שתף באמצעות

ציד מתקדם בפורטל Microsoft Defender

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ציד מתקדם בפורטל המאוחד מאפשר לך להציג ולבצע שאילתה על כל הנתונים מ- Microsoft Defender XDR. נתונים אלה כוללים נתונים משירותי אבטחה שונים של Microsoft ומ- Microsoft Sentinel, הכוללים נתונים של מוצרים שאינם של Microsoft, בפלטפורמה אחת. באפשרותך גם לגשת לכל תוכן סביבת העבודה הקיים של Microsoft Sentinel ולהשתמש בו, כולל שאילתות ופונקציות.

ביצוע שאילתה מפורטל אחד בערכות נתונים שונות הופך את הציד ליעיל יותר ומסיר את הצורך במעבר בין הקשרים.

חשוב

Microsoft Sentinel זמין כחלק פלטפורמה של פעולות אבטחה מאוחדות בפורטל Microsoft Defender. Microsoft Sentinel בפורטל Defender נתמך כעת לשימוש בייצור. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.

כיצד לגשת

תפקידים והרשאות נדרשים

כדי לבצע שאילתה לאורך נתוני XDR של Microsoft Sentinel ו- Microsoft Defender בדף הציד המתקדם המאוחד, דרושה לך גישה לציד מתקדם של Microsoft Defender XDR (ראה תפקידים והרשאות נדרשים ) ולפחות Microsoft Sentinel Reader (ראה תפקידים ספציפיים ל - Microsoft Sentinel).

בפורטל המאוחד, באפשרותך לבצע שאילתה על נתונים בכל עומס עבודה שבאפשרותך לגשת אליו כעת בהתבסס על התפקידים וההרשאות שיש לך.

חיבור סביבת עבודה

ב- Microsoft Defender, באפשרותך לחבר סביבות עבודה על-ידי בחירה באפשרות חבר סביבת עבודה בכרזת העליונה. לחצן זה מופיע אם אתה זכאי לקלוט סביבת עבודה של Microsoft Sentinel בפורטל המאוחד של Microsoft Defender. בצע את השלבים ב: צירוף סביבת עבודה.

לאחר חיבור סביבת העבודה של Microsoft Sentinel ותנתוני ציד מתקדמים של Microsoft Defender XDR, תוכל להתחיל לבצע שאילתה על נתוני Microsoft Sentinel בדף הציד המתקדם. לקבלת מבט כולל על תכונות ציד מתקדמות, קרא חיפוש יזום אחר איומים עם ציד מתקדם.

למה לצפות שטבלאות XDR של Defender מוזרמו ל- Microsoft Sentinel

  • השתמש בטבלאות עם תקופת שמירת נתונים ארוכה יותר בשאילתות – ציד מתקדם עוקב אחר תקופת שמירת הנתונים המרבית שהוגדרה עבור טבלאות XDR של Defender (ראה הבנת מיכסות). אם אתה מזרים טבלאות XDR של Defender ל- Microsoft Sentinel ויש לך תקופת שמירת נתונים ארוכה יותר מ- 30 יום עבור טבלאות מוכללות, באפשרותך לבצע שאילתה לתקופה ארוכה יותר במהלך ציד מתקדם.
  • השתמש באופרטורים של Kusto שהשתמשת בהם ב- Microsoft Sentinel – באופן כללי, שאילתות מ- Microsoft Sentinel פועלות בחיפוש מתקדם, כולל שאילתות המשתמשות באופרטור adx() . עשויים להיות מקרים שבהם IntelliSense מזהיר אותך כי האופרטורים בשאילתה שלך אינם תואמים לסכימה, עם זאת, באפשרותך עדיין להפעיל את השאילתה ועדיין יש לבצע אותה בהצלחה.
  • השתמש ברשימה הנפתחת של מסנן הזמן במקום להגדיר את טווח הזמן בשאילתה – אם אתה מסנן את הסינון של טבלאות XDR של Defender ל- Sentinel במקום להזרים את הטבלאות כפי שהוא, אל תסמן את הזמן בשאילתה, מכיוון שזה עלול לגרום לתוצאות לא מלאות. אם תגדיר את השעה בשאילתה, נעשה שימוש בנתונים המסוננים המוזרם מ- Sentinel מאחר שבדרך כלל יש לה תקופת שמירת נתונים ארוכה יותר. אם ברצונך לוודא שאתה מבצע שאילתה בכל נתוני XDR של Defender למשך עד 30 יום, השתמש ברשימה הנפתחת של מסנן הזמן שסופקה בעורך השאילתות במקום זאת.
  • SourceSystem הצג ועמודות MachineGroup עבור נתוני XDR של Defender שהוזרמו מ- Microsoft Sentinel – SourceSystemMachineGroup מאז העמודות ויתווספו לטבלאות XDR של Defender לאחר שהן מוזרמות ל- Microsoft Sentinel, הן מופיעות גם הן בתוצאות של ציד מתקדם ב- Defender. עם זאת, הן נשארות ריקות עבור טבלאות XDR של Defender שלא זוהו (טבלאות לאחר תקופת שמירת הנתונים המהווה 30 יום המהווה ברירת מחדל).

