Sdílet prostřednictvím

Vytváření vlastních dotazů proaktivního vyhledávání v Microsoft Sentinelu

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Vyhledávání bezpečnostních hrozeb napříč zdroji dat vaší organizace pomocí vlastních dotazů proaktivního vyhledávání Microsoft Sentinel poskytuje integrované dotazy proaktivního vyhledávání, které vám pomůžou najít problémy s daty, která máte ve vaší síti. Můžete ale vytvořit vlastní dotazy. Další informace o dotazech proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.

Vytvoření nového dotazu

V Microsoft Sentinelu vytvořte vlastní dotaz proaktivního vyhledávání na .

  1. Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.

  2. Vyberte kartu Dotazy.

  3. Na panelu příkazů vyberte Nový dotaz.

  4. Vyplňte všechna prázdná pole.

    1. Vytváření mapování entit výběrem typů entit, identifikátorů a sloupců

      Snímek obrazovky s mapováním typů entit v dotazech proaktivního vyhledávání

    2. Namapujte techniky MITRE ATT&CK na dotazy proaktivního vyhledávání výběrem taktiky, techniky a dílčí techniky (pokud je to možné).

      Nový dotaz

  5. Po dokončení definování dotazu vyberte Vytvořit.

Klonování existujícího dotazu

Naklonujte vlastní nebo předdefinovaný dotaz a podle potřeby ho upravte.

  1. Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete klonovat.

  2. Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte Klonovat.

  3. Podle potřeby upravte dotaz a další pole.

  4. Vyberte Vytvořit.

Úprava existujícího vlastního dotazu

Upravovat je možné pouze dotazy z vlastního zdroje obsahu. V daném zdroji musí být upravovány další zdroje obsahu.

  1. Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete změnit.

  2. Na řádku dotazu, který chcete změnit, vyberte tři tečky (...) a vyberte Upravit.

  3. Aktualizujte pole Dotaz pomocí aktualizovaného dotazu. Můžete také změnit mapování a techniky entit.

  4. Po dokončení vyberte Uložit.

Související obsah

  • Last updated on