Použití Microsoft Sentinel funkcí, uložených dotazů a vlastních pravidel

Použití funkcí

Pokud chcete použít funkci z Microsoft Sentinel, přejděte na kartu Funkce a posuňte se, dokud nenajdete požadovanou funkci. Poklikáním na název funkce vložte funkci do editoru dotazů.

Můžete také vybrat svislé tři tečky ( ) napravo od funkce a vybrat Vložit do dotazu a vložit funkci do dotazu v editoru dotazů.

Mezi další možnosti patří:

• Zobrazit podrobnosti – Otevře boční podokno funkce obsahující její podrobnosti.
• Načíst kód funkce – Otevře novou kartu obsahující kód funkce.

U upravitelných funkcí jsou při výběru svislých teček k dispozici další možnosti:

• Upravit podrobnosti – Otevře boční podokno funkce, kde můžete upravit podrobnosti o funkci (kromě názvů složek pro Sentinel funkce).
• Delete – odstraní funkci.

Použití operátoru adx() pro dotazy Azure Data Explorer

Operátor použijte adx() k dotazování tabulek uložených v Azure Data Explorer. Další podrobnosti najdete v tématu Co je Azure Data Explorer?.

Tato funkce byla dříve dostupná jenom v log Analytics v Microsoft Sentinel. Uživatelé teď můžou operátor používat v rozšířeném vyhledávání na portálu sjednoceného Microsoft Defender, aniž by museli ručně otevírat okno Microsoft Sentinel.

V editoru dotazů zadejte dotaz v následujícím formátu:

adx('<Cluster URI>/<Database Name>').<Table Name>

Pokud například chcete získat prvních 10 řádků dat z StormEvents tabulky uložené v určitém identifikátoru URI:

Poznámka

Operátor adx() se nepodporuje pro vlastní detekce.

Použití operátoru arg() pro dotazy Azure Resource Graph

Operátor arg() se dá použít k dotazování na nasazené prostředky Azure, jako jsou předplatná, virtuální počítače, procesor, úložiště a podobně.

Tato funkce byla dříve dostupná jenom v log Analytics v Microsoft Sentinel. Na portálu arg() Microsoft Defender pracuje operátor s Microsoft Sentinel daty (to znamená, že Defender XDR tabulky nejsou podporované). To umožňuje uživatelům používat operátor v rozšířeném proaktivním vyhledávání, aniž by museli ručně otevírat okno Microsoft Sentinel.

Všimněte si, že dotazy používající arg() operátor vrátí pouze prvních 1 000 záznamů. Další podrobnosti najdete v tématu Dotazování dat v Azure Resource Graph pomocí arg().

V editoru dotazů zadejte arg(""). následovaný názvem tabulky Azure Resource Graph.

Příklady:

Můžete také například filtrovat dotaz, který prohledává Microsoft Sentinel data na základě výsledků dotazu Azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Použití uložených dotazů

Pokud chcete použít uložený dotaz z Microsoft Sentinel, přejděte na kartu Dotazy a posuňte se, dokud nenajdete požadovaný dotaz. Poklikáním na název dotazu načtěte dotaz do editoru dotazů. Pokud potřebujete další možnosti, vyberte svislé tři tečky ( ) napravo od dotazu. Tady můžete provádět následující akce:

• Spustit dotaz – Načte dotaz v editoru dotazů a spustí ho automaticky.

• Otevřít v editoru dotazů – Načte dotaz v editoru dotazů.

• Zobrazit podrobnosti – Otevře boční podokno podrobností dotazu, kde můžete dotaz zkontrolovat, spustit dotaz nebo ho otevřít v editoru.

  

Pro upravitelné dotazy jsou k dispozici další možnosti:

• Upravit podrobnosti – Otevře boční podokno podrobností dotazu s možností upravit podrobnosti, jako je popis (pokud je k dispozici) a samotný dotaz. Upravovat nelze pouze názvy složek (umístění) Microsoft Sentinel dotazů.
• Delete – odstraní dotaz.
• Přejmenovat – Umožňuje změnit název dotazu.

Vytvoření vlastních analytických a detekčních pravidel

Pokud chcete ve svém prostředí odhalit hrozby a neobvyklé chování, můžete vytvořit přizpůsobená pravidla detekce. Existují dva druhy:

• Analytická pravidla – k vygenerování detekcí z pravidel, která se dotazují na data ingestovaná prostřednictvím Microsoft Sentinel
• Vlastní pravidla detekce – k vygenerování detekcí z pravidel, která se dotazují na data z Defender XDR nebo z Microsoft Sentinel i Defender XDR

Analytická pravidla

V případě analytických pravidel, která se vztahují na data ingestované prostřednictvím připojeného pracovního prostoru Microsoft Sentinel, vyberte Spravovat pravidla > Vytvořit analytické pravidlo.

Zobrazí se průvodce analytickým pravidlem . Vyplňte požadované podrobnosti, jak je popsáno v průvodci analytickými pravidly – karta Obecné.

Vlastní pravidla detekce

Můžete vytvořit vlastní pravidla detekce, která se dotazuje na data z tabulek Microsoft Sentinel i Defender XDR. Vyberte Spravovat pravidla > Vytvořit vlastní detekci. Další informace najdete v tématu Vytvoření vlastních pravidel zjišťování .

Při vytváření vlastních pravidel detekce i analytických pravidel se můžete dotazovat jenom na data ingestovaná jako analytické protokoly (tedy ne jako základní protokoly nebo pomocné protokoly). Podívejte se na plány správy protokolů a zkontrolujte různé úrovně, jinak vytváření pravidla nepokračuje.

Pokud se data Defender XDR ingestují do Microsoft Sentinel, můžete si vybrat mezi vytvořit vlastní detekci a Vytvořit analytické pravidlo.

Poznámka

Pokud Defender XDR tabulka není nastavená tak, aby streamovaná do log Analytics v Microsoft Sentinel, ale v Microsoft Sentinel je rozpoznána jako standardní tabulka, analytické pravidlo se dá úspěšně vytvořit, ale pravidlo se nespustí správně, protože ve Microsoft Sentinel nejsou ve skutečnosti k dispozici žádná data. V těchto případech místo toho použijte průvodce vlastním pravidlem detekce.

Správa vlastních analytických a detekčních pravidel

Všechna uživatelsky definovaná pravidla – vlastní pravidla detekce i analytická pravidla – si můžete prohlédnout na stránce Pravidla detekce . Další podrobnosti najdete v tématu Správa vlastních detekcí .

Pro organizace ve více pracovních prostorech, které nasadily více pracovních prostorů do Microsoft Defender, teď můžete zobrazit sloupec ID pracovního prostoru a filtrovat podle pracovního prostoru.