Sdílet prostřednictvím

Rozšířené proaktivní vyhledávání na portálu Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Rozšířené proaktivní vyhledávání na jednotném portálu umožňuje zobrazit a dotazovat všechna data z Microsoft DefenderU XDR. To zahrnuje data z různých služeb zabezpečení Microsoftu a služby Microsoft Sentinel, která zahrnují data z produktů jiných společností než Microsoft, na jedné platformě. Můžete také přistupovat k veškerému existujícímu obsahu pracovního prostoru služby Microsoft Sentinel, včetně dotazů a funkcí, a používat je.

Dotazování z jednoho portálu napříč různými datovými sadami zefektivňuje vyhledávání a eliminuje potřebu přepínání kontextu.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené platformy operací zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Jak získat přístup

Požadované role a oprávnění

Pokud chcete dotazovat data služby Microsoft Sentinel a Microsoft Defender XDR na sjednocené stránce rozšířeného proaktivního vyhledávání, musíte mít přístup k rozšířenému proaktivnímu vyhledávání v programu Microsoft Defender XDR (viz Požadované role a oprávnění) a alespoň ke čtenáři služby Microsoft Sentinel (viz role specifické pro Microsoft Sentinel).

Na jednotném portálu se můžete dotazovat na všechna data v libovolné úloze, ke kterým máte aktuálně přístup, na základě rolí a oprávnění, které máte.

Připojení pracovního prostoru

V Microsoft Defenderu můžete pracovní prostory připojit tak, že v horním banneru vyberete Připojit pracovní prostor . Toto tlačítko se zobrazí, pokud máte nárok na onboarding pracovního prostoru služby Microsoft Sentinel na sjednocený portál Microsoft Defender. Postupujte podle kroků v tématu Onboarding a workspace (Onboarding a workspace).

Po připojení pracovního prostoru služby Microsoft Sentinel k pokročilým datům proaktivního vyhledávání v programu Microsoft Defender XDR můžete začít dotazovat data služby Microsoft Sentinel ze stránky rozšířeného proaktivního vyhledávání. Přehled pokročilých funkcí proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního proaktivního vyhledávání.

Co očekávat od tabulek XDR Defenderu streamovaných do služby Microsoft Sentinel

  • Použití tabulek s delší dobou uchovávání dat v dotazech – Rozšířené proaktivní vyhledávání se řídí maximální dobou uchovávání dat nakonfigurovanou pro tabulky Defender XDR (viz Vysvětlení kvót). Pokud streamujete tabulky Defender XDR do služby Microsoft Sentinel a u uvedených tabulek máte dobu uchovávání dat delší než 30 dnů, můžete v rozšířeném proaktivním vyhledávání dotazovat na delší období.
  • Použití operátorů Kusto, které jste použili ve službě Microsoft Sentinel – Obecně platí, že dotazy z Microsoft Sentinelu fungují v rozšířeném proaktivním vyhledávání, včetně dotazů, které tento operátor používají adx() . Můžou nastat případy, kdy vás IntelliSense upozorní, že se operátory v dotazu neshodují se schématem, ale přesto můžete dotaz spustit a měl by se úspěšně spustit.
  • Místo nastavení časového rozsahu v dotazu použijte rozevírací seznam filtru času – pokud filtrujete příjem dat tabulek XDR Defenderu do služby Sentinel místo streamování tabulek tak, jak jsou, nefiltrujte čas v dotazu, protože by to mohlo generovat neúplné výsledky. Pokud v dotazu nastavíte čas, použijí se streamovaná filtrovaná data ze služby Sentinel, protože obvykle mají delší dobu uchovávání dat. Pokud chcete mít jistotu, že se dotazujete na všechna data defenderu XDR po dobu až 30 dnů, použijte místo toho rozevírací seznam časových filtrů, který je k dispozici v editoru dotazů.
  • Zobrazení SourceSystem a MachineGroup sloupce pro data DefenderU XDR, která byla streamována z Microsoft Sentinelu – Vzhledem k tomu, že se sloupce SourceSystem a MachineGroup přidají do tabulek Defender XDR po jejich streamování do služby Microsoft Sentinel, zobrazují se také ve výsledcích rozšířeného proaktivního vyhledávání v Defenderu. Pro tabulky XDR defenderu, které nebyly streamované (tabulky, které následují po výchozí 30denní době uchovávání dat), ale zůstanou prázdné.

Poznámka

Použití jednotného portálu, kde se můžete dotazovat na data služby Microsoft Sentinel po připojení pracovního prostoru služby Microsoft Sentinel, neznamená, že se můžete automaticky dotazovat také na data DefenderU XDR ve službě Microsoft Sentinel. Aby k tomu došlo, měli byste v Microsoft Sentinelu pořád nakonfigurovat nezpracovaný příjem dat defenderu XDR.

