Jaa


Kehittyneiden metsästyskyselyiden siirtäminen Microsoft Defender for Endpoint

Koskee seuraavia:

  • Microsoft Defender XDR

Siirrä kehittyneet metsästystyönkulut Microsoft Defender for Endpoint uhkien ennakoivaan etsimiseen laajemman tietojoukon avulla. Microsoft Defender XDR:ssä saat käyttöoikeuden muiden Microsoft 365 -suojausratkaisujen tietoihin, kuten:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Huomautus

Useimmat Microsoft Defender for Endpoint asiakkaat voivat käyttää Microsoft Defender XDR ilman lisälisenssejä. Voit aloittaa kehittyneen metsästyksen työnkulkujen siirtämisen Defender for Endpointista ottamalla käyttöön Microsoft Defender XDR.

Voit siirtyä vaikuttamatta aiemmin luotuihin Defender for Endpoint -työnkulkuihin. Tallennetut kyselyt säilyvät ennallaan, ja mukautettujen tunnistussääntöjen suorittaminen ja ilmoitusten luominen jatkuu. Ne näkyvät kuitenkin Microsoft Defender XDR.

Rakennetaulukot vain Microsoft Defender XDR

Microsoft Defender XDR kehittynyt metsästysrakenne tarjoaa lisätaulukoita, jotka sisältävät tietoja eri Microsoft 365 -suojausratkaisuista. Seuraavat taulukot ovat käytettävissä vain Microsoft Defender XDR:

Taulukon nimi Kuvaus
AlertEvidence Hälytyksiin liittyvät tiedostot, IP-osoitteet, URL-osoitteet, käyttäjät tai laitteet
AlertInfo ilmoitukset Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity, mukaan lukien vakavuustiedot ja uhkaluokat
EmailAttachmentInfo Tietoja sähköposteihin liitetyistä tiedostoista
EmailEvents Microsoft 365 -sähköpostitapahtumat, mukaan lukien sähköpostin toimitus ja tapahtumien esto
EmailPostDeliveryEvents Toimituksen jälkeiset suojaustapahtumat sen jälkeen, kun Microsoft 365 on toimittanut sähköpostiviestit vastaanottajan postilaatikkoon
EmailUrlInfo Tietoja sähköpostiviestien URL-osoitteista
IdentityDirectoryEvents Tapahtumat, joissa on mukana paikallinen toimialueen ohjauskone, jossa on käytössä Active Directory (AD). Tämä taulukko kattaa useita käyttäjätietoihin liittyviä tapahtumia ja järjestelmätapahtumia toimialueen ohjauskoneessa.
IdentityInfo Tilitiedot eri lähteistä, mukaan lukien Microsoft Entra ID
IdentityLogonEvents Active Directoryn ja Microsoft online-palvelut todentamistapahtumat
IdentityQueryEvents Kyselyt Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille

Tärkeää

Kyselyjä ja mukautettuja tunnistuksia, jotka käyttävät vain Microsoft Defender XDR käytettävissä olevia rakennetaulukoita, voidaan tarkastella vain Microsoft Defender XDR.

Map DeviceAlertEvents-taulukko

- AlertInfo ja AlertEvidence -taulukot korvaavat DeviceAlertEvents taulukon Microsoft Defender for Endpoint-rakenteessa. Laitehälytyksiä koskevien tietojen lisäksi nämä kaksi taulukkoa sisältävät tietoja käyttäjätietojen, sovellusten ja sähköpostien hälytyksistä.

Seuraavan taulukon avulla voit tarkistaa, miten DeviceAlertEvents sarakkeet yhdistetään sarakkeisiin ja AlertEvidence -AlertInfotaulukoissa.

Vihje

Seuraavassa taulukossa olevien sarakkeiden lisäksi taulukko sisältää monia muita sarakkeita, AlertEvidence jotka antavat kokonaisvaltaisemman kuvan eri lähteistä peräisin olevista ilmoituksista. Näytä kaikki AlertEvidence-sarakkeet

DeviceAlertEvents-sarake Samojen tietojen sijainti Microsoft Defender XDR
AlertId AlertInfo ja AlertEvidence taulukot
Timestamp AlertInfo ja AlertEvidence taulukot
DeviceId AlertEvidence pöytä
DeviceName AlertEvidence pöytä
Severity AlertInfo pöytä
Category AlertInfo pöytä
Title AlertInfo pöytä
FileName AlertEvidence pöytä
SHA1 AlertEvidence pöytä
RemoteUrl AlertEvidence pöytä
RemoteIP AlertEvidence pöytä
AttackTechniques AlertInfo pöytä
ReportId Tätä saraketta käytetään yleensä kohteessa Microsoft Defender for Endpoint liittyvien tietueiden paikantamiseen muista taulukoista. Microsoft Defender XDR voit noutaa aiheeseen liittyviä tietoja suoraan taulukostaAlertEvidence.
Table Tätä saraketta käytetään yleensä Microsoft Defender for Endpoint lisätietojen tapahtumille muissa taulukoissa. Microsoft Defender XDR voit noutaa aiheeseen liittyviä tietoja suoraan taulukostaAlertEvidence.

