Del via

Avanceret jagt med Microsoft Sentinel data på Microsoft Defender portal

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Avanceret jagt giver dig mulighed for at få vist og forespørge på alle de datakilder, der er tilgængelige på den samlede Microsoft Defender portal. Datakilderne kan omfatte Microsoft Defender XDR og forskellige Microsoft-sikkerhedstjenester. Hvis du onboarder Microsoft Sentinel til Defender-portalen, skal du få adgang til og bruge alt dit eksisterende Microsoft Sentinel arbejdsområdeindhold, herunder forespørgsler og funktioner.

Forespørgsler fra en enkelt portal på tværs af forskellige datasæt gør jagt mere effektiv og fjerner behovet for kontekstskift.

Vigtigt!

Microsoft Sentinel er nu offentlig tilgængelig på Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.

Sådan får du adgang

Påkrævede roller og tilladelser

Du kan forespørge om data i en hvilken som helst arbejdsbelastning, som du i øjeblikket har adgang til, baseret på dine roller og tilladelser.

Hvis du vil forespørge på tværs af Microsoft Sentinel og Microsoft Defender XDR data på den samlede avancerede jagtside, skal du også mindst have rollen Microsoft Sentinel Læser. Du kan få flere oplysninger under Microsoft Sentinel specifikke roller.

Opret forbindelse til et arbejdsområde

I Microsoft Defender kan du oprette forbindelse til arbejdsområder ved at vælge Opret forbindelse til et arbejdsområde på det øverste banner. Denne knap vises, hvis du er berettiget til at onboarde et Microsoft Sentinel arbejdsområde på den samlede Microsoft Defender portal. Følg trinnene i: Onboarding af et arbejdsområde.

Når du har oprettet forbindelse til dit Microsoft Sentinel arbejdsområde og Microsoft Defender XDR avancerede jagtdata, kan du begynde at forespørge om Microsoft Sentinel data fra den avancerede jagtside. Hvis du vil have en oversigt over avancerede jagtfunktioner, kan du læse Proaktivt jagt efter trusler med avanceret jagt.

Hvad kan du forvente for Defender XDR tabeller, der streames til Microsoft Sentinel

  • Brug tabeller med længere dataopbevaringsperiode i forespørgsler – Avanceret jagt følger den maksimale dataopbevaringsperiode, der er konfigureret for de Defender XDR tabeller (se Forstå kvoter). Hvis du streamer Defender XDR tabeller for at Microsoft Sentinel og har en dataopbevaringsperiode, der er længere end 30 dage for nævnte tabeller, kan du forespørge om den længere periode i avanceret jagt.
  • Brug Kusto-operatorer, du har brugt i Microsoft Sentinel – Generelt fungerer forespørgsler fra Microsoft Sentinel i avanceret jagt, herunder forespørgsler, der bruger operatorenadx(). Der kan være tilfælde, hvor IntelliSense advarer dig om, at operatorerne i forespørgslen ikke stemmer overens med skemaet, men du kan stadig køre forespørgslen, og den bør stadig udføres korrekt.
  • Brug rullelisten med tidsfilteret i stedet for at angive tidsperioden i forespørgslen – Hvis du filtrerer indtagelse af Defender XDR tabeller for at Sentinel i stedet for at streame tabellerne, som de er, skal du ikke filtrere tiden i forespørgslen, da dette kan generere ufuldstændige resultater. Hvis du angiver tidspunktet i forespørgslen, bruges de streamede, filtrerede data fra Sentinel, fordi den normalt har den længere dataopbevaringsperiode. Hvis du vil sikre dig, at du forespørger på alle Defender XDR data i op til 30 dage, skal du i stedet bruge rullelisten med tidsfilteret, der er angivet i forespørgselseditoren.
  • Vis SourceSystem og MachineGroup kolonner for Defender XDR data, der er blevet streamet fra Microsoft Sentinel – Da kolonnerne SourceSystem og MachineGroup føjes til Defender XDR tabeller, når de streames til Microsoft Sentinel, vises de også i resultater i avanceret jagt i Defender. De forbliver dog tomme for Defender XDR tabeller, der ikke blev streamet (tabeller, der følger standardperioden på 30 dage).

Bemærk!

