Exploración de la búsqueda avanzada de amenazas en Microsoft Defender XDR

La búsqueda avanzada en Microsoft Defender XDR es una herramienta de búsqueda de amenazas basada en consultas que permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

La búsqueda avanzada le permitirá buscar amenazas de forma proactiva en:

• Dispositivos administrados por Microsoft Defender para punto de conexión.
• Correos electrónicos procesados por Microsoft 365.
• Actividades de aplicaciones en la nube, eventos de autenticación y actividades de controlador de dominio con seguimiento de Microsoft Cloud App Security y Microsoft Defender for Identity.

Con este nivel de visibilidad, le será posible buscar rápidamente amenazas que atraviesen secciones de la red. Estas amenazas incluyen intrusiones sofisticadas que:

• Llegar por correo electrónico o en la web.
• Eleve los privilegios locales.
• Adquirir credenciales de dominio con privilegios.
• Muévase lateralmente a través de los dispositivos.

Puede usar las mismas consultas de búsqueda de amenazas para crear reglas de detección personalizadas. Estas reglas se ejecutan automáticamente para buscar y responder a varios eventos y estados del sistema. Estos eventos incluyen sospechas de actividad de infracción, máquinas mal configuradas y otros resultados.

Introducción a la búsqueda avanzada en Microsoft Defender XDR

Microsoft recomienda que las organizaciones completen varios pasos para empezar a trabajar rápidamente con la búsqueda avanzada en Microsoft Defender XDR:

1. Aprender el lenguaje. La búsqueda avanzada se basa en el lenguaje de consulta Kusto, que admite la misma sintaxis y operadores. Empiece a aprender el lenguaje de consulta mediante la ejecución de la primera consulta.
2. Obtenga información sobre cómo usar los resultados de la consulta. Obtenga información sobre los gráficos y las distintas formas en que se pueden ver o exportar los resultados. Explore rápidamente cómo se pueden ajustar las consultas, explorar en profundidad para obtener información más completa y realizar acciones de respuesta.
3. Entender el esquema. Obtenga una visión adecuada y de alto nivel de las tablas en el esquema y sus columnas. Obtenga información sobre dónde buscar datos al crear las consultas.
4. Obtenga sugerencias y ejemplos de expertos. Entrene gratis con guías de expertos de Microsoft. Explore colecciones de consultas predefinidas que cubren diferentes escenarios de búsqueda de amenazas.
5. Optimice las consultas y controle los errores. Obtenga información sobre cómo crear consultas eficaces y sin errores.
6. Cree reglas de detección personalizadas. Comprenda cómo se pueden usar las consultas de búsqueda avanzada para desencadenar alertas y realizar acciones de respuesta automáticamente.

Puede clasificar los datos de búsqueda avanzada en dos tipos distintos, cada uno consolidado de forma diferente.

• Datos de eventos o actividades. Rellena tablas sobre alertas, eventos de seguridad, eventos del sistema y evaluaciones rutinarias. La búsqueda avanzada recibe estos datos casi inmediatamente después de que los sensores que los recopilan los transmitan correctamente a los servicios en la nube correspondientes. Por ejemplo, se pueden consultar datos de eventos de sensores correctos en estaciones de trabajo o controladores de dominio casi inmediatamente después de que estén disponibles en Microsoft Defender para punto de conexión y Microsoft Defender for Identity.
• Datos de entidad. Rellena las tablas con información sobre usuarios y dispositivos. Estos datos proceden tanto de orígenes de datos relativamente estáticos como de orígenes dinámicos, como entradas de Active Directory y registros de eventos. Para proporcionar datos actualizados, el sistema actualiza las tablas con cualquier información nueva cada 15 minutos. También agrega filas aunque no las rellene por completo. Cada 24 horas, el sistema combina los datos para insertar un registro que contiene el conjunto de datos más reciente y completo sobre cada entidad.