Aiemmin luotujen Microsoft Defender for Endpoint kyselyiden muokkaaminen

Microsoft Defender for Endpoint kyselyt toimivat sellaisenaan, elleivät ne viittaa taulukkoonDeviceAlertEvents. Jos haluat käyttää näitä kyselyitä Microsoft Defender XDR, tee seuraavat muutokset:

  • Korvaa DeviceAlertEvents kohteella AlertInfo.
  • Yhdistä - AlertInfo ja - AlertEvidence taulukot päälle AlertId saadaksesi vastaavat tiedot.

Alkuperäinen kysely

Seuraava kysely hakee DeviceAlertEvents Microsoft Defender for Endpoint hälytykset, joihin liittyy powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Muokattu kysely

Seuraavaa kyselyä on muutettu käytettäväksi Microsoft Defender XDR. Sen sijaan, että tiedoston nimi tarkastetaan suoraan kohteesta DeviceAlertEvents, se liittyy AlertEvidence taulukkoon ja tarkistaa sen tiedostonimen kyseisessä taulukossa.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Mukautettujen tunnistussääntöjen siirtäminen

Kun Microsoft Defender for Endpoint sääntöjä muokataan Microsoft Defender XDR, ne toimivat edelleen kuten ennenkin, jos tuloksena saatava kysely tarkastelee vain laitetaulukoita.

Esimerkiksi mukautetuilla tunnistussäännöillä luodut hälytykset, jotka tekevät kyselyn vain laitetaulukoista, toimitetaan edelleen SIEM:lle ja luovat sähköposti-ilmoituksia sen mukaan, miten olet määrittänyt ne Microsoft Defender for Endpoint. Myös kaikki Defender for Endpointin nykyiset evätyssäännöt ovat edelleen voimassa.

Kun muokkaat Defender for Endpoint -sääntöä niin, että se tekee kyselyjä käyttäjätieto- ja sähköpostitaulukoista, jotka ovat käytettävissä vain Microsoft Defender XDR, sääntö siirretään automaattisesti Microsoft Defender XDR.

Siirretyn säännön luomat ilmoitukset:

  • Eivät enää näy Defender for Endpoint -portaalissa (Microsoft Defender Security Center)
  • Lopeta toimittaminen SIEM:lle tai luo sähköposti-ilmoituksia. Voit kiertää tämän muutoksen määrittämällä ilmoitukset Microsoft Defender XDR kautta saadaksesi ilmoitukset. Voit käyttää Microsoft Defender XDR-ohjelmointirajapintaa vastaanottamaan ilmoituksia asiakkaan havaitsemisilmoituksista tai liittyvistä tapauksista.
  • Microsoft Defender for Endpoint evätyssäännöt eivät estä sitä. Jos haluat estää ilmoitusten luomisen tietyille käyttäjille, laitteille tai postilaatikoille, muokkaa vastaavat kyselyt siten, että kyseiset entiteetit jätetään eksplisiittisesti pois.

Jos muokkaat sääntöä tällä tavalla, sinua pyydetään vahvistamaan se, ennen kuin muutokset otetaan käyttöön.

Microsoft Defender XDR mukautettujen tunnistussääntöjen luomat uudet ilmoitukset näytetään ilmoitussivulla, joka sisältää seuraavat tiedot:

  • Ilmoituksen otsikko ja kuvaus
  • Kohderesurssit, joihin vaikutus vaikuttaa
  • Hälytyksen johdosta toteutetut toimet
  • Kyselyn tulokset, jotka käynnistivät ilmoituksen
  • Tietoja mukautetusta tunnistussäännöstä

Kyselyjen kirjoittaminen ilman DeviceAlertEvents-elementtiä

Microsoft Defender XDR rakenteessa AlertInfo - ja AlertEvidence -taulukot on annettu, jotta niihin mahtuu erilaisia tietoja, jotka ovat eri lähteistä peräisin olevien ilmoitusten mukana.

Jos haluat saada samat ilmoitustiedot, joita käytit Microsoft Defender for Endpoint-rakenteen taulukostaDeviceAlertEvents, suodata AlertInfo taulukko ServiceSource ja liitä sitten kukin yksilöllinen tunnus AlertEvidence taulukkoon, joka sisältää yksityiskohtaisia tapahtuma- ja entiteettitietoja.

Katso alla oleva esimerkkikysely:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Tämä kysely tuottaa paljon enemmän sarakkeita kuin DeviceAlertEvents Microsoft Defender for Endpoint rakenteessa. Jos haluat pitää tulokset hallittavissa, project käytä tätä vain sinua kiinnostavien sarakkeiden hakemiseen. Alla olevassa esimerkissä näkyvät projektisarakkeet, jotka saattavat olla kiinnostuneita, kun tutkimuksessa havaittiin PowerShell-toimintaa:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Jos haluat suodattaa tietyt hälytyksiin liittyvät entiteetit, voit tehdä sen määrittämällä entiteetin tyypin EntityType kohteessa ja arvon, jota haluat suodattaa. Seuraavassa esimerkissä haetaan tiettyä IP-osoitetta:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.