Compartir a través de

Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Los marcadores de búsqueda en Microsoft Sentinel le ayudan a conservar las consultas y los resultados de las consultas que considere pertinentes. También puede registrar las observaciones realizadas dentro de un contexto y hacer referencia a sus hallazgos agregando notas y etiquetas. Los datos marcados están visibles tanto para usted como para sus compañeros de equipo para, así, colaborar de forma más sencilla. Para obtener más información, vea Marcadores.

Nota:

Los marcadores solo se pueden crear en Azure Portal. Aunque no puede agregar marcadores en el portal de Microsoft Defender, puede ver los marcadores que ya se crearon.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Adición de un marcador (solo Azure Portal)

Cree un marcador para conservar las consultas, los resultados, las observaciones y los resultados.

  1. En Administración de amenazas, seleccione Búsqueda.

  2. En la pestaña Consultas , seleccione una o varias de las consultas de búsqueda.

  3. En la barra de comandos superior, seleccione Ejecutar consultas seleccionadas.

  4. Seleccione Ver resultados de la consulta. Por ejemplo:

    Captura de pantalla de visualización de los resultados de la consulta de búsqueda de Microsoft Sentinel.

    Esta acción abre los resultados de la consulta en el panel Registros .

  5. En la lista de resultados de la consulta de registro, use las casillas para seleccionar una o más filas que contengan la información que le interese.

  6. En Azure Portal, seleccione Agregar marcador:

    Captura de pantalla de la adición de marcador de búsqueda a la consulta.

  7. A la derecha, en el panel Agregar marcador , opcionalmente, actualice el nombre del marcador, agregue etiquetas y notas para ayudarle a identificar lo que era interesante sobre el elemento.

  8. Los marcadores se pueden asignar opcionalmente a técnicas o sub-técnicas de MITRE ATT&CK. Las asignaciones de MITRE ATT&CK se heredan de los valores asignados en las consultas de búsqueda, pero también puede crearlas manualmente. Seleccione la táctica MITRE ATT&CK asociada a la técnica deseada en el menú desplegable de la sección Tácticas y técnicas del panel Agregar marcador . El menú se expande para mostrar todas las técnicas de MITRE ATT&CK, y puede seleccionar varias técnicas y sub-técnicas en este menú.

    Captura de pantalla de cómo asignar tácticas y técnicas de ataque de Mitre a marcadores.

  9. Ahora se puede extraer un conjunto ampliado de entidades de los resultados de consultas marcadas para realizar una investigación más profunda. En la sección Asignación de entidades, use las listas desplegables para seleccionar tipos de entidad e identificadores. A continuación, asigne la columna en los resultados de la consulta que contiene el identificador correspondiente. Por ejemplo:

    Captura de pantalla para asignar tipos de entidad a los marcadores de búsqueda.

    Para ver el marcador en el gráfico de investigación, debe asignar al menos una entidad. Se admiten las asignaciones de entidades a los tipos de entidad de cuenta, host, IP y dirección URL que ha creado, lo que conserva la compatibilidad con versiones anteriores.

  10. Seleccione Crear para confirmar los cambios y agregar el marcador. Todos los datos marcados se comparten con otros analistas, y es un primer paso hacia una experiencia de investigación colaborativa.

Los resultados de la consulta de registro admiten marcadores cada vez que se abre este panel desde Microsoft Sentinel. Por ejemplo, si selecciona Generales>Registros en la barra de navegación, seleccione los vínculos de eventos en el gráfico de investigaciones o seleccione un identificador de alerta en los detalles completos de un incidente. No se pueden crear marcadores cuando se abre el panel Registros desde otra ubicación, como directamente desde Azure Monitor.

Ver y actualizar marcadores

Busque y actualice un marcador desde la pestaña marcador.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas , seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel, > y Búsqueda.