Kde najít data služby Microsoft Sentinel

Pomocí dotazů KQL (Kusto Query Language) proaktivního proaktivního vyhledávání můžete proaktivně procházet data Microsoft Defender XDR a Microsoft Sentinel.

Když po připojení pracovního prostoru poprvé otevřete stránku rozšířeného proaktivního vyhledávání, najdete mnoho tabulek tohoto pracovního prostoru uspořádaných podle řešení za tabulkami XDR v programu Microsoft Defender na kartě Schéma .

Snímek obrazovky s kartou schématu rozšířeného proaktivního vyhledávání na portálu Microsoft Defenderu se zvýrazněnou polohou tabulek Sentinelu

Podobně najdete funkce z Microsoft Sentinelu na kartě Funkce a sdílené a ukázkové dotazy z Microsoft Sentinelu najdete na kartě Dotazy uvnitř složek označených jako Sentinel.

Zobrazení informací o schématu

Další informace o tabulce schématu získáte tak, že vyberete svislé tři tečky ( ikona kebabu ) napravo od názvu tabulky schématu na kartě Schéma a pak vyberete Zobrazit schéma.

Na jednotném portálu můžete kromě zobrazení názvů a popisů sloupců schématu také zobrazit:

  • Ukázková data – vyberte Zobrazit náhled dat, která načte jednoduchý dotaz, jako je TableName | take 5
  • Typ schématu – jestli tabulka podporuje úplné možnosti dotazů (pokročilá tabulka) nebo ne (základní tabulka protokolů)
  • Doba uchovávání dat – doba, po jakou se data mají uchovávat
  • Značky – dostupné pro tabulky dat služby Sentinel

Snímek obrazovky s podoknem informací o schématu na portálu Microsoft Defender

Použití funkcí

Pokud chcete použít funkci z Microsoft Sentinelu, přejděte na kartu Funkce a posouvejte se, dokud nenajdete požadovanou funkci. Poklikáním na název funkce vložte funkci do editoru dotazů.

Můžete také vybrat svislé tři tečky ( ikona kebabu ) napravo od funkce a vybrat Vložit do dotazu a vložit funkci do dotazu v editoru dotazů.

Mezi další možnosti patří:

  • Zobrazit podrobnosti – otevře boční podokno funkce obsahující její podrobnosti.
  • Načtení kódu funkce – otevře novou kartu obsahující kód funkce.

U upravitelných funkcí jsou při výběru svislých teček k dispozici další možnosti:

  • Upravit podrobnosti – otevře boční podokno funkce, abyste mohli upravit podrobnosti o funkci (kromě názvů složek pro funkce Sentinelu).
  • Delete – odstraní funkci.

Použití uložených dotazů

Pokud chcete použít uložený dotaz ze služby Microsoft Sentinel, přejděte na kartu Dotazy a posuňte se, dokud nenajdete požadovaný dotaz. Poklikáním na název dotazu načtěte dotaz do editoru dotazů. Pokud potřebujete další možnosti, vyberte svislé tři tečky ( ikona kebabu ) napravo od dotazu. Tady můžete provádět následující akce:

  • Spustit dotaz – načte dotaz v editoru dotazů a spustí ho automaticky.

  • Otevřít v editoru dotazů – načte dotaz v editoru dotazů.

  • Zobrazení podrobností – otevře boční podokno podrobností dotazu, kde můžete dotaz zkontrolovat, spustit dotaz nebo ho otevřít v editoru.

    Snímek obrazovky s možnostmi dostupnými v uložených dotazech na portálu Microsoft Defender

Pro upravitelné dotazy jsou k dispozici další možnosti:

  • Upravit podrobnosti – otevře boční podokno podrobností dotazu s možností upravit podrobnosti, jako je popis (pokud je k dispozici) a samotný dotaz. upravovat pouze názvy složek (umístění) dotazů služby Microsoft Sentinel
  • Delete – odstraní dotaz.
  • Přejmenovat – umožňuje změnit název dotazu.

Vytvoření vlastních analytických a detekčních pravidel

Pokud chcete ve svém prostředí odhalit hrozby a neobvyklé chování, můžete vytvořit vlastní zásady detekce.

V případě analytických pravidel, která se vztahují na data ingestované prostřednictvím připojeného pracovního prostoru služby Microsoft Sentinel, vyberte Spravovat pravidla > Vytvořit analytické pravidlo.

Snímek obrazovky s možnostmi vytváření vlastních analýz nebo detekcí na portálu Microsoft Defender

Zobrazí se průvodce analytickým pravidlem . Vyplňte požadované podrobnosti, jak je popsáno v průvodci analytickými pravidly – karta Obecné.

