Creación de consultas de búsqueda personalizadas en Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Busque amenazas de seguridad en los orígenes de datos de la organización con consultas de búsqueda personalizadas. Microsoft Sentinel proporciona consultas de búsqueda integradas para ayudarle a encontrar problemas en los datos que tiene en la red. Pero puede crear sus propias consultas personalizadas. Para obtener más información sobre las consultas de búsqueda, vea Búsqueda de amenazas en Microsoft Sentinel.

Creación de una nueva consulta

En Microsoft Sentinel, cree una consulta de búsqueda personalizada desde la pestañaConsultas de búsqueda>.

  1. Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Búsqueda de administración de>azure. Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Búsqueda.

  2. Seleccione la pestaña Consultas .

  3. En la barra de comandos, seleccione Nueva consulta.

  4. Rellene todos los campos en blanco.

    1. Cree asignaciones de entidades seleccionando tipos de entidad, identificadores y columnas.

      Captura de pantalla para asignar tipos de entidad en consultas de búsqueda.

    2. Asigne las técnicas de MITRE ATT&CK a las consultas de búsqueda seleccionando la táctica, la técnica y la subtécnica (si procede).

      Nueva consulta

  5. Cuando haya terminado de definir la consulta, seleccione Crear.

Clonación de una consulta existente

Clone una consulta personalizada o integrada y edítela según sea necesario.

  1. En la pestañaConsultas de búsqueda>, seleccione la consulta de búsqueda que desea clonar.

  2. Seleccione los puntos suspensivos (...) en la línea de la consulta que desea modificar y seleccione Clonar.

  3. Edite la consulta y otros campos según corresponda.

  4. Seleccione Crear.

Edición de una consulta personalizada existente

Solo se pueden editar las consultas que proceden de un origen de contenido personalizado. Otros orígenes de contenido deben editarse en ese origen.

  1. En la> pestañaConsultas de búsqueda, seleccione la consulta de búsqueda que desea cambiar.

  2. Seleccione los puntos suspensivos (...) en la línea de la consulta que desea cambiar y seleccione Editar.

  3. Actualice el campo Consulta con la consulta actualizada. También puede cambiar la asignación de entidades y las técnicas.

  4. Cuando haya terminado, seleccione Guardar.

Contenido relacionado

  • Last updated on