Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar la búsqueda en Investigaciones de seguridad de datos (versión preliminar) para buscar contenido de Microsoft 365, como correo electrónico, documentos y conversaciones de mensajería instantánea en su organización que sean relevantes para un incidente de seguridad. Use la búsqueda para buscar contenido en estos orígenes de datos de Microsoft 365 basados en la nube:
| Origen de datos | Tipo de contenido buscado | Ejemplos de contenido de riesgo |
|---|---|---|
| Exchange Online | Correos electrónicos y datos adjuntos en buzones de usuario | Credenciales o secretos enviados por correo electrónico, archivos confidenciales compartidos externamente. |
| Microsoft Copilot | Solicitudes y respuestas de IA | Información confidencial en las solicitudes de Copilot o IA. |
| Microsoft Teams | Mensajes de chat (1:1 y chats grupales) y publicaciones de canal | Secretos incluidos en los chats, información confidencial en las conversaciones de Teams. |
| OneDrive | Archivos de usuario | Archivos de usuario con claves de acceso seguras, exportación de bases de datos, etc. |
| SharePoint | Documentos y archivos en sitios | Documentos que contienen contraseñas, datos de clientes o planes confidenciales. |
Puede crear y ejecutar búsquedas diferentes asociadas a una investigación. Use condiciones como palabras clave, tipos de archivo, incidentes y mucho más para crear consultas de búsqueda que devuelvan resultados de búsqueda con los datos más relevantes para la investigación. También puede:
- Vea las estadísticas de búsqueda que le ayudarán a refinar una consulta de búsqueda para restringir los resultados.
- Obtenga una vista previa de los resultados de la búsqueda para comprobar rápidamente si encuentra los datos pertinentes.
- Revise una consulta y vuelva a ejecutar la búsqueda.
Tenga en cuenta las actividades que desencadenaron la investigación. Por ejemplo, la filtración o el uso compartido de contraseñas notificados, un archivo sospechoso, el trabajo con un equipo de desarrollo externo o una alerta sobre la filtración de datos o personas o equipos específicos que puedan estar implicados. Use esta información para ayudar a desarrollar la consulta de búsqueda inicial. Por ejemplo, si un administrador informó de que las contraseñas podrían almacenarse en texto sin formato en SharePoint, empiece por buscar palabras clave de contraseña conocidas o nombres de archivo en SharePoint y OneDrive, o sitios específicos de SharePoint administrados por equipos de ingeniería.
Cuando esté satisfecho con los resultados de una búsqueda y listo para revisar y analizar los resultados, agréguelos a un ámbito de investigación en la investigación. La adición de copias de los datos originales a un ámbito de investigación también facilita el proceso de análisis y revisión de inteligencia artificial, ya que proporciona herramientas avanzadas de categorización, examen y búsqueda de vectores.
Herramientas de búsqueda de acceso
Seleccione Resumen en las opciones de navegación de la parte superior de cualquier página de una investigación específica para acceder a las herramientas de búsqueda.
Las herramientas de búsqueda incluyen el selector de origen de datos, el generador de consultas y las opciones de búsqueda por archivo. Puede refinar las condiciones y orígenes de datos de consulta de búsqueda en cualquier momento durante la investigación y agregar los resultados a un ámbito de investigación.
Orígenes de datos
En Microsoft 365, los datos se almacenan en tres plataformas: Exchange, Teams y SharePoint. Estas plataformas sirven como troncal para organizar y administrar datos dentro de aplicaciones de Microsoft 365.
Importante
Si establece un estado de sitio en Bloqueado y establece el sitio en NoAccess, Investigaciones de seguridad de datos (versión preliminar) no devuelve resultados de búsqueda. Para obtener más información sobre cómo administrar los estados de bloqueo de sitio, consulte Bloqueo y desbloqueo de sitios. Además, si restringe un documento en el almacén de contenido, el investigador de Investigaciones de seguridad de datos debe ser administrador del sitio, propietario del sitio o propietario o último modificador del documento restringido para acceder a él en Investigaciones de seguridad de datos (versión preliminar). Para obtener más información sobre el contenido restringido, consulte Referencia de directivas de prevención de pérdida de datos.
