Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
Rozšířené proaktivní vyhledávání na jednotném portálu umožňuje zobrazit a dotazovat všechna data z Microsoft DefenderU XDR. To zahrnuje data z různých služeb zabezpečení Microsoftu a služby Microsoft Sentinel, která zahrnují data z produktů jiných společností než Microsoft, na jedné platformě. Můžete také přistupovat k veškerému existujícímu obsahu pracovního prostoru služby Microsoft Sentinel, včetně dotazů a funkcí, a používat je.
Dotazování z jednoho portálu napříč různými datovými sadami zefektivňuje vyhledávání a eliminuje potřebu přepínání kontextu.
Důležité
Microsoft Sentinel je k dispozici jako součást sjednocené platformy operací zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Jak získat přístup
Požadované role a oprávnění
Pokud chcete dotazovat data služby Microsoft Sentinel a Microsoft Defender XDR na sjednocené stránce rozšířeného proaktivního vyhledávání, musíte mít přístup k rozšířenému proaktivnímu vyhledávání v programu Microsoft Defender XDR (viz Požadované role a oprávnění) a alespoň ke čtenáři služby Microsoft Sentinel (viz role specifické pro Microsoft Sentinel).
Na jednotném portálu se můžete dotazovat na všechna data v libovolné úloze, ke kterým máte aktuálně přístup, na základě rolí a oprávnění, které máte.
Připojení pracovního prostoru
V Microsoft Defenderu můžete pracovní prostory připojit tak, že v horním banneru vyberete Připojit pracovní prostor . Toto tlačítko se zobrazí, pokud máte nárok na onboarding pracovního prostoru služby Microsoft Sentinel na sjednocený portál Microsoft Defender. Postupujte podle kroků v tématu Onboarding a workspace (Onboarding a workspace).
Po připojení pracovního prostoru služby Microsoft Sentinel k pokročilým datům proaktivního vyhledávání v programu Microsoft Defender XDR můžete začít dotazovat data služby Microsoft Sentinel ze stránky rozšířeného proaktivního vyhledávání. Přehled pokročilých funkcí proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního proaktivního vyhledávání.
Co očekávat od tabulek XDR Defenderu streamovaných do služby Microsoft Sentinel
- Použití tabulek s delší dobou uchovávání dat v dotazech – Rozšířené proaktivní vyhledávání se řídí maximální dobou uchovávání dat nakonfigurovanou pro tabulky Defender XDR (viz Vysvětlení kvót). Pokud streamujete tabulky Defender XDR do služby Microsoft Sentinel a u uvedených tabulek máte dobu uchovávání dat delší než 30 dnů, můžete v rozšířeném proaktivním vyhledávání dotazovat na delší období.
- Použití operátorů Kusto, které jste použili ve službě Microsoft Sentinel – Obecně platí, že dotazy z Microsoft Sentinelu fungují v rozšířeném proaktivním vyhledávání, včetně dotazů, které tento operátor používají
adx()
. Můžou nastat případy, kdy vás IntelliSense upozorní, že se operátory v dotazu neshodují se schématem, ale přesto můžete dotaz spustit a měl by se úspěšně spustit. - Místo nastavení časového rozsahu v dotazu použijte rozevírací seznam filtru času – pokud filtrujete příjem dat tabulek XDR Defenderu do služby Sentinel místo streamování tabulek tak, jak jsou, nefiltrujte čas v dotazu, protože by to mohlo generovat neúplné výsledky. Pokud v dotazu nastavíte čas, použijí se streamovaná filtrovaná data ze služby Sentinel, protože obvykle mají delší dobu uchovávání dat. Pokud chcete mít jistotu, že se dotazujete na všechna data defenderu XDR po dobu až 30 dnů, použijte místo toho rozevírací seznam časových filtrů, který je k dispozici v editoru dotazů.
- Zobrazení
SourceSystem
aMachineGroup
sloupce pro data DefenderU XDR, která byla streamována z Microsoft Sentinelu – Vzhledem k tomu, že se sloupceSourceSystem
aMachineGroup
přidají do tabulek Defender XDR po jejich streamování do služby Microsoft Sentinel, zobrazují se také ve výsledcích rozšířeného proaktivního vyhledávání v Defenderu. Pro tabulky XDR defenderu, které nebyly streamované (tabulky, které následují po výchozí 30denní době uchovávání dat), ale zůstanou prázdné.
