Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=global-search

Buscar

La búsqueda de XDR le permite encontrar datos específicos en Sophos Data Lake.

Puede buscar indicadores de peligro (IOC) y otros datos como direcciones IP o nombres de usuario.

Crear y ejecutar una búsqueda

Puede crear búsquedas de dos formas diferentes:

  • Crear una búsqueda básica utilizando nuestro generador de búsqueda. Esta es la opción predeterminada.
  • Crear una búsqueda avanzada utilizando el lenguaje de consulta Lucene o la introducción de texto libre.

Para obtener instrucciones al respecto, seleccione la ficha correspondiente a continuación.

Las búsquedas básicas son fáciles de crear.

Puede crear una búsqueda básica utilizando nuestro generador de búsqueda interactivo.

  1. Vaya a Centro de análisis de amenazas > Buscar.

    Página Buscar.

  2. Seleccione un intervalo de tiempo para las detecciones que desea buscar.

    Intervalo de tiempo de búsqueda.

  3. Seleccione los datos que desea buscar. Actualmente, solo es posible buscar datos de estaciones de trabajo.

    Datos de búsqueda.

  4. En la barra de búsqueda, haga clic en el icono Añadir para ver los campos de búsqueda más utilizados.

    Icono Añadir.

  5. En el cuadro de diálogo De uso habitual, haga clic en un campo.

    Campos de uso habitual.

  6. En Generador de búsqueda, utilice el menú desplegable para añadir un operador como IS o INCLUDES, e introduzca un valor.

    Por ejemplo: Device IP IS 148.139.13.160

    Generador de búsqueda.

  7. Si lo desea, haga clic en Fila para seleccionar un operador (AND OR o NOT) y añadir otro campo. A continuación, haga clic en Añadir.

    Por ejemplo: hostname IS sys1 OR hostname IS sys2 AND protocol IS RDP

  8. Opcionalmente, seleccione los campos de datos que desea ver en los resultados. Haga clic en Columnas y seleccione los campos que desee.

    Selector de columnas de búsqueda.

  9. Haga clic en Buscar. Verá los resultados en el panel inferior.

    Resultado de la búsqueda.

  10. Para ver todos los detalles de una detección, haga clic en la flecha que aparece junto a ella.

Actualmente, no es posible guardar las búsquedas ni realizar acciones en las detecciones de los resultados.

Puede crear una búsqueda avanzada utilizando el lenguaje de consulta Lucene o introduciendo su propio texto.

Para crear una búsqueda avanzada, haga lo siguiente:

  1. Haga clic en Cambiar a consulta avanzada.

    Cambiar a consulta avanzada.

  2. En la barra de búsqueda, introduzca campos de datos y parámetros o texto libre, como se describe en las secciones siguientes.

  3. Haga clic en Buscar. Verá los resultados en el panel inferior.

Utilizar campos de datos y parámetros

Introduzca el campo de datos seguido de dos puntos y, a continuación, el parámetro de búsqueda. Para obtener más información sobre los campos de datos que puede utilizar, consulte Campos de datos para la búsqueda.

Puede crear búsquedas con varios campos de datos. Aquí tiene algunos ejemplos:

process_name:lsass AND username:admin OR username:system

sha256:794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11 AND dest_ip:"148.139.13.160"

Para obtener ayuda, consulte el tutorial de Lucene.

Utilizar entrada de texto libre

Introduzca una cadena de texto para buscar detecciones que incluyan el texto introducido. Para cadenas como direcciones MAC o direcciones IP, que incluyen caracteres especiales, use comillas en las búsquedas de texto libre.

Aquí tiene algunos ejemplos:

0a43ff3773e7fcbb9a98029957c41bc3af56ae94

jdoe

"00:00:5e:00:53:af"

Configurar la lista de resultados

Puede aceptar las columnas predeterminadas que aparecen en los resultados o cambiarlas y reordenarlas.

Columnas predeterminadas

De forma predeterminada, las siguientes columnas se muestran en los resultados.

Columna Detalles
vez -
categoría Por ejemplo, "red"
activity_type Por ejemplo, "sockets abiertos"
nombre de host -
nombre de usuario No se muestra si ningún usuario ha iniciado sesión, por ejemplo, en un servidor
device_IP -

Añadir o eliminar columnas

Puede cambiar y reordenar las columnas de datos que se muestran en los resultados. Para cambiar las columnas que se muestran, haga clic en Columnas y seleccione las columnas que desee.

Seleccionar columnas.

Reordenar columnas

Para cambiar el orden de las columnas en la tabla de resultados, haga lo siguiente:

  1. Haga clic en el encabezado de una columna y arrástrelo al lugar que desee.

    Mover columna.

  2. Las flechas situadas encima y debajo del encabezado de la tabla indican que es posible desplazar allí el encabezado de la columna.

    Insertar columna.