Erweiterte Suche im Microsoft Defender-Portal
Mit der erweiterten Suche im einheitlichen Portal können Sie alle Daten von Microsoft Defender XDR anzeigen und abfragen. Dies umfasst Daten aus verschiedenen Microsoft-Sicherheitsdiensten und Microsoft Sentinel, einschließlich Daten von Nicht-Microsoft-Produkten, auf einer einzigen Plattform. Sie können auch auf alle Vorhandenen Inhalte ihres Microsoft Sentinel-Arbeitsbereichs zugreifen und diese verwenden, einschließlich Abfragen und Funktionen.
Das Abfragen über ein einzelnes Portal über verschiedene Datasets hinweg macht die Suche effizienter und macht den Kontextwechsel nicht mehr erforderlich.
Wichtig
Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Zugreifen auf
Erforderliche Rollen und Berechtigungen
Sie können Daten in jeder Workload abfragen, auf die Sie derzeit basierend auf Ihren Rollen und Berechtigungen zugreifen können.
Zum Abfragen von Microsoft Sentinel- und Microsoft Defender XDR-Daten auf der Seite für die einheitliche erweiterte Suche benötigen Sie außerdem mindestens die Rolle Microsoft Sentinel-Leser. Weitere Informationen finden Sie unter Microsoft Sentinel-spezifische Rollen.
Verbinden eines Arbeitsbereichs
In Microsoft Defender können Sie Arbeitsbereiche verbinden, indem Sie im oberen Banner Arbeitsbereich verbinden auswählen. Diese Schaltfläche wird angezeigt, wenn Sie zum Onboarding eines Microsoft Sentinel-Arbeitsbereichs im einheitlichen Microsoft Defender-Portal berechtigt sind. Führen Sie die Schritte unter Onboarding a workspace (Integrieren eines Arbeitsbereichs) aus.
Nachdem Sie Ihren Microsoft Sentinel-Arbeitsbereich mit den Erweiterten Suchdaten von Microsoft Defender XDR verbunden haben, können Sie mit der Abfrage von Microsoft Sentinel-Daten auf der Seite für die erweiterte Suche beginnen. Eine Übersicht über erweiterte Huntingfunktionen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.
Was Sie für Defender XDR-Tabellen erwarten können, die an Microsoft Sentinel gestreamt werden
- Verwenden von Tabellen mit längerem Datenaufbewahrungszeitraum in Abfragen : Die erweiterte Suche folgt dem maximalen Datenaufbewahrungszeitraum, der für die Defender XDR-Tabellen konfiguriert ist (siehe Grundlegendes zu Kontingenten). Wenn Sie Defender XDR-Tabellen an Microsoft Sentinel streamen und eine Datenaufbewahrungsdauer von mehr als 30 Tagen für diese Tabellen haben, können Sie den längeren Zeitraum bei der erweiterten Suche abfragen.
-
Verwenden von Kusto-Operatoren, die Sie in Microsoft Sentinel verwendet haben : Im Allgemeinen funktionieren Abfragen von Microsoft Sentinel bei der erweiterten Suche, einschließlich Abfragen, die den
adx()
Operator verwenden. Es kann Fälle geben, in denen IntelliSense Sie warnt, dass die Operatoren in Ihrer Abfrage nicht mit dem Schema übereinstimmen. Sie können die Abfrage jedoch trotzdem ausführen, und sie sollte trotzdem erfolgreich ausgeführt werden. - Verwenden Sie die Dropdownliste Zeitfilter, anstatt die Zeitspanne in der Abfrage festzulegen . Wenn Sie die Erfassung von Defender XDR-Tabellen in Sentinel filtern, anstatt die Tabellen unverändert zu streamen, filtern Sie nicht die Zeit in der Abfrage, da dies zu unvollständigen Ergebnissen führen kann. Wenn Sie die Zeit in der Abfrage festlegen, werden die gestreamten, gefilterten Daten aus Sentinel verwendet, da sie in der Regel den längeren Datenaufbewahrungszeitraum haben. Wenn Sie sicherstellen möchten, dass Sie alle Defender XDR-Daten bis zu 30 Tage lang abfragen, verwenden Sie stattdessen die Dropdownliste zeitfilter im Abfrage-Editor.