La mayoría de las aplicaciones de Microsoft 365 almacenan datos en uno o varios de los siguientes contenedores:
- Usuarios: datos asociados a usuarios individuales, como su correo, mensajes de Teams 1:1 y archivos de OneDrive.
- Grupos: datos propiedad de la organización o de un grupo de usuarios dentro de una organización. Estos grupos a menudo se conocen como Grupos unificados o Teams.
En Investigaciones de seguridad de datos (versión preliminar), el concepto de orígenes de datos simplifica el proceso de identificación y administración de datos en las plataformas de Microsoft 365. Los analistas seleccionan un usuario o grupo y el ámbito busca en esos orígenes de datos. Los analistas pueden refinar el ámbito seleccionando o excluyendo ubicaciones específicas.
Los analistas también pueden usar orígenes de toda la organización para realizar búsquedas en toda la organización. Entre los orígenes de toda la organización se incluyen:
- Todas las personas y grupos: incluye todos los usuarios y todos los grupos de la organización.
- Todas las carpetas públicas: incluye todo el contenido de los buzones de carpetas públicas de Exchange.
Generador de consultas
La opción Generador de consultas en la búsqueda proporciona una experiencia de filtrado visual al compilar consultas de búsqueda en Investigaciones de seguridad de datos (versión preliminar). Dado que usará herramientas de análisis de inteligencia artificial para identificar rápidamente los datos aplicables en los elementos devueltos por la búsqueda, una estrategia amplía el ámbito de búsqueda para incluir más orígenes de datos. Esto ayuda a reducir la posibilidad de excluir cualquier contenido relevante para su revisión.
Use el generador de consultas para construir consultas complejas con funcionalidad adicional, como AND, OR y agrupación de condiciones. Estas características del generador de consultas le ayudan a crear consultas de forma más eficaz, proporcionan una interfaz visual para agrupar subconsultas y proporcionan espacio adicional para que las consultas de palabras clave complejas se construyan y revisen.
Uso del generador de consultas
Para crear una consulta y un filtrado personalizado para la búsqueda, use los siguientes controles:
- AND/OR: Estos operadores lógicos condicionales le ayudan a elegir la condición de consulta que se aplica a filtros y subgrupos de filtros específicos. Use estos operadores para incluir varios filtros o subgrupos conectados a un único filtro en la consulta.
- Seleccionar un filtro: elija filtros para los orígenes de datos específicos y el contenido de ubicación que seleccione para la colección.
- Agregar filtro: agregue varios filtros a la consulta. Esta opción está disponible después de definir al menos un filtro de consulta.
- Seleccionar un operador: en función del filtro seleccionado, puede elegir entre operadores compatibles. Por ejemplo, si selecciona el filtro Fecha , puede elegir entre Antes, Después y Entre. Si selecciona el filtro Tamaño (en bytes), puede elegir entre Mayor que, Mayor o igual, Menor que, Menor o igual, Entre e Igual.
- Valor: en función del filtro seleccionado, escriba valores compatibles. Algunos filtros admiten varios valores, mientras que otros admiten un único valor específico. Por ejemplo, si selecciona el filtro Fecha , escriba valores de fecha. Si selecciona el filtro Tamaño (en bytes), escriba un valor para bytes.
- Agregar subgrupo: después de definir un filtro, agregue un subgrupo para refinar los resultados devueltos por el filtro. También puede agregar un subgrupo a un subgrupo para el refinamiento de consultas multicapa.
- Quitar una condición de filtro: para quitar un filtro o subgrupo individuales, seleccione el icono quitar situado a la derecha de cada línea de filtro o subgrupo.
- Borrar todo: para borrar toda la consulta de todos los filtros y subgrupos, seleccione Borrar todo.