Poznámka
Použití jednotného portálu, kde se můžete dotazovat na data služby Microsoft Sentinel po připojení pracovního prostoru služby Microsoft Sentinel, neznamená, že se můžete automaticky dotazovat také na data DefenderU XDR ve službě Microsoft Sentinel. Aby k tomu došlo, měli byste v Microsoft Sentinelu pořád nakonfigurovat nezpracovaný příjem dat defenderu XDR.
Kde najít data služby Microsoft Sentinel
Pomocí dotazů KQL (Kusto Query Language) proaktivního proaktivního vyhledávání můžete proaktivně procházet data Microsoft Defender XDR a Microsoft Sentinel.
Když po připojení pracovního prostoru poprvé otevřete stránku rozšířeného proaktivního vyhledávání, najdete mnoho tabulek tohoto pracovního prostoru uspořádaných podle řešení za tabulkami XDR v programu Microsoft Defender na kartě Schéma .
Podobně najdete funkce z Microsoft Sentinelu na kartě Funkce a sdílené a ukázkové dotazy z Microsoft Sentinelu najdete na kartě Dotazy uvnitř složek označených jako Sentinel.
Zobrazení informací o schématu
Další informace o tabulce schématu získáte tak, že vyberete svislé tři tečky ( ) napravo od názvu tabulky schématu na kartě Schéma a pak vyberete Zobrazit schéma.
Na jednotném portálu můžete kromě zobrazení názvů a popisů sloupců schématu také zobrazit:
- Ukázková data – vyberte Zobrazit náhled dat, která načte jednoduchý dotaz, jako je
TableName | take 5
- Typ schématu – jestli tabulka podporuje úplné možnosti dotazů (pokročilá tabulka) nebo ne (základní tabulka protokolů)
- Doba uchovávání dat – doba, po jakou se data mají uchovávat
- Značky – dostupné pro tabulky dat služby Sentinel
Použití funkcí
Pokud chcete použít funkci z Microsoft Sentinelu, přejděte na kartu Funkce a posouvejte se, dokud nenajdete požadovanou funkci. Poklikáním na název funkce vložte funkci do editoru dotazů.
Můžete také vybrat svislé tři tečky ( ) napravo od funkce a vybrat Vložit do dotazu a vložit funkci do dotazu v editoru dotazů.
Mezi další možnosti patří:
- Zobrazit podrobnosti – otevře boční podokno funkce obsahující její podrobnosti.
- Načtení kódu funkce – otevře novou kartu obsahující kód funkce.
U upravitelných funkcí jsou při výběru svislých teček k dispozici další možnosti:
- Upravit podrobnosti – otevře boční podokno funkce, abyste mohli upravit podrobnosti o funkci (kromě názvů složek pro funkce Sentinelu).
- Delete – odstraní funkci.
Použití uložených dotazů
Pokud chcete použít uložený dotaz ze služby Microsoft Sentinel, přejděte na kartu Dotazy a posuňte se, dokud nenajdete požadovaný dotaz. Poklikáním na název dotazu načtěte dotaz do editoru dotazů. Pokud potřebujete další možnosti, vyberte svislé tři tečky ( ) napravo od dotazu. Tady můžete provádět následující akce:
Spustit dotaz – načte dotaz v editoru dotazů a spustí ho automaticky.
Otevřít v editoru dotazů – načte dotaz v editoru dotazů.
Zobrazení podrobností – otevře boční podokno podrobností dotazu, kde můžete dotaz zkontrolovat, spustit dotaz nebo ho otevřít v editoru.
Pro upravitelné dotazy jsou k dispozici další možnosti:
- Upravit podrobnosti – otevře boční podokno podrobností dotazu s možností upravit podrobnosti, jako je popis (pokud je k dispozici) a samotný dotaz. upravovat pouze názvy složek (umístění) dotazů služby Microsoft Sentinel
- Delete – odstraní dotaz.
- Přejmenovat – umožňuje změnit název dotazu.
Vytvoření vlastních analytických a detekčních pravidel
Pokud chcete ve svém prostředí odhalit hrozby a neobvyklé chování, můžete vytvořit vlastní zásady detekce.
V případě analytických pravidel, která se vztahují na data ingestované prostřednictvím připojeného pracovního prostoru služby Microsoft Sentinel, vyberte Spravovat pravidla > Vytvořit analytické pravidlo.
Zobrazí se průvodce analytickým pravidlem . Vyplňte požadované podrobnosti, jak je popsáno v průvodci analytickými pravidly – karta Obecné.