-
Ansicht
SourceSystem
undMachineGroup
Spalten für Defender XDR-Daten, die von Microsoft Sentinel gestreamt wurden : Da die SpaltenSourceSystem
undMachineGroup
nach dem Streamen an Microsoft Sentinel zu Defender XDR-Tabellen hinzugefügt werden, werden sie auch in den Ergebnissen der erweiterten Suche in Defender angezeigt. Sie bleiben jedoch für Defender XDR-Tabellen leer, die nicht gestreamt wurden (Tabellen, die dem standardmäßigen 30-Tage-Datenaufbewahrungszeitraum folgen).
Hinweis
Die Verwendung des einheitlichen Portals, in dem Sie Microsoft Sentinel-Daten nach dem Herstellen einer Verbindung mit einem Microsoft Sentinel-Arbeitsbereich abfragen können, bedeutet nicht automatisch, dass Sie auch Defender XDR-Daten abfragen können, während Sie sich in Microsoft Sentinel befinden. Die Erfassung von Rohdaten von Defender XDR sollte weiterhin in Microsoft Sentinel konfiguriert werden, damit dies geschieht.
Wo Sie Ihre Microsoft Sentinel-Daten finden
Sie können erweiterte KQL-Abfragen (Kusto Query Language) verwenden, um Microsoft Defender XDR- und Microsoft Sentinel-Daten zu durchsuchen.
Wenn Sie die Seite erweiterte Suche zum ersten Mal öffnen, nachdem Sie einen Arbeitsbereich hergestellt haben, finden Sie viele tabellen dieses Arbeitsbereichs nach Lösung nach den Microsoft Defender XDR-Tabellen auf der Registerkarte Schema .
Ebenso finden Sie die Funktionen von Microsoft Sentinel auf der Registerkarte Funktionen , und Ihre freigegebenen und Beispielabfragen von Microsoft Sentinel finden Sie auf der Registerkarte Abfragen in Ordnern, die mit Sentinel gekennzeichnet sind.
Anzeigen von Schemainformationen
Wenn Sie mehr über eine Schematabelle erfahren möchten, wählen Sie auf der Registerkarte Schema die vertikalen Auslassungspunkte ( ) rechts neben einem beliebigen Schematabellennamen aus, und wählen Sie dann Schema anzeigen aus.
Im einheitlichen Portal können Sie neben den Namen und Beschreibungen der Schemaspalten auch Folgendes anzeigen:
- Beispieldaten– Wählen Sie Vorschaudaten anzeigen aus, wodurch eine einfache Abfrage wie
TableName | take 5
- Schematyp : Gibt an, ob die Tabelle vollständige Abfragefunktionen unterstützt (erweiterte Tabelle) oder nicht (Tabelle "Basisprotokolle")
- Datenaufbewahrungszeitraum – Wie lange die Daten aufbewahrt werden sollen
- Tags – verfügbar für Sentinel-Datentabellen
Verwenden von Funktionen
Um eine Funktion aus Microsoft Sentinel zu verwenden, wechseln Sie zur Registerkarte Funktionen , und scrollen Sie, bis Sie die gewünschte Funktion gefunden haben. Doppelklicken Sie auf den Funktionsnamen, um die Funktion im Abfrage-Editor einzufügen.
Sie können auch die vertikalen Ellipsen ( ) rechts neben der Funktion auswählen und Einfügen auswählen, um die Funktion in eine Abfrage im Abfrage-Editor einzufügen.
Weitere Optionen sind:
- Details anzeigen – öffnet den funktionsseitigen Bereich mit seinen Details.
