Del via


Avanceret jagt på Microsoft Defender-portalen

Avanceret jagt i den samlede portal giver dig mulighed for at få vist og forespørge på alle data fra Microsoft Defender XDR. Dette omfatter data fra forskellige Microsoft-sikkerhedstjenester og Microsoft Sentinel, som omfatter data fra ikke-Microsoft-produkter, på en enkelt platform. Du kan også få adgang til og bruge alt dit eksisterende Microsoft Sentinel-arbejdsområdeindhold, herunder forespørgsler og funktioner.

Forespørgsler fra en enkelt portal på tværs af forskellige datasæt gør jagt mere effektiv og fjerner behovet for kontekstskift.

Vigtigt!

Microsoft Sentinel er nu offentlig tilgængelig på Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.

Sådan får du adgang

Påkrævede roller og tilladelser

Du kan forespørge om data i en hvilken som helst arbejdsbelastning, som du i øjeblikket har adgang til, baseret på dine roller og tilladelser.

Hvis du vil forespørge på tværs af Microsoft Sentinel- og Microsoft Defender XDR-data på den samlede avancerede jagtside, skal du også som minimum have rollen Microsoft Sentinel Reader. Du kan få flere oplysninger under Microsoft Sentinel-specifikke roller.

Opret forbindelse til et arbejdsområde

I Microsoft Defender kan du oprette forbindelse til arbejdsområder ved at vælge Opret forbindelse til et arbejdsområde i det øverste banner. Denne knap vises, hvis du er berettiget til at onboarde et Microsoft Sentinel-arbejdsområde på den samlede Microsoft Defender-portal. Følg trinnene i: Onboarding af et arbejdsområde.

Når du har oprettet forbindelse til dit Microsoft Sentinel-arbejdsområde og microsoft Defender XDR-avancerede jagtdata, kan du begynde at forespørge Microsoft Sentinel-data fra den avancerede jagtside. Hvis du vil have en oversigt over avancerede jagtfunktioner, kan du læse Proaktivt jagt efter trusler med avanceret jagt.

Hvad kan du forvente for Defender XDR-tabeller, der streames til Microsoft Sentinel?

  • Brug tabeller med længere dataopbevaringsperiode i forespørgsler – Avanceret jagt følger den maksimale dataopbevaringsperiode, der er konfigureret for Defender XDR-tabellerne (se Forstå kvoter). Hvis du streamer Defender XDR-tabeller til Microsoft Sentinel og har en dataopbevaringsperiode, der er længere end 30 dage for nævnte tabeller, kan du forespørge om den længere periode i avanceret jagt.
  • Brug Kusto-operatorer, du har brugt i Microsoft Sentinel – Generelt fungerer forespørgsler fra Microsoft Sentinel i avanceret jagt, herunder forespørgsler, der bruger operatoren adx() . Der kan være tilfælde, hvor IntelliSense advarer dig om, at operatorerne i forespørgslen ikke stemmer overens med skemaet, men du kan stadig køre forespørgslen, og den bør stadig udføres korrekt.
  • Brug rullelisten med tidsfilteret i stedet for at angive tidsperioden i forespørgslen – Hvis du filtrerer indtagelse af Defender XDR-tabeller til Sentinel i stedet for at streame tabellerne, som de er, skal du ikke filtrere tiden i forespørgslen, da dette kan generere ufuldstændige resultater. Hvis du angiver tidspunktet i forespørgslen, bruges de streamede, filtrerede data fra Sentinel, fordi de normalt har den længere dataopbevaringsperiode. Hvis du vil sikre dig, at du forespørger alle Defender XDR-data i op til 30 dage, skal du i stedet bruge rullelisten med tidsfilteret, der er angivet i forespørgselseditoren.
  • Vis SourceSystem og MachineGroup kolonner for Defender XDR-data, der er blevet streamet fra Microsoft Sentinel – Da kolonnerne SourceSystem og MachineGroup føjes til Defender XDR-tabeller, når de streames til Microsoft Sentinel, vises de også i resultater i avanceret jagt i Defender. De forbliver dog tomme for Defender XDR-tabeller, der ikke blev streamet (tabeller, der følger standardperioden på 30 dage).

Bemærk!

Når du bruger den samlede portal, hvor du kan forespørge Microsoft Sentinel-data, når du har oprettet forbindelse til et Microsoft Sentinel-arbejdsområde, betyder det ikke automatisk, at du også kan forespørge om Defender XDR-data i Microsoft Sentinel. Rå dataindtagelse af Defender XDR skal stadig konfigureres i Microsoft Sentinel, for at dette kan ske.

