Jaa

Kehittynyt metsästys Microsoft Defender monitahtihallinnassa

  • Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Kehittyneen metsästyksen Microsoft Defender usean kohteen hallinnan avulla voit ennakoivasti etsiä tunkeutumisyrityksiä ja murtotoimintaa sähköpostissa, tiedoissa, laitteissa ja tileissä useissa vuokraajissa ja työtiloissa samanaikaisesti. Jos sinulla on useita vuokraajia, joiden Microsoft Sentinel työtilat on otettu käyttöön Microsoft Defender-portaalissa, hae suojaustietoja ja tapahtumien hallinnan (SIEM) tietoja yhdessä laajennettujen tunnistus- ja vastaustietojen (XDR) kanssa useissa vuokraajissa ja työtiloissa.

Esikatseluna tuetaan useita työtiloja vuokraajaa kohden.

Kiintiöt

Useassa ympäristössä kehittyneet metsästyskyselyt voivat palauttaa enintään 50 000 tietuetta. Kunkin yksittäisen vuokraajan tulosjoukon enimmäisraja on 50 000 jaettuna kyselyjen sisältämien vuokraajien määrällä.

Lisätietoja kehittyneen metsästyksen palvelurajoituksista on artikkelissa Kehittyneiden metsästyskiintiöiden ymmärtäminen.

Suorita vuokraajienväliset kyselyt

Voit suorittaa minkä tahansa kyselyn, johon sinulla on jo käyttöoikeus, monitoimihallinnan lisämetsästyssivulla .

  1. Kyselyt-välilehdessä luetellut kyselyt suodatetaan vuokraajan mukaan. Valitse vuokraaja, jos haluat tarkastella kullekin vuokraajalle käytettävissä olevia kyselyitä.

  2. Lataa kysely kyselyeditorissa ja valitse vuokraajavalitsin määrittääksesi vuokraajat ja työtilat, joita vastaan haluat suorittaa kyselyn.

    Näyttökuva vuokraajien välisen Microsoft Defender XDR kehittyneen metsästyksen kyselysivusta

  3. Valitse avautuvasta sivuruudusta vuokraajat, jotka haluat sisällyttää kyselyyn. Jokainen vuokraaja tukee yhtä työtilaa. Jos sinulla on useita työtiloja vuokraajan Defender-portaalissa, valitse Muokkaa valintaa ja valitse haluamasi työtila.

    Näyttökuva vuokraajien Microsoft Defender XDR kehittyneen metsästyskyselyn sivuruudun laajuudesta

    Kun valitset useita vuokraajia, kysely suoritetaan itsenäisesti jokaisessa vuokraajassa, ja yhdistetyt tulokset näytetään yhdessä taulukossa. Esimerkiksi alla oleva mallikysely (DeviceEvents | take 10) palauttaa 10 tulosta vuokraajaa kohden. Tulokseksi saadaan yhteensä 10 kerrottuna valittujen vuokraajien määrällä.

  4. Kun olet valmis, valitse Käytä>suorita kyselyä.

    Näyttökuva ross Microsoft Defender XDR vuokraajien kehittyneen metsästyskyselyn vaikutusalueen sarakkeesta

    Kyselyn tulokset sisältävät sarakkeen nimeltä TenantId. Jos käytät useita työtiloja, tämän sarakkeen arvoissa näkyy työtilan tunnus vuokraajan tunnuksen sijaan. Tällaisissa tapauksissa suosittelemme, että nimeät tuloksesi sarakkeen uudelleen kyselyn avulla TenantId-tunnuksista WorkspaceId-tunnukseen, jotta sen lukeminen on helpompaa. Esimerkki:

    DeviceEvents
| take 10
| project TenantId = WorkspaceID

    Voit myös tehdä kyselyn useille työtiloille samassa vuokraajassa käyttämällä seuraavan kaltaista kyselyä:

    Usage
| union workspace("WorkpaceA").Usage
| take 10

Tärkeää

Kyselyjen suorittaminen useille vuokraajille -operaattorin adx(x) avulla suorittaa erillisiä ADX-kyselyitä kutakin vuokraajaa kohden ja koostaa ne, mikä saattaa palauttaa päällekkäisiä tuloksia. Käytä operaattoria adx(x) useiden vuokraajien kanssa vain, jos sinun on liityttävä vuokraajan tuloksiin ADX-tiedoilla. Lisätietoja ADX:stä kehittyneessä metsästyksessä on kohdassa Microsoft Sentinel funktioiden, tallennettujen kyselyiden ja mukautettujen sääntöjen käyttäminen.

Lisätietoja kehittyneestä metsästyksestä Microsoft Defender XDR on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.