- Laden von Funktionscode : Öffnet eine neue Registerkarte, die den Funktionscode enthält.
Für bearbeitbare Funktionen sind weitere Optionen verfügbar, wenn Sie die vertikalen Auslassungspunkte auswählen:
- Details bearbeiten : Öffnet den Seitenbereich der Funktion, damit Sie Details zur Funktion bearbeiten können (mit Ausnahme von Ordnernamen für Sentinel-Funktionen).
- Löschen : Löscht die Funktion.
Verwenden gespeicherter Abfragen
Um eine gespeicherte Abfrage aus Microsoft Sentinel zu verwenden, wechseln Sie zur Registerkarte Abfragen , und scrollen Sie, bis Sie die gewünschte Abfrage gefunden haben. Doppelklicken Sie auf den Abfragenamen, um die Abfrage im Abfrage-Editor zu laden. Wählen Sie für weitere Optionen die vertikalen Auslassungspunkte ( ) rechts neben der Abfrage aus. Von hier aus können Sie die folgenden Aktionen ausführen:
Abfrage ausführen : Lädt die Abfrage im Abfrage-Editor und führt sie automatisch aus.
Im Abfrage-Editor öffnen – lädt die Abfrage im Abfrage-Editor.
Details anzeigen : Öffnet den Seitenbereich mit den Abfragedetails, in dem Sie die Abfrage überprüfen, die Abfrage ausführen oder die Abfrage im Editor öffnen können.
Für bearbeitbare Abfragen stehen weitere Optionen zur Verfügung:
- Details bearbeiten : Öffnet den Seitenbereich mit den Abfragedetails mit der Option, die Details wie die Beschreibung (falls zutreffend) und die Abfrage selbst zu bearbeiten. nur die Ordnernamen (Speicherort) von Microsoft Sentinel-Abfragen können nicht bearbeitet werden.
- Löschen : Löscht die Abfrage.
- Umbenennen : Ermöglicht ihnen das Ändern des Abfragenamens.
Erstellen benutzerdefinierter Analyse- und Erkennungsregeln
Um Bedrohungen und anomales Verhalten in Ihrer Umgebung zu erkennen, können Sie benutzerdefinierte Erkennungsrichtlinien erstellen.
Für Analyseregeln, die für Daten gelten, die über den verbundenen Microsoft Sentinel-Arbeitsbereich erfasst werden, wählen Sie Regeln > verwalten Analyseregel erstellen aus.
Der Analyseregel-Assistent wird angezeigt. Füllen Sie die erforderlichen Details aus, wie unter Analyseregel-Assistent – Registerkarte Allgemein beschrieben.
Sie können auch benutzerdefinierte Erkennungsregeln erstellen, die Daten aus Microsoft Sentinel- und Defender XDR-Tabellen abfragen. Wählen Sie Regeln > verwalten Benutzerdefinierte Erkennung erstellen aus. Weitere Informationen finden Sie unter Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln .
Wenn Ihre Defender XDR-Daten in Microsoft Sentinel erfasst werden, haben Sie die Möglichkeit, zwischen benutzerdefinierter Erkennung erstellen und Analyseregel erstellen zu wählen.
Ergebnisse erkunden
Die Ergebnisse der ausgeführten Abfragen werden auf der Registerkarte Ergebnisse angezeigt. Sie können die Ergebnisse in eine CSV-Datei exportieren, indem Sie Exportieren auswählen.
Sie können die Ergebnisse auch im Einklang mit den folgenden Features untersuchen:
- Erweitern Eines Ergebnisses durch Auswählen des Dropdownpfeils links neben jedem Ergebnis
- Erweitern Sie ggf. Details für Ergebnisse im JSON- oder Arrayformat, indem Sie den Dropdownpfeil links neben der entsprechenden Ergebniszeile auswählen, um die Lesbarkeit zu erhöhen.
