Vytváření vlastních dotazů proaktivního vyhledávání v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Vyhledávání bezpečnostních hrozeb napříč zdroji dat vaší organizace pomocí vlastních dotazů proaktivního vyhledávání Microsoft Sentinel poskytuje integrované dotazy proaktivního vyhledávání, které vám pomůžou najít problémy s daty, která máte ve vaší síti. Můžete ale vytvořit vlastní dotazy. Další informace o dotazech proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.

Vytvoření nového dotazu

V Microsoft Sentinelu vytvořte vlastní dotaz proaktivního vyhledávání na kartě Dotazy proaktivního vyhledávání>.

1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
   Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.

2. Vyberte kartu Dotazy.

3. Na panelu příkazů vyberte Nový dotaz.

   Azure Portal

   

   Portál Defenderu

   

4. Vyplňte všechna prázdná pole.

   1. Vytváření mapování entit výběrem typů entit, identifikátorů a sloupců

      

   2. Namapujte techniky MITRE ATT&CK na dotazy proaktivního vyhledávání výběrem taktiky, techniky a dílčí techniky (pokud je to možné).

      

5. Po dokončení definování dotazu vyberte Vytvořit.

Klonování existujícího dotazu

Naklonujte vlastní nebo předdefinovaný dotaz a podle potřeby ho upravte.

1. Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete klonovat.

2. Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte Klonovat.

   Azure Portal

   

   Portál Defenderu

   

3. Podle potřeby upravte dotaz a další pole.

4. Vyberte Vytvořit.

Úprava existujícího vlastního dotazu

Upravovat je možné pouze dotazy z vlastního zdroje obsahu. V daném zdroji musí být upravovány další zdroje obsahu.

1. Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete změnit.

2. Na řádku dotazu, který chcete změnit, vyberte tři tečky (...) a vyberte Upravit.

3. Aktualizujte pole Dotaz pomocí aktualizovaného dotazu. Můžete také změnit mapování a techniky entit.

4. Po dokončení vyberte Uložit.

Související obsah

• Stručná referenční příručka ke KQL
• Analyzátor advanced security information model (ASIM)
• Proaktivní vyhledávání hrozeb v Microsoft Sentinelu
• Proaktivní proaktivní proaktivní vyhledávání hrozeb v Microsoft Sentinelu