הערה

השימוש בפורטל המאוחד, שבו ניתן לבצע שאילתה על נתוני Microsoft Sentinel לאחר חיבור סביבת עבודה של Microsoft Sentinel, אינו אומר שניתן גם לבצע שאילתה על נתוני XDR של Defender גם ב- Microsoft Sentinel. עיבוד נתונים גולמיים של XDR של Defender עדיין אמור להיות מוגדר ב- Microsoft Sentinel כדי שזה יקרה.

היכן למצוא את נתוני Microsoft Sentinel שלך

באפשרותך להשתמש בשאילתות KQL מתקדמות של ציד (שפת שאילתות Kusto) כדי לחפש לאורך נתוני Microsoft Defender XDR ו- Microsoft Sentinel.

בעת פתיחת דף הציד המתקדם בפעם הראשונה לאחר חיבור סביבת עבודה, תוכל למצוא רבות מהטבלאות של סביבת עבודה זו המאורגנו לפי פתרון לאחר טבלאות ה- XDR של Microsoft Defender תחת הכרטיסיה סכימה .

צילום מסך של הכרטיסיה 'סכימת ציד מתקדמת' בפורטל Microsoft Defender המסמנת מיקום של טבלאות Sentinel

בדומה לכך, באפשרותך למצוא את הפונקציות מ- Microsoft Sentinel בכרטיסיה פונקציות, והשאילתות המשותפות והדוגמה שלך מ- Microsoft Sentinel נמצאות בכרטיסיה שאילתות בתוך תיקיות המסומנות כ- Sentinel.

הצגת פרטי סכימה

לקבלת מידע נוסף אודות טבלת סכימה, בחר את שלוש הנקודות האנכיות ( סמל kebab ) משמאל לכל שם של טבלת סכימה תחת הכרטיסיה סכימה ולאחר מכן בחר הצג סכימה.

בפורטל המאוחד, בנוסף להצגת השמות והתיאורים של עמודות הסכימה, באפשרותך גם להציג:

  • נתונים לדוגמה – בחר ראה נתוני תצוגה מקדימה, אשר טוען שאילתה פשוטה כגון TableName | take 5
  • סוג סכימה – בין אם הטבלה תומכת ביכולות שאילתה מלאות (טבלה מתקדמת) או לא (טבלת יומני רישום בסיסית)
  • תקופת שמירת נתונים – משך הזמן שבו הנתונים מוגדרים לשמירה
  • תגיות – זמינות עבור טבלאות נתונים של Sentinel

צילום מסך של חלונית פרטי הסכימה בפורטל Microsoft Defender

שימוש בפונקציות

כדי להשתמש בפונקציה מ- Microsoft Sentinel, עבור אל הכרטיסיה פונקציות וגלול עד שתמצא את הפונקציה הרצויה. לחץ פעמיים על שם הפונקציה כדי להוסיף את הפונקציה לעורך השאילתות.

