Migrer des requêtes de chasse avancées à partir de Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender XDR
Déplacez vos flux de travail de chasse avancés de Microsoft Defender pour point de terminaison pour rechercher de manière proactive les menaces à l’aide d’un ensemble plus large de données. Dans Microsoft Defender XDR, vous avez accès aux données à partir d’autres solutions de sécurité Microsoft 365, notamment :
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour l’identité
Remarque
La plupart des clients Microsoft Defender pour point de terminaison peuvent utiliser Microsoft Defender XDR sans licences supplémentaires. Pour commencer la transition de vos workflows de repérage avancés à partir de Defender pour point de terminaison, activez Microsoft Defender XDR.
Vous pouvez effectuer une transition sans affecter vos workflows Defender pour point de terminaison existants. Les requêtes enregistrées restent intactes, et les règles de détection personnalisées continuent de s’exécuter et de générer des alertes. Ils seront toutefois visibles dans Microsoft Defender XDR.
Tables de schéma dans Microsoft Defender XDR uniquement
Le schéma de repérage avancé Microsoft Defender XDR fournit des tables supplémentaires contenant des données provenant de différentes solutions de sécurité Microsoft 365. Les tableaux suivants sont disponibles uniquement dans Microsoft Defender XDR :
| Nom du tableau | Description |
|---|---|
| AlertEvidence | Fichiers, adresses IP, URL, utilisateurs ou appareils associés aux alertes |
| AlertInfo | Alertes de Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity, y compris les informations de gravité et les catégories de menaces |
| EmailAttachmentInfo | Informations sur les fichiers joints aux e-mails |
| EmailEvents | Événements d’e-mails Microsoft 365, y compris les événements de remise et de blocage d’e-mail |
| EmailPostDeliveryEvents | Événements de sécurité qui se produisent après la remise, une fois que Microsoft 365 a remis les e-mails à la boîte aux lettres du destinataire |
| EmailUrlInfo | Informations sur les URL des e-mails |
| IdentityDirectoryEvents | Événements impliquant un contrôleur de domaine local exécutant Active Directory (AD). Ce tableau couvre un ensemble d’événements liés à l’identité, ainsi que des événements système sur le contrôleur de domaine. |
| IdentityInfo | Informations de compte provenant de diverses sources, notamment Microsoft Entra ID |
| IdentityLogonEvents | Événements d’authentification sur Active Directory et les services en ligne Microsoft |
| IdentityQueryEvents | Requêtes pour les objets Active Directory, tels que les utilisateurs, les groupes, les appareils et les domaines |
Importante
Les requêtes et les détections personnalisées qui utilisent des tables de schéma qui ne sont disponibles que dans Microsoft Defender XDR ne peuvent être consultées que dans Microsoft Defender XDR.
Mapper la table DeviceAlertEvents
Les AlertInfo tables et AlertEvidence remplacent la DeviceAlertEvents table dans le schéma Microsoft Defender pour point de terminaison. Outre les données relatives aux alertes d’appareil, ces deux tables incluent des données sur les alertes pour les identités, les applications et les e-mails.
Utilisez le tableau suivant pour case activée comment DeviceAlertEvents les colonnes sont mappées aux colonnes des AlertInfo tables et AlertEvidence .
Conseil
En plus des colonnes du tableau suivant, le AlertEvidence tableau inclut de nombreuses autres colonnes qui fournissent une image plus holistique des alertes provenant de différentes sources.
Afficher toutes les colonnes AlertEvidence
| Colonne DeviceAlertEvents | Où trouver les mêmes données dans Microsoft Defender XDR |
|---|---|
AlertId |
AlertInfo et AlertEvidence tables |
Timestamp |
AlertInfo et AlertEvidence tables |
DeviceId |
AlertEvidence table |
DeviceName |
AlertEvidence table |
Severity |
AlertInfo table |
Category |
AlertInfo table |
Title |
AlertInfo table |
FileName |
AlertEvidence table |
SHA1 |
AlertEvidence table |
RemoteUrl |
AlertEvidence table |
RemoteIP |
AlertEvidence table |
AttackTechniques |
AlertInfo table |
ReportId |
Cette colonne est généralement utilisée dans Microsoft Defender pour point de terminaison pour localiser les enregistrements associés dans d’autres tables. Dans Microsoft Defender XDR, vous pouvez obtenir des données associées directement à partir de la AlertEvidence table. |
Table |
Cette colonne est généralement utilisée dans Microsoft Defender pour point de terminaison pour obtenir des informations supplémentaires sur les événements dans d’autres tables. Dans Microsoft Defender XDR, vous pouvez obtenir des données associées directement à partir de la AlertEvidence table. |
Ajuster les requêtes Microsoft Defender pour point de terminaison existantes
Microsoft Defender pour point de terminaison requêtes fonctionnent en l’état, sauf si elles font référence à la DeviceAlertEvents table. Pour utiliser ces requêtes dans Microsoft Defender XDR, appliquez les modifications suivantes :
- Remplacez
DeviceAlertEventsparAlertInfo. - Joignez les
AlertInfotables etAlertEvidencepourAlertIdobtenir des données équivalentes.
