Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La búsqueda de marcadores en Microsoft Sentinel le ayuda a conservar las consultas y los resultados de las consultas que considere pertinentes. También puede registrar las observaciones contextuales y hacer referencia a sus hallazgos agregando notas y etiquetas. Los datos marcados son visibles para usted y sus compañeros de equipo para facilitar la colaboración. Para obtener más información, vea Marcadores.

Nota:

Los marcadores solo se pueden crear en el Azure Portal. Aunque no puede agregar marcadores en el portal de Microsoft Defender, puede ver los marcadores que ya se crearon.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Agregar un marcador (solo Azure Portal)

Cree un marcador para conservar las consultas, los resultados, las observaciones y los resultados.

  1. En Administración de amenazas, seleccione Búsqueda.

  2. En la pestaña Consultas , seleccione una o varias de las consultas de búsqueda.

  3. En la barra de comandos superior, seleccione Ejecutar consultas seleccionadas.

  4. Seleccione Ver resultados de consulta. Por ejemplo:

    Captura de pantalla de la visualización de los resultados de la consulta de Microsoft Sentinel búsqueda.

    Esta acción abre los resultados de la consulta en el panel Registros .

  5. En la lista de resultados de la consulta de registro, use las casillas para seleccionar una o varias filas que contengan la información que le resulte interesante.

  6. En Azure Portal, seleccione Agregar marcador:

    Captura de pantalla de la adición de un marcador de búsqueda a la consulta.

  7. A la derecha, en el panel Agregar marcador , opcionalmente, actualice el nombre del marcador, agregue etiquetas y notas para ayudarle a identificar lo que era interesante sobre el elemento.

  8. Opcionalmente, los marcadores se pueden asignar a técnicas o sub técnicas de CK de MITRE ATT&. Las asignaciones de MITRE ATT&CK se heredan de valores asignados en consultas de búsqueda, pero también puede crearlas manualmente. Seleccione la táctica MITRE ATT&CK asociada a la técnica deseada en el menú desplegable de la sección Tácticas & Técnicas del panel Agregar marcador . El menú se expande para mostrar todas las técnicas de MITRE ATT&CK, y puede seleccionar varias técnicas y sub técnicas en este menú.

    Captura de pantalla de cómo asignar tácticas y técnicas de ataque de Mitre a marcadores.

  9. Ahora se puede extraer un conjunto expandido de entidades de los resultados de consulta marcados para una investigación más detallada. En la sección Asignación de entidades , use las listas desplegables para seleccionar los tipos de entidad y los identificadores. A continuación, asigne la columna en los resultados de la consulta que contienen el identificador correspondiente. Por ejemplo:

    Captura de pantalla para asignar tipos de entidad para buscar marcadores.

    Para ver el marcador en el gráfico de investigación, debe asignar al menos una entidad. Se admiten las asignaciones de entidades a los tipos de entidad de cuenta, host, IP y dirección URL que creó, conservando la compatibilidad con versiones anteriores.

  10. Seleccione Crear para confirmar los cambios y agregar el marcador. Todos los datos marcados se comparten con otros analistas y es un primer paso hacia una experiencia de investigación colaborativa.

Los resultados de la consulta de registro admiten marcadores cada vez que se abre este panel desde Microsoft Sentinel. Por ejemplo, si seleccionaRegistrosgenerales> en la barra de navegación, seleccione vínculos de eventos en el gráfico de investigaciones o seleccione un identificador de alerta de los detalles completos de un incidente. No se pueden crear marcadores cuando el panel Registros se abre desde otra ubicación, como directamente desde Azure Monitor.

Visualización y actualización de marcadores

Busque y actualice un marcador desde la pestaña marcador.

  1. Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Búsqueda.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Búsqueda de administración de>azure.