Her kan du finde dine Microsoft Sentinel-data

Du kan bruge KQL-forespørgsler (Advanced Hunting KQL) (Kusto Query Language) til at jage gennem Microsoft Defender XDR- og Microsoft Sentinel-data.

Når du åbner den avancerede jagtside for første gang, efter du har oprettet forbindelse til et arbejdsområde, kan du finde mange af arbejdsområdets tabeller organiseret efter løsning efter Microsoft Defender XDR-tabellerne under fanen Skema .

Skærmbillede af fanen avanceret jagtskema på Microsoft Defender-portalens fremhævningssted for Sentinel-tabeller

På samme måde kan du finde funktionerne fra Microsoft Sentinel under fanen Funktioner , og du kan finde dine delte forespørgsler og eksempelforespørgsler fra Microsoft Sentinel under fanen Forespørgsler i mapper, der er markeret med Sentinel.

Vis skemaoplysninger

Hvis du vil vide mere om en skematabel, skal du vælge de lodrette ellipser ( kebabikon ) til højre for et skematabelnavn under fanen Skema og derefter vælge Vis skema.

I unified Portal kan du ud over at få vist skemakolonnenavne og -beskrivelser også få vist:

  • Eksempeldata – vælg Se eksempeldata, som indlæser en simpel forespørgsel som f.eks. TableName | take 5
  • Skematype – om tabellen understøtter komplette forespørgselsfunktioner (avanceret tabel) eller ej (grundlæggende logtabel)
  • Dataopbevaringsperiode – hvor længe dataene er indstillet til at blive opbevaret
  • Tags – tilgængelig for Sentinel-datatabeller

Skærmbillede af ruden med skemaoplysninger på Microsoft Defender-portalen

Brug funktioner

Hvis du vil bruge en funktion fra Microsoft Sentinel, skal du gå til fanen Funktioner og rulle, indtil du finder den ønskede funktion. Dobbeltklik på funktionsnavnet for at indsætte funktionen i forespørgselseditoren.

Du kan også vælge de lodrette ellipser ( kebabikon ) til højre for funktionen og vælge Indsæt for at forespørge for at indsætte funktionen i en forespørgsel i forespørgselseditoren.

Andre indstillinger omfatter:

  • Vis detaljer – åbner den funktionssiderude, der indeholder detaljerne
  • Indlæs funktionskode – åbner en ny fane, der indeholder funktionskoden

Der er flere tilgængelige indstillinger for redigerbare funktioner, når du vælger de lodrette ellipser:

  • Rediger detaljer – åbner funktionssideruden, så du kan redigere detaljer om funktionen (undtagen mappenavne for Sentinel-funktioner)
  • Delete – sletter funktionen

Brug gemte forespørgsler

Hvis du vil bruge en gemt forespørgsel fra Microsoft Sentinel, skal du gå til fanen Forespørgsler og rulle, indtil du finder den ønskede forespørgsel. Dobbeltklik på forespørgselsnavnet for at indlæse forespørgslen i forespørgselseditoren. Du kan få flere indstillinger ved at vælge de lodrette ellipser ( kebabikon ) til højre for forespørgslen. Herfra kan du udføre følgende handlinger:

  • Kør forespørgsel – indlæser forespørgslen i forespørgselseditoren og kører den automatisk

  • Åbn i forespørgselseditoren – indlæser forespørgslen i forespørgselseditoren

  • Vis detaljer – åbner sideruden med forespørgselsoplysninger, hvor du kan undersøge forespørgslen, køre forespørgslen eller åbne forespørgslen i editoren

    Skærmbillede af de indstillinger, der er tilgængelige i gemte forespørgsler på Microsoft Defender-portalen

Der er flere tilgængelige indstillinger for redigerbare forespørgsler:

  • Rediger detaljer – åbner sideruden med forespørgselsdetaljer med mulighed for at redigere detaljerne, f.eks. beskrivelsen (hvis relevant) og selve forespørgslen. Kun mappenavnene (placeringen) for Microsoft Sentinel-forespørgsler kan ikke redigeres
  • Slet – sletter forespørgslen
  • Rename – giver dig mulighed for at ændre forespørgselsnavnet

Opret brugerdefinerede regler for analyse og registrering

Du kan hjælpe med at finde trusler og uregelmæssigheder i dit miljø ved at oprette brugerdefinerede politikker for registrering.

For analyseregler, der gælder for data, der indtages via det forbundne Microsoft Sentinel-arbejdsområde, skal du vælge Administrer regler > Opret analyseregel.

