Búsqueda avanzada en Microsoft Defender administración multiinquilino

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La búsqueda avanzada en Microsoft Defender administración multiinquilino le permite buscar proactivamente intentos de intrusiones y actividad de vulneración en correo electrónico, datos, dispositivos y cuentas en varios inquilinos y áreas de trabajo al mismo tiempo. Si tiene varios inquilinos con áreas de trabajo de Microsoft Sentinel incorporadas al portal de Microsoft Defender, busque información de seguridad y datos de administración de eventos (SIEM) junto con datos de detección y respuesta extendidas (XDR) en varios inquilinos y áreas de trabajo.

Se admiten varias áreas de trabajo por inquilino en la búsqueda avanzada multiinquilino como versión preliminar.

Cuotas

En entornos multiinquilino, las consultas de búsqueda avanzadas pueden devolver un máximo de 50 000 registros en total. El conjunto de resultados de cada inquilino individual está limitado a 50 000 divididos por el número de inquilinos consultados.

Para obtener más información sobre los límites de servicio en la búsqueda avanzada, consulte Descripción de las cuotas de búsqueda avanzadas.

Ejecución de consultas entre inquilinos

Puede ejecutar cualquier consulta a la que ya tenga acceso en la página de búsqueda avanzada de administración multiinquilino.

  1. Las consultas enumeradas en la pestaña Consultas se filtran por inquilino. Seleccione un inquilino para ver las consultas disponibles para cada uno de ellos.

  2. Cargue una consulta en el editor de consultas y seleccione el selector de inquilinos para especificar los inquilinos y las áreas de trabajo en las que desea ejecutar la consulta.

    Captura de pantalla de la página de consulta de búsqueda avanzada entre inquilinos de Microsoft Defender XDR

  3. En el panel lateral que se abre, seleccione los inquilinos que desea incluir en la consulta. Cada inquilino admite una sola área de trabajo. Si tiene varias áreas de trabajo incorporadas al portal de Defender en el inquilino, seleccione Editar selección para seleccionar el área de trabajo que desea usar.

    Captura de pantalla del ámbito del panel lateral de consulta de búsqueda avanzada de Microsoft Defender XDR entre inquilinos

    Al seleccionar varios inquilinos, la consulta se ejecuta de forma independiente en cada inquilino y los resultados combinados se muestran en una sola tabla. Por ejemplo, la consulta de ejemplo siguiente (DeviceEvents | take 10) devuelve 10 resultados por inquilino, lo que da como resultado un total igual a 10 multiplicado por el número de inquilinos seleccionados.

  4. Cuando haya terminado, seleccione Aplicar>ejecución de consulta.

    Captura de pantalla de la columna de ámbito de consulta de búsqueda avanzada de inquilinos de ross de Microsoft Defender XDR

    Los resultados de la consulta contienen una columna denominada TenantId. Si usa varias áreas de trabajo, los valores de esta columna muestran el identificador del área de trabajo en lugar del identificador de inquilino. En tales casos, se recomienda usar la consulta para cambiar el nombre de la columna en los resultados de TenantId a WorkspaceId para que sea más fácil de leer. Por ejemplo:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

    O bien, para consultar varias áreas de trabajo en el mismo inquilino, use una consulta similar a la siguiente:

    Usage
| union workspace("WorkpaceA").Usage
| take 10

Importante

La ejecución de consultas entre varios inquilinos mediante el adx(x) operador ejecutará consultas ADX independientes por inquilino y las agregará, lo que podría devolver resultados duplicados. Use el adx(x) operador con varios inquilinos solo si necesita combinar los resultados del inquilino con datos ADX. Para obtener más información sobre ADX en Búsqueda avanzada, consulte Uso de funciones de Microsoft Sentinel, consultas guardadas y reglas personalizadas.

Para obtener más información sobre la búsqueda avanzada en Microsoft Defender XDR, lea Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR.

Ejecución de consultas entre áreas de trabajo

Para ejecutar consultas en varias áreas de trabajo del mismo inquilino, use la expresión workspace( ) con el identificador del área de trabajo como argumento de la consulta para hacer referencia a una tabla de un área de trabajo diferente.

Si usa Azure Lighthouse para conceder permisos a su inquilino a otras áreas de trabajo de inquilinos, también puede consultar entre inquilinos y áreas de trabajo. Para ello, seleccione solo un inquilino en el selector Ámbito de inquilino. A continuación, en la consulta, use la workspace() expresión para llamar a los nombres de cualquier otra área de trabajo que desee consultar en otros inquilinos. Por ejemplo, si tiene inquilinos y áreas de trabajo denominadas de la siguiente manera:

  • TenantA: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

Y si desea realizar consultas en WorkspaceA1 y WorkspaceB1, seleccione TenantA y WorkspaceA1 en el selector Ámbito de inquilino . A continuación, en la consulta, use el workspace() operador para llamar a WorkspaceB2. Por ejemplo:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Los resultados se muestran desde WorkspaceA1 y WorkspaceB2.

Para obtener más información, consulte Consulta de varias áreas de trabajo y Administración de áreas de trabajo entre inquilinos mediante Azure Lighthouse.

Nota:

Si tiene tablas con el mismo nombre pero esquemas diferentes en varias áreas de trabajo y quiere usarlas en la misma consulta, debe usar el operador workspace para identificar de forma única la tabla que necesita.

Ver tablas de esquema

Vea las tablas de esquema de búsqueda avanzada en el panel izquierdo dentro de la página de búsqueda avanzada en la pestaña Esquema .

La lista de esquemas es una vista unificada de todas las tablas de todos los inquilinos, independientemente del inquilino seleccionado en el selector de inquilinos superior derecho.

Esto podría significar que algunas tablas que aparecen aquí solo podrían estar disponibles para la consulta en algunos inquilinos, como tablas de Microsoft Sentinel personalizadas.

Visualización y administración de reglas de detección personalizadas

También puede administrar reglas de detección personalizadas desde varios inquilinos en la página reglas de detección personalizadas.

Visualización de reglas de detección personalizadas por inquilino

  1. Para ver las reglas de detección personalizadas, vaya a la página Reglas de detección personalizadas en Microsoft Defender administración multiinquilino.

  2. Vea la columna Nombre del inquilino para ver de qué inquilino procede la regla de detección:

    Captura de pantalla de la página de detección personalizada multiinquilino Microsoft Defender XDR.

Para ver solo las reglas de detección personalizadas de un inquilino específico, seleccione Filtrar, elija el inquilino o los inquilinos y seleccione Aplicar.

Para obtener más información sobre las reglas de detección personalizadas, consulte Introducción a las detecciones personalizadas.

Administración de reglas de detección personalizadas

Puede ejecutar, desactivar y eliminar reglas de detección de Microsoft Defender administración multiinquilino.

Para administrar las reglas de detección:

  1. Vaya a la página Reglas de detección personalizadas en Microsoft Defender administración multiinquilino.

  2. Elija la regla de detección que desea administrar.

    Al seleccionar una sola regla de detección, se abre un panel flotante con los detalles de la regla de detección:

    Captura de pantalla de la página de detalles de la regla de detección personalizada de Microsoft Defender XDR

  3. Seleccione Abrir reglas de detección para ver esta regla en una nueva pestaña para el inquilino específico en el portal de Microsoft Defender. Para más información, consulte Reglas de detección personalizadas.

Contenido relacionado

  • Last updated on