Můžete také vytvořit vlastní pravidla detekce, která se dotazuje na data z tabulek Microsoft Sentinel i Defender XDR. Vyberte Spravovat pravidla > Vytvořit vlastní detekci. Další informace najdete v tématu Vytváření a správa vlastních pravidel zjišťování .

Pokud jsou data XDR v Defenderu ingestovaná do služby Microsoft Sentinel, máte možnost zvolit mezi vytvořit vlastní detekci a Vytvořit analytické pravidlo.

Prozkoumání výsledků

Výsledky spuštěných dotazů se zobrazí na kartě Výsledky . Výsledky můžete exportovat do souboru CSV tak, že vyberete Exportovat.

Snímek obrazovky s výsledky rozšířeného proaktivního vyhledávání s možnostmi rozbalení řádků výsledků na portálu Microsoft Defenderu

Výsledky můžete prozkoumat také v souladu s následujícími funkcemi:

  • Rozbalení výsledku výběrem šipky rozevíracího seznamu nalevo od každého výsledku
  • Pokud je to možné, rozbalte podrobnosti o výsledcích, které jsou ve formátu JSON nebo pole, výběrem šipky rozevíracího seznamu nalevo od příslušného řádku výsledků pro lepší čitelnost.
  • Otevření bočního podokna a zobrazení podrobností záznamu (souběžně s rozbalenými řádky)

Můžete také kliknout pravým tlačítkem na libovolnou výslednou hodnotu v řádku, abyste ji mohli použít k:

  • Přidání dalších filtrů do existujícího dotazu
  • Zkopírujte hodnotu pro účely dalšího šetření.
  • Aktualizujte dotaz tak, aby se pole JSON rozšířilo na nový sloupec.

U dat XDR v programu Microsoft Defender můžete provést další akce tak, že zaškrtnete políčka nalevo od každého řádku výsledků. Výběrem možnosti Propojit s incidentem propojte vybrané výsledky s incidentem (přečtěte si článek Propojení výsledků dotazu s incidentem) nebo proveďte akce a otevřete průvodce Provedením akcí (přečtěte si téma Provedení akce s výsledky rozšířeného proaktivního dotazu).

Známé problémy

  • Položka IdentityInfo table z Microsoft Sentinelu není k dispozici, protože IdentityInfo tabulka zůstává stejná jako v DefenderU XDR. Funkce služby Microsoft Sentinel, jako jsou analytická pravidla, která se dotazují na tuto tabulku, nejsou ovlivněny, protože se dotazují přímo na pracovní prostor služby Log Analytics.
  • Tabulka Služby Microsoft Sentinel SecurityAlert se nahrazuje tabulkami AlertInfo a, AlertEvidence které obsahují všechna data o výstrahách. I když securityAlert není k dispozici na kartě schématu, můžete ho přesto použít v dotazech pomocí editoru rozšířeného proaktivního vyhledávání. Toto zřízení je provedeno tak, aby nedošlo k přerušení existujících dotazů ze služby Microsoft Sentinel, které používají tuto tabulku.
  • Režim proaktivního vyhledávání s asistencí, odkazy na incidenty a možnosti provádění akcí jsou podporované jenom pro data XDR v Defenderu.
  • Vlastní detekce mají následující omezení:
    • Vlastní detekce nejsou k dispozici pro dotazy KQL, které neobsahují data DefenderU XDR.
    • Frekvence detekce téměř v reálném čase není k dispozici pro detekce, které zahrnují data služby Microsoft Sentinel.
    • Vlastní funkce vytvořené a uložené ve službě Microsoft Sentinel nejsou podporované.
    • Definování entit z dat služby Sentinel se zatím ve vlastních detekcích nepodporuje.
  • Záložky nejsou v pokročilém prostředí proaktivního vyhledávání podporované. Podporují se ve funkci proaktivního vyhledávání správy > hrozeb ve službě Microsoft Sentinel>.
  • Pokud streamujete tabulky XDR Defenderu do Log Analytics, může být mezi sloupciTimestamp a TimeGenerated rozdíl. Pokud data dorazí do Log Analytics po 48 hodinách, přepíšou se při příjmu dat do now(). Pokud chcete zjistit skutečný čas, kdy k události došlo, doporučujeme spoléhat se na Timestamp sloupec .
  • Při zobrazení výzvy Copilotu k zadání zabezpečení u pokročilých dotazů proaktivního vyhledávání můžete zjistit, že se v současné době nepodporují všechny tabulky služby Microsoft Sentinel. Podporu těchto tabulek ale můžete očekávat i v budoucnu.