Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con el lago de datos de Microsoft Sentinel, puede almacenar y analizar registros de alto volumen y baja fidelidad, como datos de firewall o DNS, inventarios de activos y registros históricos por hasta 12 años. Dado que el almacenamiento y el proceso están desacoplados, puede consultar la misma copia de datos mediante varias herramientas, sin moverlos ni duplicarlos.
Puede explorar datos en el lago de datos mediante Kusto Query Language (KQL) y Jupyter Notebooks, para admitir una amplia gama de escenarios, desde la búsqueda de amenazas y las investigaciones hasta el enriquecimiento y el aprendizaje automático.
En este artículo se presentan los conceptos básicos y los escenarios de exploración del lago de datos, se resaltan los casos de uso comunes y se muestra cómo interactuar con los datos mediante herramientas conocidas.
Consultas interactivas de KQL
Use el lenguaje de consulta Kusto (KQL) para ejecutar consultas interactivas directamente en el lago de datos en varias áreas de trabajo.
Con KQL, los analistas pueden:
- Investigación y respuesta mediante datos históricos: use datos a largo plazo en el lago de datos para recopilar evidencia forense, investigar un incidente, detectar patrones e incidentes de respuesta.
- Enriquecer las investigaciones con registros de alto volumen: aproveche los datos ruidosos o de baja fidelidad almacenados en el lago de datos para agregar contexto y profundidad a las investigaciones de seguridad.
- Correlacionar los datos de recursos y registros en el lago de datos: consulte los inventarios de recursos y los registros de identidad para conectar la actividad del usuario con los recursos y descubrir un ataque más amplio.
Use consultas KQL en Microsoft Sentinel>Exploración de lago de datos en el portal de Defender para ejecutar consultas KQL interactivas ad hoc directamente en datos a largo plazo. La exploración del lago de datos está disponible una vez completado el proceso de incorporación . Las consultas KQL son ideales para los analistas de SOC que investigan incidentes en los que es posible que los datos ya no residan en el nivel de análisis. Las consultas permiten el análisis forense mediante consultas conocidas sin volver a escribir código. Para empezar a trabajar con consultas KQL, consulte Exploración de Lago de datos: consultas KQL.
Trabajos de KQL
Los trabajos de KQL son consultas KQL asincrónicas programadas o únicas en los datos del lago de datos de Microsoft Sentinel. Los trabajos son útiles para escenarios analíticos y de investigación, por ejemplo;
- Consultas únicas de ejecución prolongada para investigaciones de incidentes y respuesta a incidentes (IR)
- Tareas de agregación de datos que admiten flujos de trabajo de enriquecimiento mediante registros de baja fidelidad
- Análisis de coincidencias históricos de inteligencia sobre amenazas (TI) para el análisis de retrospectiva
- Exámenes de detección de anomalías que identifican patrones inusuales en varias tablas
- Promueva los datos del lago de datos al nivel de análisis para habilitar la investigación de incidentes o la correlación de registros.
Ejecute trabajos de KQL de un solo uso en el lago de datos para promover datos históricos específicos del nivel de lago de datos al nivel de análisis o crear tablas de resumen personalizadas en el nivel de lago de datos. La promoción de datos es útil para el análisis de la causa principal o la detección de día cero al investigar incidentes que abarcan más allá de la ventana del nivel de análisis. Envíe un trabajo programado en Data Lake para automatizar las consultas periódicas para detectar anomalías o crear líneas base mediante datos históricos. Los cazadores de amenazas pueden usarlo para supervisar patrones inusuales a lo largo del tiempo e integrar resultados en las detecciones o paneles de control. Para obtener más información, consulte Creación de trabajos en el lago de datos de Microsoft Sentinel y Administración de trabajos en el lago de datos de Microsoft Sentinel.
Escenarios de exploración
En los escenarios siguientes se muestra cómo se pueden usar las consultas de KQL en el lago de datos de Microsoft Sentinel para mejorar las operaciones de seguridad:
| Escenario | Detalles | Ejemplo |
|---|---|---|
| Investigación de incidentes de seguridad mediante datos históricos a largo plazo | A menudo, los equipos de seguridad necesitan ir más allá de la ventana de retención predeterminada para descubrir el ámbito completo de un incidente. | Un analista de SOC de nivel 3 que investiga un ataque por fuerza bruta usa consultas KQL en el lago de datos para consultar datos anteriores a 90 días. Después de identificar la actividad sospechosa de hace más de un año, el analista promueve los resultados al nivel de análisis para un análisis más profundo y la correlación de incidentes. |
| Detección de anomalías y compilación de líneas base de comportamiento a lo largo del tiempo | Los ingenieros de detección dependen de los datos históricos para establecer líneas base e identificar patrones que pueden indicar un comportamiento malintencionado. | Un ingeniero de detección analiza los registros de inicio de sesión durante varios meses para detectar picos de actividad. Al programar un trabajo de KQL en el lago de datos, se crea una línea base de serie temporal y se descubre un patrón coherente con el abuso de credenciales. |
| Enriquecer las investigaciones mediante registros de alto volumen y baja fidelidad | Algunos registros son demasiado ruidosos o voluminosos para el nivel de análisis, pero siguen siendo valiosos para el análisis contextual. | Los analistas de SOC usan KQL para consultar los registros de red y firewall almacenados solo en el lago de datos. Estos registros, aunque no están en el nivel de análisis, ayudan a validar las alertas y a proporcionar evidencia de apoyo durante las investigaciones. |
| Responda a las amenazas emergentes con niveles de datos flexibles | Cuando surge la nueva inteligencia sobre amenazas, los analistas necesitan acceder y actuar rápidamente sobre los datos históricos. | Un analista de inteligencia sobre amenazas reacciona a un informe de análisis de amenazas recién publicado mediante la ejecución de las consultas KQL sugeridas en el lago de datos. Tras detectar la actividad pertinente desde hace varios meses, el registro necesario se promueve al nivel de análisis. Para habilitar la detección en tiempo real para futuras detecciones, las directivas de niveles se pueden ajustar en las tablas pertinentes para reflejar los registros más recientes en el nivel de análisis. |
| Explora datos de activos de fuentes más allá de los registros de seguridad tradicionales | Enriquecer la investigación utilizando un inventario de recursos o activos, como los objetos de identidad de Microsoft Entra y los recursos de Azure. | Los analistas pueden usar KQL para consultar información de recursos e identidades, como usuarios de id. de Microsoft Entra, aplicaciones, grupos o inventarios de recursos de Azure, para correlacionar los registros para un contexto más amplio que complementa los datos de seguridad existentes. |
Contenido relacionado
- Introducción a Data Lake de Microsoft Sentinel
- Incorporación a Data Lake de Microsoft Sentinel
- Creación de trabajos en el lago de datos de Microsoft Sentinel
- Administración de trabajos en el lago de datos de Microsoft Sentinel
- Creación y ejecución de cuadernos en el lago de datos de Microsoft Sentinel