Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que se usa para explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.
La búsqueda avanzada admite dos modos: guiado y avanzado. Use el modo guiado si aún no está familiarizado con Lenguaje de consulta Kusto (KQL) o si prefiere la comodidad de un generador de consultas. Use el modo avanzado si se siente cómodo con KQL para crear consultas desde cero.
Para empezar a buscar, consulte Elegir entre modos guiados y avanzados para buscar en el portal de Microsoft Defender.
Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y, a continuación, responder a sospechas de actividad de infracción, máquinas mal configuradas y otros hallazgos.
La búsqueda avanzada admite consultas que comprueban un conjunto de datos más amplio procedente de:
- Microsoft Defender para punto de conexión
- Microsoft Defender para Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Para usar la búsqueda avanzada, active Microsoft Defender XDR. O bien, para usar la búsqueda avanzada con Microsoft Sentinel, conéctese Microsoft Sentinel al portal de Defender.
Para obtener más información sobre la búsqueda avanzada en Microsoft Defender for Cloud Apps datos, vea el vídeo.
Obtener acceso
Debe tener asignados permisos para poder ejecutar consultas de búsqueda avanzada. Tiene las siguientes opciones:
Microsoft Defender XDR control de acceso basado en rol unificado (URBAC):
-
Acceso de búsqueda avanzada de solo lectura (tablas Email & colaboración): pertenencia asignada con el> permiso URBACbásico de datos de seguridad de datos> de seguridad (lectura). Este permiso proporciona acceso a:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- metadatos de entidad de Email
-
Acceso de búsqueda avanzada de solo lectura (tablas Email & colaboración): pertenencia asignada con el> permiso URBACbásico de datos de seguridad de datos> de seguridad (lectura). Este permiso proporciona acceso a:
Email & permisos de colaboración en el portal de Microsoft Defender: la pertenencia a uno de los siguientes grupos de roles de colaboración Email & proporciona acceso a las tablas de datos de correo electrónico en Búsqueda avanzada:
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
Exchange Online permisos: para acceder a Exchange Online datos que aparecen en búsqueda avanzada, los usuarios deben ser miembros de uno de los siguientes grupos de roles Exchange Online:
- View-Only Organization Management
- Configuración con permiso de vista
- Lector de seguridad
- Lector global
Microsoft Entra permisos: la pertenencia a uno de los siguientes roles de Microsoft Entra concede acceso de lectura completo a todos los datos de búsqueda avanzada:
- Administrador global
- Administrador de seguridad
- Lector de seguridad
- Lector global
Además, el acceso a los datos de punto de conexión viene determinado por la configuración del control de acceso basado en rol (RBAC) en Microsoft Defender para punto de conexión. Para obtener más información, consulte Administración del acceso a Microsoft Defender XDR con Microsoft Entra roles globales.
Actualización de datos y frecuencia de actualización
Los datos de búsqueda avanzada se dividen en dos tipos distintos, cada uno con un proceso de consolidación diferente.
Datos de eventos o actividades
Los datos de eventos o actividades rellenan tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a los servicios en la nube correspondientes. Por ejemplo, se pueden consultar datos de eventos de sensores correctos en estaciones de trabajo o controladores de dominio casi inmediatamente después de que estén disponibles en Microsoft Defender para punto de conexión y Microsoft Defender for Identity.
Para recopilar aún más propiedades de eventos, puede activar los informes agregados.
Datos de entidad
Los datos de entidad rellenan tablas con información sobre usuarios y dispositivos. Estos datos proceden tanto de orígenes de datos relativamente estáticos como de orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos actualizados, las tablas se actualizan cada hora para insertar un registro que contiene el conjunto de datos más reciente y completo sobre cada entidad, incluida otra información útil, como el estado de mantenimiento y las etiquetas.
Parámetros de uso y cuotas
Para mantener el rendimiento y la capacidad de respuesta del servicio, la búsqueda avanzada establece varias cuotas y parámetros de uso (también conocidos como "límites de servicio"). Estas cuotas y parámetros se aplican por separado a las consultas que se ejecutan manualmente y a las consultas que se ejecutan mediante reglas de detección personalizadas. Tenga en cuenta estos límites si ejecuta periódicamente varias consultas. Aplique los procedimientos recomendados de optimización para minimizar las interrupciones.
Consulte la tabla siguiente para comprender las cuotas y los parámetros de uso existentes.
| Cuota o parámetro | Size | Ciclo de actualización | Description |
|---|---|---|---|
| Intervalo de fechas | 30 días para Defender XDR datos a menos que se transmita a través de Microsoft Sentinel | Cada consulta | Cada consulta puede buscar Defender XDR datos de hasta los últimos 30 días, o más si se transmiten a través de Microsoft Sentinel |
| Conjunto de resultados | 100 000 filas | Cada consulta | Cada consulta puede devolver hasta 100 000 registros. |
| Timeout | 10 minutos | Cada consulta | Cada consulta se puede ejecutar durante un máximo de 10 minutos. Si no se completa en 10 minutos, el servicio muestra un error. |
| Recursos de la CPU | En función del tamaño del inquilino | Cada 15 minutos | El portal muestra una advertencia cada vez que se ejecuta una consulta y el inquilino consume más del 10 % de los recursos asignados. Las consultas se bloquean si el inquilino alcanza el 100 % hasta después del siguiente ciclo de 15 minutos. |
| Límite de tamaño de resultados | 64 MB | Cada consulta | Límite para el tamaño general de los datos de resultados, que no solo hace referencia al número de registros. Factores como el número de columnas, tipos de datos y longitudes de campo también contribuyen al tamaño del resultado. |
En el portal de Microsoft Defender unificado, puede ejecutar consultas a través de tablas Microsoft Sentinel mediante la incorporación de un área de trabajo. Por lo tanto, también se aplican los límites del área de trabajo de Log Analytics.
Para la búsqueda avanzada en organizaciones multiinquilino, consulte Cuotas en la búsqueda avanzada en la administración multiinquilino.
Nota:
Un conjunto independiente de cuotas y parámetros se aplica a las consultas de búsqueda avanzada realizadas a través de la API. Obtenga información sobre las API de búsqueda avanzadas.
Zona horaria
Consultas
Los datos de búsqueda avanzados usan la zona horaria UTC (coordenadas horarias universales).
Cree consultas en UTC.
Resultados
Los resultados de búsqueda avanzados se convierten en la zona horaria establecida en Microsoft Defender XDR.
Para ampliar la retención de 30 días para la búsqueda avanzada, use las API de streaming.
Para ampliar la retención de 30 días para la búsqueda avanzada, consulte los siguientes recursos:
- API de streaming de Microsoft Defender XDR
- Microsoft Defender para punto de conexión API de streaming de datos sin procesar
Nota:
La retención de datos comienza desde el primer día que implementa y habilita la API de streaming.
Contenido relacionado
- Elegir entre modos de búsqueda guiados y avanzados
- Compilación de consultas de búsqueda mediante el modo guiado
- Aprender el lenguaje de consulta
- Entender el esquema
- API de seguridad de Microsoft Graph
- Introducción a las detecciones personalizadas
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.