Työtilojenvälisten kyselyiden suorittaminen

Jos haluat suorittaa kyselyjä samassa vuokraajassa useissa työtiloissa, käytä workspace( ) -lauseketta, jossa työtilan tunnus on kyselyn argumenttina viittaamaan toisessa työtilassa olevaan taulukkoon.

Jos käytät Azure Majakka myöntääksesi vuokraajallesi käyttöoikeudet muihin vuokraajan työtiloihin, voit myös tehdä kyselyjä sekä vuokraajissa että työtiloissa. Voit tehdä tämän valitsemalla vain yhden vuokraajan Vuokraajan vaikutusalueen valitsimesta. Käytä sitten kyselyssä lauseketta kutsumaan muiden työtilojen nimiä, workspace() joista haluat tehdä kyselyn muissa vuokraajissa. Jos sinulla on esimerkiksi vuokraajia ja työtiloja, jotka on nimetty seuraavasti:

  • TenantA: WorkspaceA1, WorkspaceA2
  • TenantB: WorkspaceB1, WorkspaceB2

Jos haluat tehdä kyselyjä sekä WorkspaceA1:ssä että WorkspaceB1:ssä, valitse Vuokraajanvaikutusalueen valitsimesta TenantA ja WorkspaceA1. Käytä kyselyssä operaattoria WorkspaceB2:n workspace() kutsumiseen. Esimerkki:

union workspace("WorkspaceB2").Usage, Usage
| where TimeGenerated > ago(1d)
| summarize TotalRecords = count() by Workspace = TenantId

Tulokset näkyvät sekä WorkspaceA1 :sta että WorkspaceB2:sta.

Lisätietoja on kohdassa Useiden työtilojen kysely ja Työtilojen hallinta vuokraajassa Azure Majakan avulla.

Huomautus

Jos taulukoilla on sama nimi mutta eri rakenteet useissa työtiloissa ja haluat käyttää niitä samassa kyselyssä, käytä työtilaoperaattoria tarvitsemasi taulukon yksilöimiseen.

Rakennetaulukoiden tarkasteleminen

Tarkastele kehittyneen metsästyksen rakennetaulukoita vasemmanpuoleisessa ruudussa kehittyneen metsästyssivun sisällä Rakenne-välilehdessä .

Rakenneluettelo on yhdistetty näkymä kaikista vuokraajasi taulukoista riippumatta vuokraajan oikeasta yläkulmasta valituista vuokraajavalitsimista.

Tämä voi tarkoittaa sitä, että jotkin tässä näkyvät taulukot saattavat olla käytettävissä vain joissakin vuokraajissa kyselyissä, kuten mukautetuissa Microsoft Sentinel taulukoissa.

Mukautettujen tunnistussääntöjen tarkasteleminen ja hallinta

Voit myös hallita useiden vuokraajien mukautettuja tunnistussääntöjä mukautettujen tunnistussääntöjen sivulla.

Näytä mukautetut tunnistussäännöt vuokraajan mukaan

  1. Jos haluat tarkastella mukautettuja tunnistussääntöjä, siirry Microsoft Defender usean kohteen hallinnan Mukautettujen tunnistussääntöjen sivulle.

  2. Tarkastele Palveltavan kohteen nimi -saraketta, josta tunnistussääntö on peräisin:

    Näyttökuva usean Microsoft Defender XDR mukautetun tunnistuksen sivusta.

Jos haluat tarkastella vain tietyn vuokraajan mukautettuja tunnistussääntöjä, valitse Suodata, valitse vuokraaja tai vuokraajat ja valitse Käytä.

Lisätietoja mukautetun tunnistuksen säännöistä on artikkelissa Mukautettujen tunnistusten yleiskatsaus.

Mukautettujen tunnistussääntöjen hallinta

Voit suorittaa, poistaa käytöstä ja poistaa tunnistussääntöjä Microsoft Defender usean kohteen hallinnasta.

Tunnistussääntöjen hallinta:

  1. Siirry Microsoft Defender usean kohteen hallinnan Mukautettujen tunnistussääntöjen sivulle.

  2. Valitse tunnistussääntö, jota haluat hallita.

    Kun valitset yksittäisen tunnistussäännön, näyttöön avautuu pikaikkunapaneeli, jossa on tunnistussäännön tiedot:

    Näyttökuva Microsoft Defender XDR mukautetun tunnistussäännön tietosivusta

  3. Valitse Avaa tunnistussäännöt, jos haluat tarkastella tätä sääntöä tietyn vuokraajan uudessa välilehdessä Microsoft Defender portaalissa. Lisätietoja on artikkelissa Mukautetut tunnistussäännöt.

Aiheeseen liittyvä sisältö

  • Last updated on