Requête d’origine
La requête suivante utilise DeviceAlertEvents dans Microsoft Defender pour point de terminaison pour obtenir les alertes qui impliquent powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Requête modifiée
La requête suivante a été ajustée pour être utilisée dans Microsoft Defender XDR. Au lieu de vérifier le nom de fichier directement à partir de DeviceAlertEvents, il joint AlertEvidence et recherche le nom de fichier dans cette table.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Migrer des règles de détection personnalisées
Lorsque Microsoft Defender pour point de terminaison règles sont modifiées sur Microsoft Defender XDR, elles continuent de fonctionner comme avant si la requête résultante examine uniquement les tables d’appareils.
Par exemple, les alertes générées par des règles de détection personnalisées qui interrogent uniquement les tables d’appareils continueront d’être remises à votre siem et de générer des Notifications par e-mail, selon la façon dont vous les avez configurées dans Microsoft Defender pour point de terminaison. Toutes les règles de suppression existantes dans Defender pour point de terminaison continueront également de s’appliquer.
Une fois que vous avez modifié une règle Defender pour point de terminaison afin qu’elle interroge les tables d’identité et de messagerie, qui ne sont disponibles que dans Microsoft Defender XDR, la règle est automatiquement déplacée vers Microsoft Defender XDR.
Alertes générées par la règle migrée :
- Ne sont plus visibles dans le portail Defender pour point de terminaison (Centre de sécurité Microsoft Defender)
- Arrêtez d’être remis à votre SIEM ou générez Notifications par e-mail. Pour contourner cette modification, configurez les notifications via Microsoft Defender XDR pour obtenir les alertes. Vous pouvez utiliser l’API Microsoft Defender XDR pour recevoir des notifications pour les alertes de détection des clients ou les incidents associés.
- Ne sera pas supprimé par Microsoft Defender pour point de terminaison règles de suppression. Pour empêcher la génération d’alertes pour certains utilisateurs, appareils ou boîtes aux lettres, modifiez les requêtes correspondantes afin d’exclure explicitement ces entités.
Si vous modifiez une règle de cette façon, vous serez invité à confirmer l’application de ces modifications.
Les nouvelles alertes générées par des règles de détection personnalisées dans Microsoft Defender XDR sont affichées dans une page d’alerte qui fournit les informations suivantes :
- Titre et description de l’alerte
- Ressources affectées
- Actions effectuées en réponse à l’alerte
- Résultats de la requête qui ont déclenché l’alerte
- Informations sur la règle de détection personnalisée
Écrire des requêtes sans DeviceAlertEvents
Dans le schéma Microsoft Defender XDR, les AlertInfo tables et AlertEvidence sont fournies pour prendre en charge l’ensemble diversifié d’informations qui accompagnent les alertes provenant de différentes sources.
Pour obtenir les mêmes informations d’alerte que celles que vous avez utilisées pour obtenir à partir de la DeviceAlertEvents table dans le schéma Microsoft Defender pour point de terminaison, filtrez la AlertInfo table parServiceSource, puis joignez chaque ID unique à la AlertEvidence table, qui fournit des informations détaillées sur les événements et les entités.
Consultez l’exemple de requête ci-dessous :
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Cette requête génère beaucoup plus de colonnes que DeviceAlertEvents dans le schéma Microsoft Defender pour point de terminaison. Pour que les résultats restent gérables, utilisez project pour obtenir uniquement les colonnes qui vous intéressent. L’exemple ci-dessous projette les colonnes qui peuvent vous intéresser lorsque l’examen a détecté une activité PowerShell :
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Si vous souhaitez filtrer des entités spécifiques impliquées dans les alertes, vous pouvez le faire en spécifiant le type d’entité dans EntityType et la valeur pour laquelle vous souhaitez filtrer. L’exemple suivant recherche une adresse IP spécifique :
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
Voir aussi
- Activer Microsoft Defender XDR
- Vue d’ensemble du repérage avancé
- Comprendre le schéma
- Chasse avancée en Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.