Můžete také vytvořit vlastní pravidla detekce, která se dotazuje na data z tabulek Microsoft Sentinel i Defender XDR. Vyberte Spravovat pravidla > Vytvořit vlastní detekci. Další informace najdete v tématu Vytváření a správa vlastních pravidel zjišťování .
Pokud jsou data XDR v Defenderu ingestovaná do služby Microsoft Sentinel, máte možnost zvolit mezi vytvořit vlastní detekci a Vytvořit analytické pravidlo.
Prozkoumání výsledků
Výsledky spuštěných dotazů se zobrazí na kartě Výsledky . Výsledky můžete exportovat do souboru CSV tak, že vyberete Exportovat.
Výsledky můžete prozkoumat také v souladu s následujícími funkcemi:
- Rozbalení výsledku výběrem šipky rozevíracího seznamu nalevo od každého výsledku
- Pokud je to možné, rozbalte podrobnosti o výsledcích, které jsou ve formátu JSON nebo pole, výběrem šipky rozevíracího seznamu nalevo od příslušného řádku výsledků pro lepší čitelnost.
- Otevření bočního podokna a zobrazení podrobností záznamu (souběžně s rozbalenými řádky)
Můžete také kliknout pravým tlačítkem na libovolnou výslednou hodnotu v řádku, abyste ji mohli použít k:
- Přidání dalších filtrů do existujícího dotazu
- Zkopírujte hodnotu pro účely dalšího šetření.
- Aktualizujte dotaz tak, aby se pole JSON rozšířilo na nový sloupec.
U dat XDR v programu Microsoft Defender můžete provést další akce tak, že zaškrtnete políčka nalevo od každého řádku výsledků. Výběrem možnosti Propojit s incidentem propojte vybrané výsledky s incidentem (přečtěte si článek Propojení výsledků dotazu s incidentem) nebo proveďte akce a otevřete průvodce Provedením akcí (přečtěte si téma Provedení akce s výsledky rozšířeného proaktivního dotazu).
Známé problémy
- Položka
IdentityInfo table
z Microsoft Sentinelu není k dispozici, protožeIdentityInfo
tabulka zůstává stejná jako v DefenderU XDR. Funkce služby Microsoft Sentinel, jako jsou analytická pravidla, která se dotazují na tuto tabulku, nejsou ovlivněny, protože se dotazují přímo na pracovní prostor služby Log Analytics. - Tabulka Služby Microsoft Sentinel
SecurityAlert
se nahrazuje tabulkamiAlertInfo
a,AlertEvidence
které obsahují všechna data o výstrahách. I když securityAlert není k dispozici na kartě schématu, můžete ho přesto použít v dotazech pomocí editoru rozšířeného proaktivního vyhledávání. Toto zřízení je provedeno tak, aby nedošlo k přerušení existujících dotazů ze služby Microsoft Sentinel, které používají tuto tabulku. - Režim proaktivního vyhledávání s asistencí, odkazy na incidenty a možnosti provádění akcí jsou podporované jenom pro data XDR v Defenderu.
- Vlastní detekce mají následující omezení:
- Vlastní detekce nejsou k dispozici pro dotazy KQL, které neobsahují data DefenderU XDR.
- Frekvence detekce téměř v reálném čase není k dispozici pro detekce, které zahrnují data služby Microsoft Sentinel.
- Vlastní funkce vytvořené a uložené ve službě Microsoft Sentinel nejsou podporované.
- Definování entit z dat služby Sentinel se zatím ve vlastních detekcích nepodporuje.
- Záložky nejsou v pokročilém prostředí proaktivního vyhledávání podporované. Podporují se ve funkci proaktivního vyhledávání správy > hrozeb ve službě Microsoft Sentinel>.
- Pokud streamujete tabulky XDR Defenderu do Log Analytics, může být mezi sloupci
Timestamp
aTimeGenerated
rozdíl. Pokud data dorazí do Log Analytics po 48 hodinách, přepíšou se při příjmu dat donow()
. Pokud chcete zjistit skutečný čas, kdy k události došlo, doporučujeme spoléhat se naTimestamp
sloupec . - Při zobrazení výzvy Copilotu k zadání zabezpečení u pokročilých dotazů proaktivního vyhledávání můžete zjistit, že se v současné době nepodporují všechny tabulky služby Microsoft Sentinel. Podporu těchto tabulek ale můžete očekávat i v budoucnu.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro