Partager via


Migrer des requêtes de chasse avancées à partir de Microsoft Defender pour point de terminaison

S’applique à :

  • Microsoft Defender XDR

Déplacez vos flux de travail de chasse avancés de Microsoft Defender pour point de terminaison pour rechercher de manière proactive les menaces à l’aide d’un ensemble plus large de données. Dans Microsoft Defender XDR, vous avez accès aux données à partir d’autres solutions de sécurité Microsoft 365, notamment :

  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour l’identité

Remarque

La plupart des clients Microsoft Defender pour point de terminaison peuvent utiliser Microsoft Defender XDR sans licences supplémentaires. Pour commencer la transition de vos workflows de repérage avancés à partir de Defender pour point de terminaison, activez Microsoft Defender XDR.

Vous pouvez effectuer une transition sans affecter vos workflows Defender pour point de terminaison existants. Les requêtes enregistrées restent intactes, et les règles de détection personnalisées continuent de s’exécuter et de générer des alertes. Ils seront toutefois visibles dans Microsoft Defender XDR.

Tables de schéma dans Microsoft Defender XDR uniquement

Le schéma de repérage avancé Microsoft Defender XDR fournit des tables supplémentaires contenant des données provenant de différentes solutions de sécurité Microsoft 365. Les tableaux suivants sont disponibles uniquement dans Microsoft Defender XDR :

Nom du tableau Description
AlertEvidence Fichiers, adresses IP, URL, utilisateurs ou appareils associés aux alertes
AlertInfo Alertes de Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity, y compris les informations de gravité et les catégories de menaces
EmailAttachmentInfo Informations sur les fichiers joints aux e-mails
EmailEvents Événements d’e-mails Microsoft 365, y compris les événements de remise et de blocage d’e-mail
EmailPostDeliveryEvents Événements de sécurité qui se produisent après la remise, une fois que Microsoft 365 a remis les e-mails à la boîte aux lettres du destinataire
EmailUrlInfo Informations sur les URL des e-mails
IdentityDirectoryEvents Événements impliquant un contrôleur de domaine local exécutant Active Directory (AD). Ce tableau couvre un ensemble d’événements liés à l’identité, ainsi que des événements système sur le contrôleur de domaine.
IdentityInfo Informations de compte provenant de diverses sources, notamment Microsoft Entra ID
IdentityLogonEvents Événements d’authentification sur Active Directory et les services en ligne Microsoft
IdentityQueryEvents Requêtes pour les objets Active Directory, tels que les utilisateurs, les groupes, les appareils et les domaines

Importante

Les requêtes et les détections personnalisées qui utilisent des tables de schéma qui ne sont disponibles que dans Microsoft Defender XDR ne peuvent être consultées que dans Microsoft Defender XDR.

Mapper la table DeviceAlertEvents

Les AlertInfo tables et AlertEvidence remplacent la DeviceAlertEvents table dans le schéma Microsoft Defender pour point de terminaison. Outre les données relatives aux alertes d’appareil, ces deux tables incluent des données sur les alertes pour les identités, les applications et les e-mails.

Utilisez le tableau suivant pour case activée comment DeviceAlertEvents les colonnes sont mappées aux colonnes des AlertInfo tables et AlertEvidence .

Conseil

En plus des colonnes du tableau suivant, le AlertEvidence tableau inclut de nombreuses autres colonnes qui fournissent une image plus holistique des alertes provenant de différentes sources. Afficher toutes les colonnes AlertEvidence

Colonne DeviceAlertEvents Où trouver les mêmes données dans Microsoft Defender XDR
AlertId AlertInfo et AlertEvidence tables
Timestamp AlertInfo et AlertEvidence tables
DeviceId AlertEvidence table
DeviceName AlertEvidence table
Severity AlertInfo table
Category AlertInfo table
Title AlertInfo table
FileName AlertEvidence table
SHA1 AlertEvidence table
RemoteUrl AlertEvidence table
RemoteIP AlertEvidence table
AttackTechniques AlertInfo table
ReportId Cette colonne est généralement utilisée dans Microsoft Defender pour point de terminaison pour localiser les enregistrements associés dans d’autres tables. Dans Microsoft Defender XDR, vous pouvez obtenir des données associées directement à partir de la AlertEvidence table.
Table Cette colonne est généralement utilisée dans Microsoft Defender pour point de terminaison pour obtenir des informations supplémentaires sur les événements dans d’autres tables. Dans Microsoft Defender XDR, vous pouvez obtenir des données associées directement à partir de la AlertEvidence table.