Introducción al lenguaje de consulta Kusto usado por la búsqueda avanzada

La búsqueda avanzada se basa en el lenguaje de consulta Kusto. Una consulta de Kusto es una solicitud de solo lectura para procesar datos y devolver resultados. La solicitud se escribe en texto sin formato, mediante un modelo de flujo de datos diseñado para facilitar la lectura, creación y automatización de la sintaxis. La consulta usa entidades de esquema organizadas en una jerarquía similar al diseño de esquema de SQL Server: bases de datos, tablas y columnas.

Una consulta de Kusto consta de una secuencia de instrucciones de consulta, delimitadas por un punto y coma. Al menos una instrucción deberá ser una instrucción de expresión tabular, que es una instrucción que generará datos organizados en una malla de columnas y filas similar a una tabla. Las instrucciones de expresión tabular de la consulta generan los resultados de la consulta.

La sintaxis de la instrucción de expresión tabular tiene un flujo de datos tabulares de un operador de consulta tabular a otro. El flujo comienza con el origen de datos (por ejemplo, una tabla de una base de datos o un operador que genere datos) y, a continuación, fluye a través de un conjunto de operadores de transformación de datos. La instrucción enlaza los operadores con el delimitador de canalización (|).

Por ejemplo, considere la siguiente instrucción de consulta, la cual consultará el número de tormentas producidas en el estado de Florida durante un período de tiempo determinado. La siguiente consulta de Kusto tiene una única instrucción, que es una instrucción de expresión tabular. La instrucción comienza con una referencia a una tabla denominada StormEvents (la base de datos que hospede esta tabla estará implícita aquí y formará parte de la información de la conexión). A continuación, el sistema filtra los datos (filas) de esa tabla por el valor de la columna StartTime y, a continuación, vuelve a filtrar con el valor de la columna State. A continuación, la consulta devolverá el recuento de filas "que sobrevivan".

Una instrucción de consulta kusto usa los operadores siguientes:

• Where. Filtra una tabla hasta llegar al subconjunto de filas que satisfacen un predicado.
• Summarize. Crea una tabla que agrega el contenido de la tabla de entrada.
• Unirse. Combina las filas de dos tablas para formar una nueva tabla mediante la coincidencia de los valores de la columna o columnas especificadas de cada tabla.
• Count. Devuelve el número de registros en el conjunto de registros de entrada.
• Top. Devuelve los primeros N registros ordenados según las columnas especificadas.
• Limit. Devuelve el número de filas especificado.
• Project. Selecciona las columnas que desea incluir, cambia el nombre o elimina e inserta nuevas columnas calculadas.
• Extend. Crea columnas calculadas y las anexa al conjunto de resultados.
• Makeset(). Devuelve una matriz dinámica (JSON) del conjunto de valores distintos que toma el grupo.
• Find. Busca las filas que coinciden con un predicado en un conjunto de tablas.

En la captura de pantalla siguiente se muestra una consulta de búsqueda avanzada con el lenguaje de consulta Kusto. Esta consulta usa los siguientes filtros:

• Filtro de tiempo para revisar solamente los registros de los siete días anteriores.
• Filtro por FileName para que solo contenga instancias de Powershell.EXE.
• Filtro por ProcessCommandLine.
• Proyecte únicamente las columnas que le interese explorar y limite los resultados a 100.

Para garantizar el rendimiento de las consultas, las organizaciones deben implementar los siguientes procedimientos recomendados al escribir instrucciones de consulta de Kusto:

• Aplique primero los filtros. Kusto optimiza altamente el uso de filtros de tiempo.
• Use la palabra clave "tiene" en lugar de "contiene" al buscar tokens completos.
• Use buscar en una columna específica en lugar de ejecutar búsquedas de texto completo en todas las columnas.
• Al combinar entre dos tablas, elija la tabla con menos filas para que sea la primera (la que esté más a la izquierda).
• Al combinar entre dos tablas, proyecte únicamente las columnas necesarias de ambos lados de la combinación.

Este es un ejemplo de una consulta de búsqueda avanzada de Kusto. Esta consulta busca eventos de creación de archivos en los que los archivos creados tenían extensiones de archivo sospechosas:

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.