  2. Seleccione la pestaña Marcadores para ver la lista de marcadores.

  3. Busque o filtre para buscar un marcador o marcadores específicos.

  4. Seleccione marcadores individuales para ver los detalles del marcador en el panel derecho.

  5. Realice los cambios según sea necesario. Los cambios se guardan automáticamente.

Nota:

Solo puede ver hasta 1000 marcadores en la pestaña marcador. Puede ver el resto de los datos marcados en los registros. Aprende más

Exploración de marcadores en el gráfico de investigación

Visualice los datos marcados iniciando la experiencia de investigación en la que puede ver, investigar y comunicar visualmente los resultados mediante un diagrama interactivo de gráfico de entidades y una escala de tiempo.

  1. En la pestaña Marcadores , seleccione el marcador o los marcadores que desea investigar.

  2. En los detalles del marcador, asegúrese de que al menos una entidad está asignada.

  3. Seleccione Investigar para ver el marcador en el gráfico de investigación.

Para obtener instrucciones para usar el gráfico de investigación, consulte Uso del gráfico de investigación para profundizar.

Adición de marcadores a un incidente nuevo o existente (solo Azure Portal)

Agregue marcadores a un incidente desde la pestaña marcadores de la página Búsqueda.

  1. En la pestaña Marcadores , seleccione el marcador o los marcadores que desea agregar a un incidente.

  2. Seleccione Acciones de incidente en la barra de comandos:

    Captura de pantalla de la adición de marcadores al incidente.

  3. Seleccione Create new incident (Crear nuevo incidente ) o Add to existing incident (Agregar a un incidente existente), según corresponda. A continuación:

    • Para un nuevo incidente: si lo desea, actualice los detalles del incidente y, a continuación, seleccione Crear.
    • Para agregar un marcador a un incidente existente: seleccione un incidente y, a continuación, seleccione Agregar.

  4. Para ver el marcador en el incidente,

    1. Vaya a Microsoft Sentinel>Administración de amenazas>Incidentes.
    2. Seleccione el incidente con el marcador y Ver los detalles completos.
    3. En la página incidente, en el panel izquierdo, seleccione Marcadores.

Ver datos marcados en registros

Vea las consultas, los resultados o su historial de marcados.

  1. En la pestaña Caza>Marcadores, seleccione el marcador.

  2. En el panel de detalles, seleccione los vínculos siguientes:

    • Ver consulta de origen para visualizarla en el panel de Registros.

    • Vea los registros de marcadores para ver todos los metadatos del marcador, que incluye quién realizó la actualización, los valores actualizados y la hora en que se produjo la actualización.

  3. En la barra de comandos de la pestaña Búsqueda>de marcadores, seleccione Registros de marcadores para ver los datos sin procesar de todos los marcadores.

    Captura de pantalla del comando de registros de marcadores.

Esta vista muestra todos los marcadores con los metadatos asociados. Puede usar consultas del Lenguaje de Consulta Kusto (KQL) para filtrar y encontrar la versión más reciente del marcador específico que está buscando.

Puede haber un retraso significativo (medido en minutos) entre el tiempo que cree un marcador y cuando se muestre en la pestaña Marcadores .

Eliminar un marcador

Al eliminar el marcador, se quita el marcador de la lista de la pestaña Marcador . La tabla HuntingBookmark del área de trabajo de Log Analytics sigue conteniendo entradas de marcador anteriores, pero la entrada más reciente cambia el valor softDelete a true, lo que facilita filtrar los marcadores antiguos. La eliminación de un marcador no quita ninguna entidad de la experiencia de investigación asociada a otros marcadores o alertas.

Para eliminar un marcador, complete los pasos siguientes.

  1. En la pestañaMarcadores de >, seleccione el marcador o los marcadores que desea eliminar.

  2. Haga clic con el botón derecho y seleccione la opción para eliminar los marcadores seleccionados.

Contenido relacionado

En este artículo, ha aprendido a ejecutar una investigación de búsqueda usando marcadores en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

  • Last updated on