באפשרותך גם לבחור את שלוש הנקודות האנכית ( סמל קבב ) משמאל לפונקציה ולבחור הוספה לשאילתה כדי להוסיף את הפונקציה לשאילתה בעורך השאילתות.

אפשרויות אחרות כוללות:

  • הצגת פרטים – פתיחת החלונית הצדדית של הפונקציה המכילה את הפרטים שלה
  • טעינת קוד פונקציה - פתיחת כרטיסיה חדשה המכילה את קוד הפונקציה

עבור פונקציות הניתנות לעריכה, זמינות אפשרויות נוספות בעת בחירת שלוש הנקודות האנכיות:

  • ערוך פרטים – פותח את החלונית הצדדית של הפונקציה כדי לאפשר לך לערוך פרטים אודות הפונקציה (למעט שמות תיקיות עבור פונקציות Sentinel)
  • Delete – מחיקת הפונקציה

שימוש בשאילתות שמורות

כדי להשתמש בשאילתה שמורה מ- Microsoft Sentinel, עבור אל הכרטיסיה שאילתות וגלול עד שתמצא את השאילתה הרצויה. לחץ פעמיים על שם השאילתה כדי לטעון את השאילתה בעורך השאילתות. לקבלת אפשרויות נוספות, בחר את שלוש הנקודות האנכית ( סמל קבב ) משמאל לשאילתה. מכאן, באפשרותך לבצע את הפעולות הבאות:

  • הפעל שאילתה – טוען את השאילתה בעורך השאילתות ומפעיל אותה באופן אוטומטי

  • פתיחה בעורך השאילתות – טעינת השאילתה בעורך השאילתות

  • הצגת פרטים - פתיחת החלונית הצדדית של פרטי השאילתה שבה באפשרותך לבדוק את השאילתה, להפעיל את השאילתה או לפתוח את השאילתה בעורך

    צילום מסך של האפשרויות הזמינות בשאילתות שנשמרו בפורטל Microsoft Defender

עבור שאילתות הניתנות לעריכה, זמינות אפשרויות נוספות:

  • ערוך פרטים - פותח את החלונית הצדדית של פרטי השאילתה עם האפשרות לערוך את הפרטים כגון תיאור (אם רלוונטי) ואת השאילתה עצמה; לא ניתן לערוך רק את שמות התיקיות (מיקום) של שאילתות Microsoft Sentinel
  • Delete – מחיקת השאילתה
  • שינוי שם – מאפשר לך לשנות את שם השאילתה

יצירת כללי ניתוח וזיהוי מותאמים אישית

כדי לסייע בגילוי איומים וה אופני פעולה חריגים בסביבה שלך, באפשרותך ליצור מדיניות זיהוי מותאמת אישית.

עבור כללי ניתוח החלים על נתונים שהוכללו בסביבת העבודה המחוברת של Microsoft Sentinel, בחר > ניהול כללים יצירת כלל ניתוח.

צילום מסך של האפשרויות ליצירת ניתוח או זיהויים מותאמים אישית בפורטל Microsoft Defender

אשף כללי הניתוח מופיע. מלא את הפרטים הדרושים כמתואר באשף כללי הניתוח — הכרטיסיה כללי.

באפשרותך גם ליצור כללי זיהוי מותאמים אישית שבצעו שאילתה על נתונים הן מטבלאות Microsoft Sentinel והן מטבלאות XDR של Defender. בחר ניהול כללים צור > זיהוי מותאם אישית. לקבלת מידע נוסף, קרא את יצירה וניהול של כללי זיהוי מותאמים אישית.

אם נתוני XDR של Defender מוכללים ב- Microsoft Sentinel, יש לך אפשרות לבחור בין יצירת זיהוי מותאם אישית לכלל יצירת ניתוח.

גלה את התוצאות

תוצאות של שאילתות שהופעלו מופיעות בכרטיסיה תוצאות . באפשרותך לייצא את התוצאות לקובץ CSV על-ידי בחירה באפשרות יצא.

