Share via

Repérage avancé dans le portail Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La chasse avancée dans le portail unifié vous permet d’afficher et d’interroger toutes les données de Microsoft Defender XDR. Cela inclut les données de différents services de sécurité Microsoft et De Microsoft Sentinel, qui inclut des données provenant de produits non-Microsoft, dans une plateforme unique. Vous pouvez également accéder à tout le contenu de votre espace de travail Microsoft Sentinel existant et l’utiliser, y compris les requêtes et les fonctions.

L’interrogation à partir d’un portail unique sur différents jeux de données rend la chasse plus efficace et supprime la nécessité de changer de contexte.

Importante

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Comment accéder à

Rôles et des autorisations requis

Pour interroger microsoft Sentinel et Microsoft Defender XDR données dans la page de chasse avancée unifiée, vous devez avoir accès à Microsoft Defender XDR repérage avancé (voir Rôles et autorisations requis) et au moins Microsoft Sentinel Reader (voir Rôles spécifiques à Microsoft Sentinel).

Dans le portail unifié, vous pouvez interroger toutes les données de n’importe quelle charge de travail à laquelle vous pouvez actuellement accéder en fonction des rôles et des autorisations dont vous disposez.

Connecter un espace de travail

Dans Microsoft Defender, vous pouvez connecter des espaces de travail en sélectionnant Connecter un espace de travail dans la bannière supérieure. Ce bouton s’affiche si vous êtes éligible à l’intégration d’un espace de travail Microsoft Sentinel sur le portail Microsoft Defender unifié. Suivez les étapes décrites dans : Intégration d’un espace de travail.

Après avoir connecté votre espace de travail Microsoft Sentinel et Microsoft Defender XDR données de repérage avancées, vous pouvez commencer à interroger les données Microsoft Sentinel à partir de la page de repérage avancé. Pour obtenir une vue d’ensemble des fonctionnalités de chasse avancées, consultez La chasse proactive aux menaces avec la chasse avancée.

À quoi s’attendre pour Defender XDR tables diffusées vers Microsoft Sentinel

  • Utiliser des tables avec une période de conservation des données plus longue dans les requêtes : la chasse avancée suit la période de rétention maximale des données configurée pour les tables Defender XDR (voir Comprendre les quotas). Si vous diffusez des tables Defender XDR vers Microsoft Sentinel et que vous disposez d’une période de conservation des données supérieure à 30 jours pour ces tables, vous pouvez effectuer des requêtes sur la période plus longue dans le cas de la chasse avancée.
  • Utiliser des opérateurs Kusto que vous avez utilisés dans Microsoft Sentinel : en général, les requêtes de Microsoft Sentinel fonctionnent dans la chasse avancée, y compris les requêtes qui utilisent l’opérateur adx() . Dans certains cas, IntelliSense peut vous avertir que les opérateurs de votre requête ne correspondent pas au schéma. Toutefois, vous pouvez toujours exécuter la requête et elle doit toujours être exécutée avec succès.
  • Utilisez la liste déroulante de filtre de temps au lieu de définir l’intervalle de temps dans la requête : si vous filtrez l’ingestion des tables Defender XDR vers Sentinel au lieu de diffuser en continu les tables en l’état, ne filtrez pas l’heure dans la requête, car cela peut générer des résultats incomplets. Si vous définissez l’heure dans la requête, les données filtrées et diffusées en continu à partir de Sentinel sont utilisées, car la période de conservation des données est généralement plus longue. Si vous souhaitez vérifier que vous interrogez toutes les données Defender XDR pendant jusqu’à 30 jours, utilisez plutôt la liste déroulante de filtre de temps fournie dans l’éditeur de requête.
  • Afficher SourceSystem et MachineGroup les colonnes pour Defender XDR données qui ont été diffusées en continu à partir de Microsoft Sentinel : étant donné que les colonnes SourceSystem et MachineGroup sont ajoutées aux tables Defender XDR une fois qu’elles sont diffusées vers Microsoft Sentinel, elles apparaissent également dans les résultats dans la chasse avancée dans Defender. Toutefois, elles restent vides pour les tables Defender XDR qui n’ont pas été diffusées en continu (tables qui suivent la période de conservation des données de 30 jours par défaut).

