KQL-Plug-Ins in Microsoft Security Copilot
Erstellen Sie leistungsstarke Plug-Ins mithilfe von KQL-Abfragen (Kusto-Abfragesprache), um Ihre Daten zu untersuchen und Muster zu ermitteln.
Diese Einstellungen gelten für alle KQL-Fähigkeiten.
Settings:
# What type of KQL endpoint to connect to.
# One of { Defender, Sentinel, LogAnalytics, Kusto }
Target: Sentinel
# A URL to download the KQL query template from.
# Specify either TemplatUrl or Template but not both.
TemplateUrl: https://gist.githubusercontent.com/NitinKumarGoel/c862ba63878dd2624acb1b0e260f409a/raw/3a527014757b4ee1f00302a1b34a13e7b83ff77a/gistfile1.txt
# An inline KQL query template.
# Specify either TemplatUrl or Template but not both.
Template: |-
SigninLogs
| where UserDisplayName == '{{user}}' or UserPrincipalName == '{{user}}'
| project TimeGenerated, OperationName, UserDisplayName, UserPrincipalName, Location, ResourceDisplayName, ConditionalAccessStatus, IsInteractive
| top 100 by TimeGenerated desc
Die folgende Tabelle zeigt die settings
, die für alle KQL-Fähigkeitsziele konfiguriert werden können:
Einstellungsname | Typ | Beschreibung | Erforderlich |
---|---|---|---|
Template |
string | KQL-Eingabeaufforderungsvorlage. Unterstützt bis zu 80.000 Zeichen. | Ja, wenn TemplateUrl nicht angegeben ist. |
TemplateUrl |
string | Öffentliche URL zum Herunterladen der KQL-Eingabeaufforderungsvorlage (bis zu 80.000 Zeichen). | Ja. Geben Sie "TemplateUrl" oder "Template" an, aber nicht beides. |
PackageUrl |
string | Öffentliche URL für die ZIP-Datei mit der darin enthaltenen KQL-Eingabeaufforderungsvorlage. Hinweis: Dies wird auf SkillGroup-Ebene angegeben. Ähnlich wie GPT skill packageurl - example. | Ja, wenn Template oder TemplateUrl nicht angegeben sind. |
TemplateFile |
string | Relativer Pfad zur KQL-Eingabeaufforderungsvorlage (bis zu 80.000 Zeichen) in der PackageUrl-ZIP-Datei. | Ja, wenn PackageUrl angegeben ist. |
Diese Einstellungen sind für KQL-Fähigkeiten gültig, bei denen der Target
-Wert Sentinel
ist.
Settings:
# The ID of the AAD Organization that the Sentinel workspace is in.
TenantId:
# The id of the Azure Subscription that the Sentinel workspace is in.
SubscriptionId:
# The name of the Resource Group that the Sentinel workspace is in.
ResourceGroupName:
# The name of the Sentinel workspace.
WorkspaceName:
Diese Einstellungen sind für KQL-Fähigkeiten gültig, bei denen der Target
-Wert Kusto
ist.
Settings:
# The Kusto cluster URL.
Cluster:
# The Kusto database name.
Database:
Descriptor:
Name: SampleDefenderKQL
DisplayName: My Sample Defender KQL Plugin
Description: Skills to query email logs in M365 Advanced Hunting
SkillGroups:
- Format: KQL
Skills:
- Name: GetLatestEmailsByRecipient
DisplayName: Get Latest Emails By Recipient
Description: Fetches the latest emails received by the user with the specified email address
Inputs:
- Name: email
Description: The email address of the recipient
Required: true
Settings:
Target: Defender
Template: |-
EmailEvents
| where RecipientEmailAddress =~ '{{email}}'
| project Timestamp, NetworkMessageId, SenderFromAddress, SenderDisplayName, Subject, DeliveryLocation
| top 100 by Timestamp desc