צילום מסך של תוצאות ציד מתקדמות עם אפשרויות להרחבת שורות של תוצאות בפורטל Microsoft Defender

באפשרותך גם לעיין בתוצאות התואמות לתכונות הבאות:

  • הרחב תוצאה על-ידי בחירת החץ הנפתח מימין לכל תוצאה
  • כאשר הדבר ישים, הרחב את הפרטים עבור תוצאות בתבנית JSON או מערך על-ידי בחירת החץ הנפתח מימין לשורת התוצאה הישימה כדי להוסיף קריאות
  • פתיחת החלונית הצדדית כדי לראות את פרטי הרשומה (בו-זמנית עם שורות מורחבות)

באפשרותך גם ללחוץ באמצעות לחצן העכבר הימני על כל ערך תוצאה בשורה כדי שתוכל להשתמש בו כדי:

  • הוספת מסננים נוספים לשאילתה הקיימת
  • העתקת הערך לשימוש בחקירה נוספת
  • עדכון השאילתה להרחבת שדה JSON לעמודה חדשה

עבור נתוני XDR של Microsoft Defender, באפשרותך לבצע פעולה נוספת על-ידי בחירה בתיבות הסימון מימין לכל שורת תוצאה. בחר קשר למקריות כדי לקשר את התוצאות שנבחרו למקרי (קרא את קישור תוצאות שאילתה למקריות ) או בצע פעולות כדי לפתוח את אשף ביצוע פעולות (קרא את הפעולה על תוצאות מתקדמות של שאילתת ציד).

בעיות ידועות

  • ה IdentityInfo table - from Microsoft Sentinel אינו זמין, כפי שהטבלה IdentityInfo נשארת כפי שהוא ב- Defender XDR. תכונות Microsoft Sentinel כגון כללי ניתוח שהשאילתה בטבלה זו אינן מושפעות כאשר הן ביצוע שאילתה ישירות בסביבת העבודה 'ניתוח יומן רישום'.
  • הטבלה Microsoft Sentinel SecurityAlert מוחלפת על-ידי AlertInfo וטבלאות AlertEvidence , אשר מכילות את כל הנתונים בהתראות. למרות שהאפשרויות SecurityAlert אינן זמינות בכרטיסיה 'סכימה', עדיין תוכל להשתמש בה בשאילתות באמצעות עורך הציד המתקדם. הקצאה זו נוצרה כדי לא לנתק שאילתות קיימות מ- Microsoft Sentinel המשתמשות בטבלה זו.
  • מצב ציד מודרך, קישורים לתקריות ולבצע פעולות נתמכים כנתוני XDR של Defender בלבד.
  • זיהויים מותאמים אישית כוללים את המגבלות הבאות:
    • זיהויים מותאמים אישית אינם זמינים עבור שאילתות KQL שלא כוללות נתוני XDR של Defender.
    • תדירות זיהוי בזמן אמת קרוב אינה זמינה עבור זיהויים הכוללים נתוני Microsoft Sentinel.
    • פונקציות מותאמות אישית שנוצרו ונשמרו ב- Microsoft Sentinel אינן נתמכות.
    • הגדרת ישויות נתוני Sentinel אינה נתמכת עדיין בזיהויים מותאמים אישית.
  • סימניות אינן נתמכות בחוויה המתקדמות של הציד. הם נתמכים בתכונה Microsoft Sentinel > Threat Management > Hunting .
  • אם אתה מזרים טבלאות XDR של Defender לניתוח יומן רישום, ייתכן שיש הבדל בין העמודותTimestamp והעמודות TimeGenerated . במקרה שהנתונים מגיעים לניתוח יומן רישום לאחר 48 שעות, המערכת ת לעקוף אותם בעת הכניסה ל- now(). לכן, כדי לקבל את הזמן בפועל שבו האירוע התרחש, מומלץ להשתמש בעמודה Timestamp .
  • בעת הצגת בקשה ל- Copilot עבור אבטחה עבור שאילתות ציד מתקדמות, ייתכן שתימצא כי לא כל הטבלאות של Microsoft Sentinel נתמכות כעת. עם זאת, בעתיד ניתן לקבל תמיכה בטבלאות אלה.