Skærmbillede af indstillingerne til oprettelse af brugerdefinerede analyser eller registreringer på Microsoft Defender-portalen

Guiden Analyseregel vises. Udfyld de påkrævede oplysninger, som beskrevet i guiden Analytics-regel – fanen Generelt.

Du kan også oprette regler for brugerdefineret registrering, der forespørger data fra både Microsoft Sentinel- og Defender XDR-tabeller. Vælg Administrer regler > Opret brugerdefineret registrering. Læs Opret og administrer regler for brugerdefineret registrering for at få flere oplysninger.

Hvis dine Defender XDR-data indtages i Microsoft Sentinel, har du mulighed for at vælge mellem Opret brugerdefineret registrering og Opret analyseregel.

Udforsk resultater

Resultater af forespørgsler, der blev kørt, vises under fanen Resultater . Du kan eksportere resultaterne til en CSV-fil ved at vælge Eksportér.

Skærmbillede af avancerede jagtresultater med indstillinger til udvidelse af resultatrækker på Microsoft Defender-portalen

Du kan også udforske resultaterne på linje med følgende funktioner:

  • Udvid et resultat ved at vælge rullepilen til venstre for hvert resultat
  • Hvis det er relevant, kan du udvide detaljerne for resultater, der er i JSON- eller matrixformat, ved at vælge rullepilen til venstre for den relevante resultatrække for at få tilføjet læsbarhed
  • Åbn sideruden for at få vist oplysninger om en post (samtidig med udvidede rækker)

Du kan også højreklikke på en resultatværdi i en række, så du kan bruge den til at:

  • Føj flere filtre til den eksisterende forespørgsel
  • Kopiér værdien til brug i yderligere undersøgelse
  • Opdater forespørgslen for at udvide et JSON-felt til en ny kolonne

I forbindelse med Microsoft Defender XDR-data kan du udføre yderligere handlinger ved at markere afkrydsningsfelterne til venstre for hver resultatrække. Vælg Link til hændelse for at knytte de valgte resultater til en hændelse (læs Sammensæt forespørgselsresultater med en hændelse) eller Udfør handlinger for at åbne guiden Udfør handlinger (læs Udfør handling på avancerede resultater af jagtforespørgslen).

Kendte problemer

  • IdentityInfo table fra Microsoft Sentinel er ikke tilgængelig, da tabellen forbliver, som den IdentityInfo er i Defender XDR. Microsoft Sentinel-funktioner som analyseregler, der forespørger denne tabel, påvirkes ikke, da de forespørger Log Analytics-arbejdsområdet direkte.
  • Tabellen Microsoft Sentinel SecurityAlert erstattes af AlertInfo tabellerne og AlertEvidence , som begge indeholder alle dataene i beskeder. Selvom SecurityAlert ikke er tilgængelig under skemafanen, kan du stadig bruge den i forespørgsler ved hjælp af den avancerede jagteditor. Denne bestemmelse er foretaget for ikke at bryde eksisterende forespørgsler fra Microsoft Sentinel, der bruger denne tabel.
  • Automatiseret jagttilstand, links til hændelser og handlinger understøttes kun for Defender XDR-data.
  • Brugerdefinerede registreringer har følgende begrænsninger:
    • Brugerdefinerede registreringer er ikke tilgængelige for KQL-forespørgsler, der ikke indeholder Defender XDR-data.
    • Registreringsfrekvensen i nærheden af realtid er ikke tilgængelig for registreringer, der indeholder Microsoft Sentinel-data.
    • Brugerdefinerede funktioner, der blev oprettet og gemt i Microsoft Sentinel, understøttes ikke.
    • Definition af objekter fra Sentinel-data understøttes endnu ikke i brugerdefinerede registreringer.
  • Bogmærker understøttes ikke i den avancerede jagtoplevelse. De understøttes i Microsoft Sentinel > Threat Management > Hunting-funktionen .
  • Hvis du streamer Defender XDR-tabeller til Log Analytics, kan der være en forskel mellem kolonnerneTimestamp og TimeGenerated . Hvis dataene ankommer til Log Analytics efter 48 timer, tilsidesættes de ved indtagelse til now(). Derfor anbefaler vi, at du stoler på Timestamp kolonnen for at få det faktiske tidspunkt, hvor hændelsen fandt sted.
  • Når du spørger Copilot for Security om avancerede jagtforespørgsler, kan det være, at ikke alle Microsoft Sentinel-tabeller understøttes i øjeblikket. Understøttelse af disse tabeller kan dog forventes i fremtiden.