Remarque

L’utilisation du portail unifié, où vous pouvez interroger des données Microsoft Sentinel après la connexion d’un espace de travail Microsoft Sentinel, ne signifie pas automatiquement que vous pouvez également interroger Defender XDR données dans Microsoft Sentinel. L’ingestion de données brutes de Defender XDR doit toujours être configurée dans Microsoft Sentinel pour que cela se produise.

Où trouver vos données Microsoft Sentinel

Vous pouvez utiliser des requêtes KQL (Langage de requête Kusto) de chasse avancées pour rechercher des données Microsoft Defender XDR et Microsoft Sentinel.

Lorsque vous ouvrez la page de repérage avancé pour la première fois après la connexion d’un espace de travail, vous pouvez trouver de nombreuses tables de cet espace de travail organisées par solution après l’Microsoft Defender XDR tables sous l’onglet Schéma.

Capture d’écran de l’onglet Schéma de repérage avancé dans le portail Microsoft Defender mettant en évidence l’emplacement des tables Sentinel

De même, vous pouvez trouver les fonctions de Microsoft Sentinel sous l’onglet Fonctions , et vos requêtes partagées et exemples de requêtes de Microsoft Sentinel se trouvent sous l’onglet Requêtes dans les dossiers marqués Sentinel.

Afficher les informations de schéma

Pour en savoir plus sur une table de schéma, sélectionnez les points de suspension verticaux ( icône de kebab ) à droite de n’importe quel nom de table de schéma sous l’onglet Schéma , puis sélectionnez Afficher le schéma.

Dans le portail unifié, en plus d’afficher les noms et les descriptions des colonnes de schéma, vous pouvez également afficher :

  • Exemples de données : sélectionnez Afficher les données d’aperçu, ce qui charge une requête simple comme TableName | take 5
  • Type de schéma : si la table prend en charge les fonctionnalités de requête complètes (table avancée) ou non (table des journaux de base)
  • Période de conservation des données : durée pendant laquelle les données sont définies pour être conservées
  • Balises : disponibles pour les tables de données Sentinel

Capture d’écran du volet informations sur le schéma dans le portail Microsoft Defender

Utiliser des fonctions

Pour utiliser une fonction de Microsoft Sentinel, accédez à l’onglet Fonctions et faites défiler jusqu’à ce que vous trouviez la fonction souhaitée. Double-cliquez sur le nom de la fonction pour insérer la fonction dans l’éditeur de requête.

Vous pouvez également sélectionner les points de suspension verticaux ( icône kebab ) à droite de la fonction et sélectionner Insérer pour la requête pour insérer la fonction dans une requête dans l’éditeur de requête.

Les autres options incluent notamment :

  • Afficher les détails : ouvre le volet côté fonction contenant ses détails
  • Charger le code de la fonction : ouvre un nouvel onglet contenant le code de la fonction

Pour les fonctions modifiables, d’autres options sont disponibles lorsque vous sélectionnez les points de suspension verticaux :

  • Modifier les détails : ouvre le volet côté fonction pour vous permettre de modifier les détails de la fonction (à l’exception des noms de dossiers pour les fonctions Sentinel)
  • Supprimer : supprime la fonction

Utiliser des requêtes enregistrées

Pour utiliser une requête enregistrée à partir de Microsoft Sentinel, accédez à l’onglet Requêtes et faites défiler jusqu’à ce que vous trouviez la requête souhaitée. Double-cliquez sur le nom de la requête pour charger la requête dans l’éditeur de requête. Pour plus d’options, sélectionnez les points de suspension verticaux ( icône kebab ) à droite de la requête. À partir de là, vous pouvez effectuer les actions suivantes :

  • Exécuter la requête : charge la requête dans l’éditeur de requête et l’exécute automatiquement

  • Ouvrir dans l’éditeur de requête : charge la requête dans l’éditeur de requête

  • Afficher les détails : ouvre le volet latéral des détails de la requête dans lequel vous pouvez inspecter la requête, exécuter la requête ou ouvrir la requête dans l’éditeur

    Capture d’écran des options disponibles dans les requêtes enregistrées dans le portail Microsoft Defender

Pour les requêtes modifiables, d’autres options sont disponibles :

  • Modifier les détails : ouvre le volet latéral détails de la requête avec la possibilité de modifier les détails tels que la description (le cas échéant) et la requête elle-même. seuls les noms de dossiers (emplacement) des requêtes Microsoft Sentinel ne peuvent pas être modifiés
  • Supprimer : supprime la requête
  • Renommer : vous permet de modifier le nom de la requête

Create des règles d’analyse et de détection personnalisées

Pour vous aider à détecter les menaces et les comportements anormaux dans votre environnement, vous pouvez créer des stratégies de détection personnalisées.