Ejemplo de escenario
Un analista de Investigaciones de seguridad de datos (versión preliminar) debe crear una consulta para cualquier elemento que incluya la palabra clave confidencial usada entre el 1 de enero de 2025 y el 16 de marzo de 2025*. En este ejemplo, el analista crea la siguiente consulta mediante el generador de consultas:
- Para el primer filtro, el analista selecciona Palabra clave, luego selecciona el operador Equal y, a continuación, escribe confidencial en el control Valor .
- A continuación, el analista selecciona Agregar subgrupo y el operador AND y, a continuación, agregar filtro.
- El analista selecciona el filtro Fecha , el operador Between y las fechas de inicio y finalización del valor.
- El analista selecciona Guardar para guardar la consulta y, a continuación, Revisar ámbito para ejecutar la consulta de búsqueda.
Creación de una consulta de búsqueda con Microsoft Security Copilot
La opción Consulta con Copilot en la búsqueda le permite usar lenguaje natural y Microsoft Security Copilot para generar rápidamente una consulta personalizada en el generador de consultas. Use esta opción para construir consultas complejas con funcionalidad adicional, como AND, OR y agrupación de condiciones, todo ello mientras se usan mensajes de lenguaje natural.
Esta característica también le ayuda a crear consultas más fácilmente mediante solicitudes predefinidas para escenarios comunes. También le ayuda a refinar y mejorar las solicitudes personalizadas para consultas de búsqueda más precisas. También puede optar por usar sugerencias de solicitud como punto de partida para crear y refinar consultas de Lenguaje de consulta por palabra clave (KeyQL) para escenarios de búsqueda comunes o personalizados.
Para crear una consulta de búsqueda con Copilot, siga estos pasos:
- Seleccione orígenes de datos para la consulta y, a continuación, seleccione Consulta con Copilot.
- Escriba la pregunta de consulta de búsqueda en el campo Describir lo que le gustaría buscar . Puede incluir el usuario, el origen de datos y otros detalles de contenido según corresponda.
- Seleccione Ver mensajes para seleccionar una de las siguientes sugerencias de aviso:
- Buscar todos los correos electrónicos que contienen las palabras presupuesto y finanzas y tener datos adjuntos
- Buscar archivos de tipo .docx que contengan las palabras confidencial y presupuesto
- Seleccione Revisar ámbito para ver las estimaciones y estadísticas de la búsqueda o agregue los resultados directamente al ámbito de la investigación. Si desea guardar los parámetros de consulta que defina y ejecute la consulta más adelante, seleccione Guardar.
Buscar desde el archivo
La opción Desde archivo permite cargar uno o varios archivos para buscar contenido relacionado para una investigación específica. Use una actividad de auditoría .csv archivo para buscar mensajes y archivos relacionados para un usuario específico dentro de un período de tiempo específico. Cada archivo está limitado a un tamaño máximo de archivo de 10 MB y los archivos se pueden .csv. El generador de consultas está deshabilitado al buscar por archivo.
Investigaciones de seguridad de datos (versión preliminar) solo admite tipos de operaciones de actividad de auditoría específicas al buscar por archivo. Si un archivo de registro de auditoría cargado no contiene ninguno de los siguientes tipos de operaciones compatibles, la búsqueda usa una consulta vacía y no devuelve ningún elemento coincidente.
- FileAccessed
- FileDownloaded
- FileUploaded
- MessageRead
- MessageSent
- SearchQueryInitiatedExchange
- Enviar
- SubscribedToMessages
- ThreadViewed
- TranscripcionesExportadas
Panel de ámbito
La pestaña Búsqueda muestra estadísticas y métricas para los resultados de datos incluidos en la consulta de búsqueda. Esta vista le ayuda a determinar si los resultados de la consulta de búsqueda están listos para agregarse al ámbito de investigación o si necesita refinar la consulta para obtener resultados más amplios o más estrechos.