Ajuster les requêtes Microsoft Defender pour point de terminaison existantes

Microsoft Defender pour point de terminaison requêtes fonctionnent en l’état, sauf si elles font référence à la DeviceAlertEvents table. Pour utiliser ces requêtes dans Microsoft Defender XDR, appliquez les modifications suivantes :

  • Remplacez DeviceAlertEvents par AlertInfo.
  • Joignez les AlertInfo tables et AlertEvidence pour AlertId obtenir des données équivalentes.

Requête d’origine

La requête suivante utilise DeviceAlertEvents dans Microsoft Defender pour point de terminaison pour obtenir les alertes qui impliquent powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Requête modifiée

La requête suivante a été ajustée pour être utilisée dans Microsoft Defender XDR. Au lieu de vérifier le nom de fichier directement à partir de DeviceAlertEvents, il joint AlertEvidence et recherche le nom de fichier dans cette table.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrer des règles de détection personnalisées

Lorsque Microsoft Defender pour point de terminaison règles sont modifiées sur Microsoft Defender XDR, elles continuent de fonctionner comme avant si la requête résultante examine uniquement les tables d’appareils.

Par exemple, les alertes générées par des règles de détection personnalisées qui interrogent uniquement les tables d’appareils continueront d’être remises à votre siem et de générer des Notifications par e-mail, selon la façon dont vous les avez configurées dans Microsoft Defender pour point de terminaison. Toutes les règles de suppression existantes dans Defender pour point de terminaison continueront également de s’appliquer.

Une fois que vous avez modifié une règle Defender pour point de terminaison afin qu’elle interroge les tables d’identité et de messagerie, qui ne sont disponibles que dans Microsoft Defender XDR, la règle est automatiquement déplacée vers Microsoft Defender XDR.

Alertes générées par la règle migrée :

  • Ne sont plus visibles dans le portail Defender pour point de terminaison (Centre de sécurité Microsoft Defender)
  • Arrêtez d’être remis à votre SIEM ou générez Notifications par e-mail. Pour contourner cette modification, configurez les notifications via Microsoft Defender XDR pour obtenir les alertes. Vous pouvez utiliser l’API Microsoft Defender XDR pour recevoir des notifications pour les alertes de détection des clients ou les incidents associés.
  • Ne sera pas supprimé par Microsoft Defender pour point de terminaison règles de suppression. Pour empêcher la génération d’alertes pour certains utilisateurs, appareils ou boîtes aux lettres, modifiez les requêtes correspondantes afin d’exclure explicitement ces entités.

Si vous modifiez une règle de cette façon, vous serez invité à confirmer l’application de ces modifications.

Les nouvelles alertes générées par des règles de détection personnalisées dans Microsoft Defender XDR sont affichées dans une page d’alerte qui fournit les informations suivantes :

  • Titre et description de l’alerte
  • Ressources affectées
  • Actions effectuées en réponse à l’alerte
  • Résultats de la requête qui ont déclenché l’alerte
  • Informations sur la règle de détection personnalisée

Écrire des requêtes sans DeviceAlertEvents

Dans le schéma Microsoft Defender XDR, les AlertInfo tables et AlertEvidence sont fournies pour prendre en charge l’ensemble diversifié d’informations qui accompagnent les alertes provenant de différentes sources.

Pour obtenir les mêmes informations d’alerte que celles que vous avez utilisées pour obtenir à partir de la DeviceAlertEvents table dans le schéma Microsoft Defender pour point de terminaison, filtrez la AlertInfo table parServiceSource, puis joignez chaque ID unique à la AlertEvidence table, qui fournit des informations détaillées sur les événements et les entités.

Consultez l’exemple de requête ci-dessous :

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Cette requête génère beaucoup plus de colonnes que DeviceAlertEvents dans le schéma Microsoft Defender pour point de terminaison. Pour que les résultats restent gérables, utilisez project pour obtenir uniquement les colonnes qui vous intéressent. L’exemple ci-dessous projette les colonnes qui peuvent vous intéresser lorsque l’examen a détecté une activité PowerShell :

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Si vous souhaitez filtrer des entités spécifiques impliquées dans les alertes, vous pouvez le faire en spécifiant le type d’entité dans EntityType et la valeur pour laquelle vous souhaitez filtrer. L’exemple suivant recherche une adresse IP spécifique :

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.