los marcadores con los metadatos asociados. Puede usar consultas del Lenguaje de consulta Kusto (KQL) para filtrar a la versión más reciente del marcador específico que busca.

Puede haber un retraso significativo (medido en minutos) entre el tiempo que cree un marcador y cuando se muestre en la pestaña Marcadores.

Eliminar un marcador

Al eliminar el marcador, este se quita de la lista de la pestaña Bookmarks (Marcadores). La tabla HuntingBookmark del área de trabajo de Log Analytics seguirá conteniendo entradas de marcador anteriores, pero la entrada más reciente cambia el valor de SoftDelete a true, lo que facilita filtrar los marcadores antiguos. La eliminación de un marcador no quita ninguna entidad de la experiencia de investigación asociada a otros marcadores o alertas.

Para eliminar un marcador, complete los pasos siguientes.

  1. En la pestaña Búsqueda>Marcadores, seleccione el marcador o los marcadores que desea eliminar.

  2. Haga clic con el botón derecho y seleccione la opción para eliminar los marcadores seleccionados.

En este artículo, ha aprendido a ejecutar una investigación de búsqueda usando marcadores en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: