Jaa

Tarkennettu etsintä Microsoft Defender -portaalissa

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Kehittyneen metsästyksen avulla voit tarkastella ja kysellä kaikkia Tietoja Microsoft Defender XDR:stä. Tämä sisältää tietoja eri Microsoftin tietoturvapalveluista ja Microsoft Sentinelistä, joka sisältää tietoja muista kuin Microsoft-tuotteista, yhdessä ympäristössä. Voit myös käyttää ja käyttää kaikkea aiemmin luotua Microsoft Sentinel -työtilan sisältöä, mukaan lukien kyselyt ja funktiot.

Kyselyn tekeminen yhdestä portaalista eri tietojoukkojen välillä tekee metsästyksestä tehokkaampaa ja poistaa tarpeen kontekstin vaihtamiselle.

Tärkeää

Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä Microsoft Defender -portaalissa. Defender-portaalin Microsoft Sentineliä tuetaan nyt tuotantokäyttöön. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Käyttö

Pakolliset roolit ja käyttöoikeudet

Jotta voit tehdä kyselyjä Microsoft Sentinelin ja Microsoft Defender XDR:n tiedoista yhdistetyllä kehittyneen metsästyksen sivulla, sinulla on oltava käyttöoikeus Microsoft Defenderin XDR-lisämetsästykseen (katso Pakolliset roolit ja käyttöoikeudet) ja vähintään Microsoft Sentinel Readeriin (katso Microsoft Sentinel -tietyt roolit).

Yhdistetyssä portaalissa voit tehdä kyselyjä mistä tahansa kuormituksesta, jota voit tällä hetkellä käyttää, roolien ja käyttöoikeuksien perusteella.

Yhdistä työtila

Microsoft Defenderissä voit yhdistää työtiloja valitsemalla Yhdistä työtila yläpalkista. Tämä painike tulee näkyviin, jos olet oikeutettu microsoft Sentinel -työtilaan yhdistetyssä Microsoft Defender -portaalissa. Noudata seuraavia ohjeita: Työtilan käyttöönotto.

Kun olet yhdistänyt Microsoft Sentinel -työtilasi ja Microsoft Defender XDR:n kehittyneen metsästyksen tiedot, voit alkaa kysellä Microsoft Sentinel -tietoja kehittyneen metsästyksen sivulta. Yleiskatsaus kehittyneen metsästyksen ominaisuuksista on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Mitä odottaa Defenderin XDR-taulukoille, jotka on virtautettu Microsoft Sentineliin

  • Käytä kyselyissä taulukoita, joilla on pidempi tietojen säilytysaika – Kehittynyt metsästys noudattaa Defender XDR -taulukoille määritettyä tietojen enimmäissäilytysaikaa (katso Tutustu kiintiöihin). Jos suoratoistat Defender XDR -taulukot Microsoft Sentineliin ja sinulla on yli 30 päivän tietojen säilytysaika mainittuihin taulukoihin, voit tehdä kyselyjä pidemmän ajanjakson kehittyneessä metsästyksessä.
  • Käytä Microsoft Sentinelissä käyttämiäsi Kusto-operaattoreita – Yleensä Microsoft Sentinelin kyselyt toimivat kehittyneessä metsästyksessä, mukaan lukien kyselyt, jotka käyttävät -operaattoria adx() . Joissakin tapauksissa IntelliSense varoittaa, että kyselyn operaattorit eivät vastaa rakennetta, mutta voit silti suorittaa kyselyn, ja se on silti suoritettava onnistuneesti.
  • Käytä avattavaa aikasuodatinvalikkoa sen sijaan, että määrittäisit kyselyn aikavälin – Jos suodatat Defender XDR -taulukoita Sentineliin sen sijaan, että suoratoistaisit taulukoita sellaisenaan, älä suodata kyselyn aikaa, sillä tämä saattaa tuottaa epätäydellisiä tuloksia. Jos määrität kyselyn ajan, Käytetään Sentinelistä virtautetut, suodatetut tiedot, koska sillä on yleensä pidempi tietojen säilytysaika. Jos haluat varmistaa, että teet kyselyjä kaikille Defender XDR -tiedoille enintään 30 päivän ajan, käytä kyselyeditorissa annettua avattavaa aikasuodatinvalikkoa.
  • Näytä SourceSystem Defender XDR -tiedot ja MachineGroup sarakkeet, jotka on virtautettu Microsoft Sentinelistä – Koska sarakkeet SourceSystemMachineGroup on lisätty Defender XDR -taulukoihin, kun ne on virtautettu Microsoft Sentineliin, ne näkyvät myös defenderin kehittyneen metsästyksen tuloksissa. Ne pysyvät kuitenkin tyhjinä Defenderin XDR-taulukoissa, joita ei virtautettu (taulukot, jotka noudattavat oletusarvoista 30 päivän tietojen säilytysjaksoa).

Huomautus

Yhdistetyn portaalin käyttö, jossa voit tehdä kyselyjä Microsoft Sentinel -tiedoille Microsoft Sentinel -työtilan yhdistämisen jälkeen, ei automaattisesti tarkoita, että voit kysellä Defender XDR -tietoja myös Microsoft Sentinelissä. Defender XDR:n raakatietojen käsittely tulisi silti määrittää Microsoft Sentinelissä, jotta tämä tapahtuu.

Microsoft Sentinel -tietojen sijainti

Voit käyttää kehittyneen metsästyksen KQL (Kusto Query Language) -kyselyitä Microsoft Defender XDR- ja Microsoft Sentinel -tietojen selaamiseen.

Kun avaat lisämetsästyssivun ensimmäistä kertaa työtilan yhdistämisen jälkeen, löydät useita työtilan taulukoita, jotka on järjestetty ratkaisun mukaan Microsoft Defenderin XDR-taulukoiden jälkeen Rakenne-välilehdeltä.

Näyttökuva Kehittyneen metsästyksen rakenne -välilehdestä Microsoft Defender -portaalissa, jossa näkyy Sentinel-taulukoiden sijainti

Samoin löydät funktiot Microsoft Sentinelistä Funktiot-välilehdeltä ja jaetut kyselysi ja mallikyselysi Microsoft Sentinelistä löytyvät Kyselyt-välilehdestä Sentinel-merkittyjen kansioiden sisältä.

Näytä rakenteen tiedot

Jos haluat lisätietoja rakennetaulukosta, valitse minkä tahansa rakennetaulukon nimen oikealla puolella oleva pystysuuntainen ellipsikuvake (kebab-kuvake) ja valitse sitten Näytä rakenne.

Yhdistetyssä portaalissa voit rakennesarakkeiden nimien ja kuvausten tarkastelun lisäksi myös tarkastella:

  • Mallitiedot – valitse Näytä esikatselutiedot, joka lataa yksinkertaisen kyselyn, kuten TableName | take 5
  • Rakennetyyppi – tukeeko taulukko täydellisiä kyselyominaisuuksia (kehittynyt taulukko) vai ei (peruslokitaulukko)
  • Tietojen säilytysaika – kuinka kauan tietoja on määritetty säilytettäväksi
  • Tunnisteet – käytettävissä Sentinel-tietotaulukoille

Näyttökuva Microsoft Defender -portaalin rakennetietoruudusta

Funktioiden käyttäminen

Jos haluat käyttää Microsoft Sentinel -funktiota, siirry Funktiot-välilehteen ja vieritä, kunnes löydät haluamasi funktion. Lisää funktio kyselyeditoriin kaksoisnapsauttamalla funktion nimeä.

Voit myös valita funktion oikealta puolelta pystysuuntaiset kolme pistettä ( kebab-kuvake ) ja lisätä funktion kyselyyn kyselyeditorissa valitsemalla Lisää kyselyyn .

Muita vaihtoehtoja ovat:

  • Näytä tiedot – avaa funktion sivuruudun, joka sisältää sen tiedot
  • Lataa funktiokoodi – avaa uuden välilehden, joka sisältää funktiokoodin

Muokattavissa olevissa funktioissa on enemmän vaihtoehtoja, kun valitset pystysuuntaiset kolme pistettä:

  • Muokkaa tietoja – avaa funktion sivuruudun, jotta voit muokata funktion tietoja (lukuun ottamatta Sentinel-funktioiden kansionimiä)
  • Delete – poistaa funktion

Tallennettujen kyselyiden käyttäminen

Jos haluat käyttää Microsoft Sentinelistä tallennettua kyselyä, siirry Kyselyt-välilehteen ja vieritä, kunnes löydät haluamasi kyselyn. Lataa kysely kyselyeditorissa kaksoisnapsauttamalla kyselyn nimeä. Saat lisää vaihtoehtoja valitsemalla kyselyn oikealla puolella olevan pystysuuntaisen kolmen pisteen ( kebab-kuvake ) . Täältä voit suorittaa seuraavat toiminnot:

  • Suorita kysely – lataa kyselyn kyselyeditoriin ja suorittaa sen automaattisesti

  • Avaa kyselyeditorissa – lataa kyselyn kyselyeditorissa

  • Näytä tiedot – avaa kyselyn tietojen sivuruudun, jossa voit tarkastaa kyselyn, suorittaa kyselyn tai avata kyselyn editorissa

    Näyttökuva tallennetuissa kyselyissä käytettävissä olevista vaihtoehdoista Microsoft Defender -portaalissa

Muokattavissa olevissa kyselyissä on käytettävissä lisää vaihtoehtoja:

  • Muokkaa tietoja – avaa kyselyn tietojen sivuruudun ja mahdollisuuden muokata tietoja, kuten kuvausta (jos käytettävissä) ja itse kyselyä. vain Microsoft Sentinel -kyselyiden kansionimiä (sijaintia) ei voi muokata
  • Delete – poistaa kyselyn
  • Nimeä uudelleen – voit muokata kyselyn nimeä

Mukautettujen analytiikka- ja tunnistussääntöjen luominen

Voit etsiä uhkia ja poikkeavia toimintatapoja ympäristöstäsi luomalla mukautettuja tunnistuskäytäntöjä.

Jos haluat analytiikkasääntöjä, jotka koskevat yhdistetyn Microsoft Sentinel -työtilan kautta kirjattuja tietoja, valitse Hallitse sääntöjä > Luo analytiikkasääntö.

Näyttökuva mukautetun analytiikan tai -tunnistusten luontivaihtoehdoista Microsoft Defender -portaalissa

Näyttöön tulee ohjattu analysointisäännön luominen . Täytä tarvittavat tiedot ohjatussa analytiikkasäännön luomisessa kuvatulla tavalla – Yleiset-välilehti.

Voit myös luoda mukautettuja tunnistussääntöjä, jotka kyselevät tietoja sekä Microsoft Sentinel- että Defender XDR -taulukoista. Valitse Hallitse sääntöjä > Luo mukautettu tunnistus. Lisätietoja on artikkelissa Mukautettujen tunnistussääntöjen luominen ja hallinta .

Jos Defenderin XDR-tietoja käytetään Microsoft Sentineliin, voit valita joko Luo mukautettu tunnistus ja Luo analytiikkasääntö.

Tulosten tutkiminen

Suoritettavien kyselyiden tulokset näkyvät Tulokset-välilehdessä. Voit viedä tulokset CSV-tiedostoon valitsemalla Vie.

Näyttökuva kehittyneen metsästyksen tuloksista ja vaihtoehdoista tulosrivien laajentamiseksi Microsoft Defender -portaalissa

Voit myös tarkastella tuloksia seuraavien ominaisuuksien mukaisesti:

  • Laajenna tulos valitsemalla kunkin tuloksen vasemmalla puolella oleva avattavan valikon nuoli
  • Laajenna tarvittaessa JSON- tai matriisimuodossa olevien tulosten tietoja valitsemalla avattavan valikon nuoli käytettävissä olevan tulosrivin vasemmalla puolella luettavuuden lisäämiseksi
  • Avaa sivuruutu, niin näet tietueen tiedot (samanaikaisesti laajennettujen rivien kanssa)

Voit myös napsauttaa hiiren kakkospainikkeella mitä tahansa tulosarvoa rivillä, jotta voit käyttää sitä:

  • Lisää suodattimia aiemmin luotuun kyselyyn
  • Kopioi lisätutkimuksissa käytettävä arvo
  • Päivitä kysely ja laajenna JSON-kenttä uuteen sarakkeeseen

Microsoft Defenderin XDR-tietojen kohdalla voit tehdä lisätoimia valitsemalla valintaruutuja kunkin tulosrivin vasemmalta puolelta. Linkitä valitut tulokset tapahtumaan valitsemalla Linkki tapahtumaan (lue Kyselyn tulosten linkittäminen tapahtumaan) tai Toimi ohjatun toiminnon avaamiseksi (lue Metsästyskyselyn lisätuloksiin liittyvien toimien tekeminen).

Tunnetut ongelmat

  • The IdentityInfo table from Microsoft Sentinel ei ole käytettävissä, koska IdentityInfo taulukko pysyy sellaisenaan Defender XDR:ssä. Tämä ei vaikuta Microsoft Sentinelin ominaisuuksiin, kuten analytiikkasääntöihin, jotka tekevät kyselyn tähän taulukkoon, koska ne tekevät suoraan kyselyjä Log Analytics -työtilassa.
  • Microsoft Sentinel - SecurityAlert taulukko korvataan taulukoilla AlertInfo ja AlertEvidence taulukot, jotka molemmat sisältävät kaikki tiedot ilmoituksista. Vaikka SecurityAlert ei ole käytettävissä Rakenne-välilehdessä, voit silti käyttää sitä kyselyissä kehittyneen metsästyseditorin avulla. Tämä säännös tehdään siten, että aiemmin luodut Microsoft Sentinel -kyselyt, jotka käyttävät tätä taulukkoa, eivät keskeyty.
  • Ohjattua metsästystilaa, linkkejä tapauksiin ja toimintotoimintoja tuetaan vain Defender XDR -tiedoille.
  • Mukautetuilla tunnistuksella on seuraavat rajoitukset:
    • Mukautetut tunnistuksia ei voi käyttää KQL-kyselyissä, jotka eivät sisällä Defender XDR -tietoja.
    • Lähes reaaliaikainen tunnistustiheys ei ole käytettävissä tunnistuksille, jotka sisältävät Microsoft Sentinel -tietoja.
    • Microsoft Sentinelissä luotuja ja tallennettuja mukautettuja funktioita ei tueta.
    • Entiteettien määrittämistä Sentinel-tiedoista ei vielä tueta mukautetuissa tunnistamisessa.
  • Kirjanmerkkejä ei tueta kehittyneessä metsästyskokemuksessa. Niitä tuetaan Microsoft Sentinel > Threat management > Hunting -ominaisuudessa.
  • Jos suoratoistat Defender XDR -taulukoita Log Analyticsiin, -ja-sarakkeidenTimestampTimeGenerated välillä voi olla ero. Jos tiedot saapuvat Log Analyticsiin 48 tunnin kuluttua, ne ohitetaan, kun ne on otettu kohteeseen now(). Tämän vuoksi suosittelemme, että luotat sarakkeeseen Timestamp tapahtuman todellisen tapahtuma-ajan saamiseksi.
  • Kun saat kehotteen Copilot for Securitylle kehittyneissä metsästyskyselyissä, saatat huomata, että kaikkia Microsoft Sentinel -taulukoita ei tueta tällä hetkellä. Näiden taulukoiden tukea voidaan kuitenkin odottaa jatkossa.