- Öffnen Sie den Seitenbereich, um die Details eines Datensatzes anzuzeigen (gleichzeitig mit erweiterten Zeilen).
Sie können auch mit der rechten Maustaste auf einen beliebigen Ergebniswert in einer Zeile klicken, sodass Sie ihn für Folgendes verwenden können:
- Hinzufügen weiterer Filter zur vorhandenen Abfrage
- Kopieren Sie den Wert für die weitere Untersuchung.
- Aktualisieren der Abfrage, um ein JSON-Feld auf eine neue Spalte zu erweitern
Für Microsoft Defender XDR-Daten können Sie weitere Maßnahmen ergreifen, indem Sie die Kontrollkästchen links neben den einzelnen Ergebniszeilen aktivieren. Wählen Sie Mit Incident verknüpfen aus, um die ausgewählten Ergebnisse mit einem Incident zu verknüpfen (lesen Sie Verknüpfen von Abfrageergebnissen mit einem Incident) oder Aktionen ausführen , um den Assistenten "Aktionen ausführen" zu öffnen (lesen Sie Aktion für erweiterte Suchabfrageergebnisse ausführen).
Bekannte Probleme
- Die
IdentityInfo table
aus Microsoft Sentinel ist nicht verfügbar, da dieIdentityInfo
Tabelle in Defender XDR unverändert bleibt. Microsoft Sentinel-Features wie Analyseregeln, die diese Tabelle abfragen, sind nicht betroffen, da sie den Log Analytics-Arbeitsbereich direkt abfragen. - Die Microsoft Sentinel-Tabelle
SecurityAlert
wird durchAlertInfo
die Tabellen undAlertEvidence
ersetzt, die beide alle Daten zu Warnungen enthalten. Obwohl SecurityAlert auf der Registerkarte Schema nicht verfügbar ist, können Sie es weiterhin in Abfragen mit dem erweiterten Hunting-Editor verwenden. Diese Bereitstellung erfolgt, um vorhandene Abfragen von Microsoft Sentinel, die diese Tabelle verwenden, nicht zu unterbrechen. - Der Modus für die geführte Suche, Links zu Incidents und Die Funktionen zum Ausführen von Aktionen werden nur für Defender XDR-Daten unterstützt.
- Für benutzerdefinierte Erkennungen gelten die folgenden Einschränkungen:
- Benutzerdefinierte Erkennungen sind nicht für KQL-Abfragen verfügbar, die keine Defender XDR-Daten enthalten.
- Die Erkennungshäufigkeit in Quasi-Echtzeit ist für Erkennungen, die Microsoft Sentinel-Daten enthalten, nicht verfügbar.
- Benutzerdefinierte Funktionen, die in Microsoft Sentinel erstellt und gespeichert wurden, werden nicht unterstützt.
- Das Definieren von Entitäten aus Sentinel-Daten wird in benutzerdefinierten Erkennungen noch nicht unterstützt.
- Lesezeichen werden in der erweiterten Suche nicht unterstützt. Sie werden in der Bedrohungsverwaltungssuche > von Microsoft Sentinel > unterstützt.
- Wenn Sie Defender XDR-Tabellen an Log Analytics streamen, kann es einen Unterschied zwischen den
Timestamp
Spalten undTimeGenerated
geben. Falls die Daten nach 48 Stunden in Log Analytics eintreffen, werden sie bei der Erfassung innow()
überschrieben. Daher wird empfohlen, sich auf die Spalte zu verlassen, um den tatsächlichen Zeitpunkt des EreignisereignissesTimestamp
abzurufen. - Wenn Sie Copilot for Security für erweiterte Huntingabfragen auffordern, stellen Sie möglicherweise fest, dass derzeit nicht alle Microsoft Sentinel-Tabellen unterstützt werden. Es ist jedoch zu erwarten, dass diese Tabellen in Zukunft unterstützt werden.