Pour les règles d’analyse qui s’appliquent aux données ingérées via l’espace de travail Microsoft Sentinel connecté, sélectionnez Gérer les règles > Create règle d’analyse.

Capture d’écran des options permettant de créer des analyses ou des détections personnalisées dans le portail Microsoft Defender

L’Assistant Règle d’analyse s’affiche. Renseignez les informations requises, comme décrit dans Assistant Règle d’analyse — Onglet Général.

Pour les règles de détection personnalisées qui s’appliquent aux données Microsoft Defender XDR, sélectionnez Gérer les règles > Create détection personnalisée. Pour plus d’informations, lisez Create et gérer les règles de détection personnalisées.

Explorer les résultats

Les résultats des requêtes exécutées s’affichent sous l’onglet Résultats . Vous pouvez exporter les résultats dans un fichier CSV en sélectionnant Exporter.

Capture d’écran des résultats de repérage avancés avec des options pour développer les lignes de résultats dans le portail Microsoft Defender

Vous pouvez également explorer les résultats en fonction des fonctionnalités suivantes :

  • Développez un résultat en sélectionnant la flèche déroulante à gauche de chaque résultat
  • Le cas échéant, développez les détails des résultats au format JSON ou tableau en sélectionnant la flèche déroulante à gauche de la ligne de résultat applicable pour plus de lisibilité
  • Ouvrez le volet latéral pour afficher les détails d’un enregistrement (en même temps que les lignes développées)

Vous pouvez également cliquer avec le bouton droit sur n’importe quelle valeur de résultat dans une ligne afin de pouvoir l’utiliser pour :

  • Ajouter d’autres filtres à la requête existante
  • Copier la valeur pour une utilisation plus approfondie
  • Mettre à jour la requête pour étendre un champ JSON à une nouvelle colonne

Pour Microsoft Defender XDR données, vous pouvez effectuer d’autres actions en cochant les cases à gauche de chaque ligne de résultat. Sélectionnez Lier à l’incident pour lier les résultats sélectionnés à un incident (lire Lier les résultats d’une requête à un incident) ou Effectuer des actions pour ouvrir l’Assistant Prendre des actions (lire Agir sur les résultats de requête de repérage avancés).

Problèmes connus

  • Le IdentityInfo table de Microsoft Sentinel n’est pas disponible, car la IdentityInfo table reste telle qu’elle est dans Defender XDR. Les fonctionnalités de Microsoft Sentinel, telles que les règles d’analyse qui interrogent cette table, ne sont pas affectées, car elles interrogent directement l’espace de travail Log Analytics.
  • La table Microsoft Sentinel SecurityAlert est remplacée par AlertInfo les tables et AlertEvidence , qui contiennent toutes les deux toutes les données sur les alertes. Bien que SecurityAlert ne soit pas disponible dans l’onglet schéma, vous pouvez toujours l’utiliser dans les requêtes à l’aide de l’éditeur de repérage avancé. Cette configuration est effectuée de manière à ne pas interrompre les requêtes existantes de Microsoft Sentinel qui utilisent cette table.
  • Le mode de chasse guidé est pris en charge pour les données Defender XDR uniquement.
  • Les détections personnalisées, les liens vers les incidents et les fonctionnalités de prise d’actions sont prises en charge pour les données Defender XDR uniquement.
  • Les signets ne sont pas pris en charge dans l’expérience de chasse avancée. Ils sont pris en charge dans la fonctionnalité de chasse de gestion des menaces > De Microsoft Sentinel>.
  • Si vous diffusez en continu des tables Defender XDR vers Log Analytics, il peut y avoir une différence entre lesTimestamp colonnes et TimeGenerated . Si les données arrivent dans Log Analytics après 48 heures, elles sont remplacées lors de l’ingestion à now(). Par conséquent, pour obtenir l’heure réelle à laquelle l’événement s’est produit, nous vous recommandons de vous appuyer sur la Timestamp colonne .
  • Le API Graph Microsoft pour l’exécution d’une requête de repérage avancé ne prend pas encore en charge l’interrogation des données à partir de Microsoft Sentinel.