Los resultados de la búsqueda del panel Ámbito se incluyen en las secciones siguientes:
Resumen: muestra el número de aciertos de búsqueda, las ubicaciones, los orígenes de datos y el tamaño total del archivo de los elementos parcialmente indexados.
- Total de coincidencias: muestra el número total de aciertos de búsqueda y el volumen de todos los elementos que coinciden con los criterios de consulta de las ubicaciones buscadas.
- Ubicaciones: muestra la fracción de ubicaciones con aciertos fuera de todas las ubicaciones buscadas. El numerador muestra las ubicaciones con aciertos y denominador que muestra el número de ubicaciones buscadas. Las ubicaciones con errores aparecen en rojo. Para ver los detalles completos de todas las ubicaciones y los aciertos y errores asociados, seleccione Descargar informe para descargar el informe de .csv completo.
- Orígenes de datos: muestra la fracción de orígenes de datos con aciertos de todos los orígenes de datos buscados. El numerador muestra los orígenes de datos con aciertos y denominador que muestra el número de orígenes de datos incluidos en la búsqueda. Este origen de datos es coherente con el origen de datos en el flujo de diseño de búsqueda y debe coincidir con el número de personas o grupos incluidos en la búsqueda. Un origen de datos de todo el inquilino de Todas las personas y todos los grupos cuenta como un único origen de datos.
- Elementos indizados parcialmente o "Aciertos de elementos indizados avanzados": muestra el recuento y el volumen de elementos parcialmente y sin indexar devueltos como parte de la búsqueda. El recuento de aciertos indexado avanzado procede de un ejemplo de estadística en los elementos parcialmente indexados, los aciertos reales pueden ser más y puede confirmar mediante el uso de agregar a un conjunto de revisión y exportar acciones de resultados de búsqueda.
- Principales orígenes de datos: muestra los cinco principales orígenes de datos que componen la mayoría de los resultados de búsqueda que coinciden con la consulta. Los nombres de estos orígenes de datos (nombres de usuarios, grupos o ubicaciones de toda la organización) se enumeran con el recuento de aciertos. Estos orígenes de datos deben coincidir con lo que seleccionó en el flujo de trabajo de orígenes de datos al compilar la consulta de búsqueda.
- Estado de indexación: desglose de elementos de datos sin indexar (incluidos parcialmente indizados) y totalmente indexados.
- Tipo de ubicación superior: recuento de aciertos por tipo de ubicación (buzón frente a sitio).
Seleccione Regenerar vista para volver a ejecutar la consulta y revisar los resultados más recientes. Seleccione Descargar informe para combinar todos los resultados del ámbito en un único archivo .csv. Al ver los 100 primeros resultados de cualquier área de tendencia, seleccione Descargar informe para obtener un archivo .csv de los 100 primeros resultados de la tendencia de aciertos seleccionada.
Panel de ejemplos
Los ejemplos permiten inspeccionar un subconjunto representativo de elementos individuales y detalles de cada elemento devuelto para la búsqueda. El número de muestras por ubicación y el número de ubicaciones de ejemplo definidas en la búsqueda determinan el número de elementos de ejemplo y la representación de ubicación en los elementos de ejemplo.
Los resultados de la búsqueda de las columnas del panel Ejemplos contienen la siguiente información para cada elemento:
- Asunto o título: asunto o título de los elementos incluidos en el ejemplo.
- Fecha: fecha en que se creó o envió el elemento.
- Remitente o autor: remitente o autor del elemento.
Seleccione un elemento de ejemplo para ver la información de origen del elemento. Si está disponible para el elemento, esta vista muestra una vista enriquecida de un elemento seleccionado para que pueda evaluar la relevancia del elemento en relación con el origen de datos de búsqueda definido y las condiciones.
Seleccione Descargar informes para combinar todos los resultados de ejemplo en un único archivo .csv. Seleccione Ver configuración para ver la configuración aplicada a la generación de vista de ejemplo.