Når du bruger den samlede portal, hvor du kan forespørge om Microsoft Sentinel data, når du har oprettet forbindelse til et Microsoft Sentinel arbejdsområde, betyder det ikke automatisk, at du også kan forespørge om Defender XDR data i Microsoft Sentinel. Rådataindtagelse af Defender XDR skal stadig konfigureres i Microsoft Sentinel, for at dette kan ske.

Her kan du finde dine Microsoft Sentinel data

Du kan bruge KQL-forespørgsler (Advanced Hunting KQL) (Kusto Query Language) til at jage gennem Microsoft Defender XDR og Microsoft Sentinel data.

Når du åbner den avancerede jagtside for første gang, efter at du har oprettet forbindelse til et arbejdsområde, kan du finde mange af det pågældende arbejdsområdes tabeller organiseret efter løsning efter de Microsoft Defender XDR tabeller under fanen Skema.

Skærmbillede af fanen avanceret jagtskema på Microsoft Defender portalens fremhævningssted for Sentinel tabeller

På samme måde kan du finde funktionerne fra Microsoft Sentinel under fanen Funktioner, og dine delte forespørgsler og eksempelforespørgsler fra Microsoft Sentinel findes under fanen Forespørgsler i mapper, der er markeret Sentinel.

Vis skemaoplysninger

Hvis du vil vide mere om en skematabel, skal du vælge de lodrette ellipser ( kebabikon ) til højre for et skematabelnavn under fanen Skema og derefter vælge Vis skema.

I unified Portal kan du ud over at få vist skemakolonnenavne og -beskrivelser også få vist:

  • Eksempeldata – vælg Se eksempeldata, som indlæser en simpel forespørgsel som f.eks. TableName | take 5
  • Skematype – om tabellen understøtter komplette forespørgselsfunktioner (avanceret tabel) eller ej (grundlæggende logtabel)
  • Dataopbevaringsperiode – hvor længe dataene er indstillet til at blive opbevaret
  • Tags – tilgængelig for Sentinel datatabeller

Skærmbillede af ruden med skemaoplysninger på portalen Microsoft Defender

Kendte problemer

  • fra IdentityInfo tableMicrosoft Sentinel er ikke tilgængelig, da tabellen forbliver, som den IdentityInfo er i Defender XDR. Microsoft Sentinel funktioner som analyseregler, der forespørger denne tabel, påvirkes ikke, da de sender en direkte forespørgsel til Log Analytics-arbejdsområdet.
  • Tabellen Microsoft Sentinel SecurityAlert erstattes af AlertInfo tabellerne og AlertEvidence , som begge indeholder alle dataene i beskeder. Selvom SecurityAlert ikke er tilgængelig under skemafanen, kan du stadig bruge den i forespørgsler ved hjælp af den avancerede jagteditor. Denne klargøring sker for ikke at bryde eksisterende forespørgsler fra Microsoft Sentinel, der bruger denne tabel.
  • Automatiseret jagttilstand og handlinger understøttes kun for Defender XDR data.
  • Brugerdefinerede registreringer har følgende begrænsninger:
    • Brugerdefinerede registreringer er ikke tilgængelige for KQL-forespørgsler, der ikke indeholder Defender XDR data.
    • Registreringsfrekvensen i nærheden af realtid er ikke tilgængelig for registreringer, der omfatter Microsoft Sentinel data.
    • Brugerdefinerede funktioner, der blev oprettet og gemt i Microsoft Sentinel, understøttes ikke.
    • Definition af objekter fra Sentinel data understøttes endnu ikke i brugerdefinerede registreringer.
  • Bogmærker understøttes ikke i den avancerede jagtoplevelse. De understøttes i Microsoft Sentinel > Threat Management > Hunting-funktionen.
  • Hvis du streamer Defender XDR tabeller til Log Analytics, kan der være en forskel mellem kolonnerneTimestamp og TimeGenerated . Hvis dataene ankommer til Log Analytics efter 48 timer, tilsidesættes de ved indtagelse til now(). Derfor anbefaler vi, at du stoler på Timestamp kolonnen for at få det faktiske tidspunkt, hvor hændelsen fandt sted.
  • Når du beder Copilot for Security om avancerede jagtforespørgsler, kan det være, at det ikke er alle Microsoft Sentinel tabeller, der understøttes i øjeblikket. Understøttelse af disse tabeller kan dog forventes i fremtiden.

Se også