  2. Seleccione la pestaña Marcadores para ver la lista de marcadores.

  3. Busque o filtre para buscar un marcador o marcador específico.

  4. Seleccione marcadores individuales para ver los detalles del marcador en el panel derecho.

  5. Realice los cambios según sea necesario. Los cambios se guardan automáticamente.

Nota:

Solo puede ver hasta 1000 marcadores en la pestaña marcador. Puede ver el resto de los datos marcados en los registros. Más información

Exploración de marcadores en el gráfico de investigación

Visualice los datos marcados iniciando la experiencia de investigación en la que puede ver, investigar y comunicar visualmente los resultados mediante un diagrama interactivo de entity-graph y una escala de tiempo.

  1. En la pestaña Marcadores , seleccione el marcador o los marcadores que desea investigar.

  2. En los detalles del marcador, asegúrese de que se asigna al menos una entidad.

  3. Seleccione Investigar para ver el marcador en el gráfico de investigación.

Para obtener instrucciones sobre cómo usar el gráfico de investigación, consulte Uso del gráfico de investigación para profundizar.

Agregar marcadores a un incidente nuevo o existente (solo Azure Portal)

Agregue marcadores a un incidente desde la pestaña marcadores de la página Búsqueda .

  1. En la pestaña Marcadores , seleccione el marcador o los marcadores que desea agregar a un incidente.

  2. Seleccione Acciones de incidente en la barra de comandos:

    Captura de pantalla de cómo agregar marcadores al incidente.

  3. Seleccione Create new incident (Crear nuevo incidente ) o Add to existing incident (Agregar a un incidente existente), según corresponda. Luego:

    • Para un incidente nuevo: opcionalmente, actualice los detalles del incidente y, a continuación, seleccione Crear.
    • Para agregar un marcador a un incidente existente: seleccione un incidente y, a continuación, seleccione Agregar.

  4. Para ver el marcador dentro del incidente,

    1. Vaya a incidentes de administración> de Microsoft Sentinel >Threat.
    2. Seleccione el incidente con el marcador y Ver detalles completos.
    3. En la página del incidente, en el panel izquierdo, seleccione marcadores.

Visualización de datos marcados en registros

Ver consultas, resultados o su historial marcados.

  1. En la pestañaMarcadores debúsqueda>, seleccione el marcador.

  2. En el panel de detalles, seleccione los vínculos siguientes:

    • Vea la consulta de origen para ver la consulta de origen en el panel Registros .

    • Vea los registros de marcadores para ver todos los metadatos del marcador, lo que incluye quién realizó la actualización, los valores actualizados y el momento en que se produjo la actualización.

  3. En la barra decomandos de la pestaña Marcadores de búsqueda>, seleccione Registros de marcadores para ver los datos de marcador sin procesar de todos los marcadores.

    Captura de pantalla del comando de registros de marcadores.

Esta vista muestra todos los marcadores con metadatos asociados. Puede usar consultas de Lenguaje de consulta Kusto (KQL) para filtrar hasta la versión más reciente del marcador específico que está buscando.

Puede haber un retraso significativo (medido en minutos) entre el momento en que se crea un marcador y cuando se muestra en la pestaña Marcadores .

Eliminación de un marcador

Al eliminar el marcador, se quita el marcador de la lista de la pestaña Marcador . La tabla HuntingBookmark del área de trabajo de Log Analytics sigue conteniendo entradas de marcador anteriores, pero la entrada más reciente cambia el valor de SoftDelete a true, lo que facilita el filtrado de marcadores antiguos. La eliminación de un marcador no quita ninguna entidad de la experiencia de investigación asociada a otros marcadores o alertas.

Para eliminar un marcador, complete los pasos siguientes.

  1. En la pestañaMarcadores de búsqueda>, seleccione el marcador o los marcadores que desea eliminar.

  2. Haga clic con el botón derecho y seleccione la opción para eliminar los marcadores seleccionados.

Contenido relacionado

En este artículo, ha aprendido a ejecutar una investigación de búsqueda mediante marcadores en Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

  • Last updated on