Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment utiliser des fonctions Microsoft Sentinel, des requêtes enregistrées et des règles personnalisées dans la chasse avancée dans le portail Microsoft Defender.
Utiliser des fonctions
Pour utiliser une fonction Microsoft Sentinel, accédez à l’onglet Fonctions et faites défiler jusqu’à ce que vous trouviez la fonction souhaitée. Double-cliquez sur le nom de la fonction pour insérer la fonction dans l’éditeur de requête.
Vous pouvez également sélectionner les points de suspension verticaux ( 
) à droite de la fonction et sélectionner Insérer pour la requête pour insérer la fonction dans une requête dans l’éditeur de requête.
Les autres options incluent notamment :
- Afficher les détails : ouvre le volet côté fonction contenant ses détails.
- Charger le code de la fonction : ouvre un nouvel onglet contenant le code de la fonction.
Pour les fonctions modifiables, d’autres options sont disponibles lorsque vous sélectionnez les points de suspension verticaux :
- Modifier les détails : ouvre le volet latéral de la fonction pour vous permettre de modifier les détails de la fonction (à l’exception des noms de dossiers pour les fonctions Sentinel).
- Delete : supprime la fonction.
Utiliser l’opérateur adx() pour les requêtes Azure Data Explorer
Utilisez l’opérateur adx() pour interroger les tables stockées dans Azure Data Explorer. Pour plus d’informations, consultez Qu’est-ce que Azure Data Explorer ?
Auparavant, cette fonctionnalité était disponible uniquement dans Log Analytics dans Microsoft Sentinel. Désormais, les utilisateurs peuvent utiliser l’opérateur dans la chasse avancée dans le portail Microsoft Defender unifié sans avoir à ouvrir manuellement une fenêtre Microsoft Sentinel.
Dans l’éditeur de requête, entrez la requête au format suivant :
adx('<Cluster URI>/<Database Name>').<Table Name>
Par exemple, pour obtenir les 10 premières lignes de données de la StormEvents table stockée dans un CERTAIN URI :
Remarque
L’opérateur adx() n’est pas pris en charge pour les détections personnalisées.
Utiliser l’opérateur arg() pour les requêtes Azure Resource Graph
Utilisez l’opérateur arg() pour interroger les ressources Azure déployées telles que les abonnements, les machines virtuelles, le processeur, le stockage, etc.
Auparavant, cette fonctionnalité était disponible uniquement dans la fonctionnalité Journaux d’Microsoft Sentinel. Dans le portail Microsoft Defender, l’opérateur arg() s’efforce de combiner des requêtes Azure Resource Graph (arg) avec des tables Microsoft Sentinel (autrement dit, Defender XDR tables ne sont pas prises en charge). En utilisant cet opérateur, vous pouvez effectuer la requête interservices dans la chasse avancée sans ouvrir manuellement une fenêtre Microsoft Sentinel.
Pour plus d’informations, consultez Interroger des données dans Azure Resource Graph à l’aide de arg().
Remarque
L’opérateur arg() n’est pas pris en charge pour les règles d’analyse.
Dans l’éditeur de requête, entrez arg(« »). suivi du nom de la table Azure Resource Graph.
Par exemple :
Vous pouvez également, par instance, filtrer une requête qui effectue une recherche sur Microsoft Sentinel données en fonction des résultats d’une requête Azure Resource Graph :
arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join (
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice
Créer des fonctions personnalisées dans Excel
Pour plus d’informations sur la création de fonctions personnalisées dans le portail Defender, consultez Fonctions personnalisées dans le schéma de repérage avancé.
Utiliser des requêtes enregistrées
Pour utiliser une requête enregistrée à partir de Microsoft Sentinel, accédez à l’onglet Requêtes et faites défiler jusqu’à ce que vous trouviez la requête souhaitée. Double-cliquez sur le nom de la requête pour charger la requête dans l’éditeur de requête. Pour plus d’options, sélectionnez les points de suspension verticaux ( ) à droite de la requête. À partir de là, vous pouvez effectuer les actions suivantes :
Exécuter la requête : charge la requête dans l’éditeur de requête et l’exécute automatiquement.
Ouvrir dans l’éditeur de requête : charge la requête dans l’éditeur de requête.
Afficher les détails : ouvre le volet latéral des détails de la requête dans lequel vous pouvez inspecter la requête, exécuter la requête ou ouvrir la requête dans l’éditeur.
Pour les requêtes modifiables, d’autres options sont disponibles :
- Modifier les détails : ouvre le volet latéral détails de la requête avec la possibilité de modifier les détails tels que la description (le cas échéant) et la requête elle-même. Vous ne pouvez pas modifier les noms de dossiers (emplacement) des requêtes Microsoft Sentinel.
- Supprimer : supprime la requête.
- Renommer : vous permet de modifier le nom de la requête.
Créer des règles d’analyse et de détection personnalisées
Pour vous aider à découvrir les menaces et les comportements anormaux dans votre environnement, vous pouvez créer des règles de détection personnalisées. Il existe deux types :
- Règles d’analyse : pour générer des détections à partir de règles qui interrogent des données ingérées via Microsoft Sentinel
- Règles de détection personnalisées : pour générer des détections à partir de règles qui interrogent des données à partir de Defender XDR ou de Microsoft Sentinel et de Defender XDR
Règles d’analyse
Pour les règles d’analyse qui s’appliquent aux données ingérées via l’espace de travail Microsoft Sentinel connecté, sélectionnez Gérer les règles > Créer une règle d’analyse.
L’Assistant Règle d’analyse s’affiche. Renseignez les informations requises, comme décrit dans Assistant Règle d’analyse — Onglet Général.
Règles de détection personnalisée
Vous pouvez créer des règles de détection personnalisées qui interrogent les données des tables Microsoft Sentinel et Defender XDR. Sélectionnez Gérer les règles > Créer une détection personnalisée. Pour plus d’informations, consultez Créer des règles de détection personnalisées .
Dans la détection personnalisée et la création de règles d’analyse, vous pouvez uniquement interroger les données ingérées en tant que journaux d’analyse (autrement dit, pas en tant que journaux de base ou journaux auxiliaires). Consultez Plans de gestion des journaux pour case activée les différents niveaux), sinon la création de la règle ne se poursuit pas.
Si vos données Defender XDR sont ingérées dans Microsoft Sentinel, vous avez la possibilité de choisir entre Créer une détection personnalisée et Créer une règle d’analyse.
Remarque
Si une table Defender XDR n’est pas configurée pour être diffusée en continu vers Log Analytics dans Microsoft Sentinel, mais qu’elle est reconnue comme table standard dans Microsoft Sentinel, une règle d’analyse peut être créée correctement, mais la règle ne s’exécutera pas correctement, car aucune donnée n’est disponible dans Microsoft Sentinel. Pour ces cas, utilisez plutôt l’Assistant Règle de détection personnalisée.
Gérer les règles d’analyse et de détection personnalisées
Vous pouvez afficher toutes vos règles définies par l’utilisateur, y compris les règles de détection personnalisées et les règles d’analyse, dans la page Règles de détection . Pour plus d’informations, consultez Gérer les détections personnalisées.
Pour les organisations multi-espaces de travail qui intègrent plusieurs espaces de travail à Microsoft Defender, vous pouvez désormais afficher la colonne ID d’espace de travail et filtrer par espace de travail.