KQL y el lago de datos Microsoft Sentinel

Con Microsoft Sentinel lago de datos, puede almacenar y analizar registros de gran volumen y baja fidelidad, como datos de firewall o DNS, inventarios de activos y registros históricos durante un máximo de 12 años. Dado que el almacenamiento y el proceso están desacoplados, puede consultar la misma copia de datos mediante varias herramientas, sin moverlos ni duplicarlos.

Puede explorar datos en el lago de datos mediante Lenguaje de consulta Kusto (KQL) y Jupyter Notebooks, para admitir una amplia gama de escenarios, desde la búsqueda de amenazas y las investigaciones hasta el enriquecimiento y el aprendizaje automático.

En este artículo se presentan los conceptos y escenarios básicos de la exploración de lago de datos, se resaltan los casos de uso comunes y se muestra cómo interactuar con los datos mediante herramientas conocidas.

Consultas interactivas de KQL

Use Lenguaje de consulta Kusto (KQL) para ejecutar consultas interactivas directamente en el lago de datos a través de varias áreas de trabajo.

Con KQL, los analistas pueden:

  • Investigar y responder con datos históricos: use datos a largo plazo en el lago de datos para recopilar pruebas forenses, investigar un incidente, detectar patrones y responder a incidentes.
  • Enriquecer investigaciones con registros de gran volumen: aproveche los datos ruidosos o de baja fidelidad almacenados en el lago de datos para agregar contexto y profundidad a las investigaciones de seguridad.
  • Correlacionar datos de activos y registros en el lago de datos: consulte los inventarios de recursos y los registros de identidad para conectar la actividad del usuario con recursos y descubrir ataques más amplios.

Use consultas KQL en Microsoft Sentinel>Exploración de lago de Datos en el portal de Defender para ejecutar consultas de KQL interactivas ad hoc directamente en datos a largo plazo. La exploración de Data Lake está disponible una vez completado el proceso de incorporación . Las consultas KQL son ideales para los analistas de SOC que investigan incidentes en los que los datos ya no residen en el nivel de análisis. Las consultas habilitan el análisis forense mediante consultas conocidas sin volver a escribir código. Para empezar a trabajar con las consultas de KQL, consulte Exploración de data lake: consultas de KQL.

Trabajos de KQL

Los trabajos de KQL son consultas asincrónicas de KQL de una sola vez o programadas en los datos del lago de datos de Microsoft Sentinel. Los trabajos son útiles para escenarios analíticos y de investigación, por ejemplo;

  • Consultas únicas de larga duración para investigaciones de incidentes y respuesta a incidentes (IR)
  • Tareas de agregación de datos que admiten flujos de trabajo de enriquecimiento mediante registros de baja fidelidad
  • Análisis coincidentes de inteligencia sobre amenazas históricas (TI) para análisis retrospectivos
  • Exámenes de detección de anomalías que identifican patrones inusuales en varias tablas
  • Promueva los datos del lago de datos al nivel de análisis para habilitar la investigación de incidentes o la correlación de registros.

Ejecute trabajos de KQL de un solo uso en el lago de datos para promover datos históricos específicos desde el nivel de lago de datos al nivel de análisis, o bien cree tablas de resumen personalizadas en el nivel de lago de datos. La promoción de datos es útil para el análisis de la causa principal o la detección de día cero al investigar incidentes que abarcan más allá de la ventana del nivel de análisis. Envíe un trabajo programado en Data Lake para automatizar las consultas periódicas para detectar anomalías o crear líneas base mediante datos históricos. Los cazadores de amenazas pueden usarlo para supervisar patrones inusuales a lo largo del tiempo y alimentar los resultados en detecciones o paneles. Para obtener más información, consulte Creación de trabajos en el lago de datos Microsoft Sentinel y Administración de trabajos en el lago de datos de Microsoft Sentinel.

Visualización de datos en Microsoft Sentinel lago de datos mediante libros

Puede usar libros de Microsoft Sentinel para visualizar y supervisar datos en el lago de datos de Microsoft Sentinel. Al seleccionar Sentinel lago de datos como origen de datos en un libro, puede ejecutar consultas KQL directamente en el lago de datos y representar los resultados como tablas y gráficos interactivos. Esto le permite crear paneles e informes que aprovechan la telemetría a largo plazo y de gran volumen almacenada en el lago de datos, lo que lo hace ideal para la búsqueda avanzada de amenazas, el análisis de tendencias y los informes ejecutivos. Para obtener más información sobre cómo crear libros con Sentinel lago de datos, consulte Visualización de datos en Microsoft Sentinel lago de datos mediante libros.

Escenarios de exploración

En los escenarios siguientes se muestra cómo se pueden usar las consultas de KQL en el lago de datos de Microsoft Sentinel para mejorar las operaciones de seguridad:

Escenario Detalles Ejemplo
Investigación de incidentes de seguridad mediante datos históricos a largo plazo Los equipos de seguridad suelen tener que ir más allá de la ventana de retención predeterminada para descubrir el ámbito completo de un incidente. Un analista de SOC de nivel 3 que investiga un ataque por fuerza bruta usa consultas KQL en el lago de datos para consultar datos anteriores a 90 días. Después de identificar la actividad sospechosa de hace más de un año, el analista promueve los resultados al nivel de análisis para un análisis más profundo y una correlación de incidentes.
Detección de anomalías y creación de líneas base de comportamiento a lo largo del tiempo Los ingenieros de detección se basan en datos históricos para establecer líneas base e identificar patrones que pueden indicar un comportamiento malintencionado. Un ingeniero de detección analiza los registros de inicio de sesión durante varios meses para detectar picos de actividad. Al programar un trabajo de KQL en el lago de datos, crean una línea base de serie temporal y descubren un patrón coherente con el abuso de credenciales.
Enriquecimiento de investigaciones mediante registros de gran volumen y baja fidelidad Algunos registros son demasiado ruidosos o voluminosos para el nivel de análisis, pero siguen siendo valiosos para el análisis contextual. Los analistas de SOC usan KQL para consultar los registros de red y firewall almacenados solo en el lago de datos. Estos registros, aunque no están en el nivel de análisis, ayudan a validar las alertas y a proporcionar pruebas auxiliares durante las investigaciones.
Respuesta a amenazas emergentes con capas de datos flexibles Cuando surja una nueva inteligencia sobre amenazas, los analistas deben acceder rápidamente a los datos históricos y actuar sobre ellos. Un analista de inteligencia sobre amenazas reacciona a un informe de análisis de amenazas recién publicado mediante la ejecución de las consultas KQL sugeridas en el lago de datos. Tras detectar la actividad pertinente de hace varios meses, el registro necesario se promueve al nivel de análisis. Para habilitar la detección en tiempo real para futuras detecciones, las directivas de niveles se pueden ajustar en las tablas pertinentes para reflejar los registros más recientes en el nivel de análisis.
Exploración de datos de recursos de orígenes más allá de los registros de seguridad tradicionales Enriquezca la investigación mediante el inventario de recursos, como Microsoft Entra ID objetos y recursos Azure. Los analistas pueden usar KQL para consultar información de recursos e identidades, como Microsoft Entra ID usuarios, aplicaciones, grupos o inventarios de recursos de Azure, a fin de correlacionar los registros para obtener un contexto más amplio que complemente los datos de seguridad existentes.

Contenido relacionado

  • Last updated on