Megosztás a következőn keresztül:

Speciális veszélyforrás-keresés a Microsoft Defender portálon

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A speciális veszélyforrás-keresés az egyesített portálon lehetővé teszi a Microsoft Defender XDR összes adatának megtekintését és lekérdezését. Ebbe beletartoznak a Microsoft különböző biztonsági szolgáltatásaiból és a Microsoft Sentinelből származó adatok is, amelyek nem Microsoft-termékekből származó adatokat tartalmaznak egyetlen platformon. Az összes meglévő Microsoft Sentinel-munkaterület tartalmát is elérheti és használhatja, beleértve a lekérdezéseket és függvényeket is.

A különböző adatkészletek közötti egyetlen portálról történő lekérdezés hatékonyabbá teszi a veszélyforrás-keresést, és szükségtelenné teszi a környezetváltást.

Fontos

A Microsoft Sentinel az egyesített biztonsági műveleti platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is használható. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Hozzáférés

Szükséges szerepkörök és engedélyek

Ha a Microsoft Sentinel és a Microsoft Defender XDR adatait szeretné lekérdezni az egyesített speciális veszélyforrás-keresés oldalon, hozzáféréssel kell rendelkeznie a Microsoft Defender XDR speciális veszélyforrás-kereséséhez (lásd : Szükséges szerepkörök és engedélyek) és legalább a Microsoft Sentinel-olvasóhoz (lásd : Microsoft Sentinel-specifikus szerepkörök).

Az egyesített portálon bármilyen olyan számítási feladat adatait lekérdezheti, amelyekhez jelenleg hozzáférhet a szerepkörei és engedélyei alapján.

Munkaterület csatlakoztatása

A Microsoft Defenderben a munkaterületek csatlakoztatásához válassza a munkaterület csatlakoztatása lehetőséget a felső szalagcímen. Ez a gomb akkor jelenik meg, ha jogosult egy Microsoft Sentinel-munkaterület előkészítésére az egyesített Microsoft Defender portálon. Kövesse a munkaterület előkészítésének lépéseit.

Miután csatlakoztatta a Microsoft Sentinel-munkaterületet és a Microsoft Defender XDR speciális veszélyforrás-keresési adatait, megkezdheti a Microsoft Sentinel-adatok lekérdezését a speciális veszélyforrás-keresés oldalról. A speciális veszélyforrás-keresési funkciók áttekintését lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Mire számíthat a Microsoft Sentinelbe streamelt Defender XDR-táblák esetében?

  • Táblák használata hosszabb adatmegőrzési időszakkal a lekérdezésekben – A speciális veszélyforrás-keresés a Defender XDR-táblákhoz konfigurált maximális adatmegőrzési időtartamot követi (lásd: A kvóták ismertetése). Ha Defender XDR-táblákat streamel a Microsoft Sentinelbe, és az adatmegőrzési időszak 30 napnál hosszabb az említett táblák esetében, speciális veszélyforrás-keresés esetén lekérdezheti a hosszabb időtartamot.
  • A Microsoft Sentinelben használt Kusto-operátorok használata – A Microsoft Sentinel lekérdezései általában speciális veszélyforrás-keresésben működnek, beleértve az operátort adx() használó lekérdezéseket is. Előfordulhatnak olyan esetek, amikor az IntelliSense arra figyelmezteti, hogy a lekérdezés operátorai nem egyeznek a sémával, de továbbra is futtathatja a lekérdezést, és továbbra is sikeresen végre kell hajtani.
  • Használja az időszűrő legördülő menüt a lekérdezés időtartományának beállítása helyett – Ha a Defender XDR-táblák betöltését a Sentinelre szűri ahelyett, hogy a táblákat az adott módon streamelné, ne szűrje a lekérdezésben szereplő időt, mert ez hiányos eredményeket eredményezhet. Ha beállítja az időt a lekérdezésben, a rendszer a Sentinelből származó streamelt, szűrt adatokat használja, mert általában hosszabb adatmegőrzési időszak áll a megőrzési idő alatt. Ha meg szeretne győződni arról, hogy az összes Defender XDR-adatot legfeljebb 30 napig kérdezi le, használja inkább a lekérdezésszerkesztőben megadott időszűrő legördülő listát.
  • A Microsoft Sentinelből streamelt Defender XDR-adatok megtekintése SourceSystem és MachineGroup oszlopai – Mivel az oszlopok SourceSystem és MachineGroup a Defender XDR-táblákhoz való hozzáadása a Microsoft Sentinelbe való streamelés után megtörténik, a Defender speciális veszélyforrás-keresésében is megjelennek. A nem streamelt Defender XDR-táblák esetében azonban üresek maradnak (azok a táblák, amelyek az alapértelmezett 30 napos adatmegőrzési időszakot követik).

Megjegyzés:

Az egyesített portál használata, ahol a Microsoft Sentinel-munkaterület csatlakoztatása után lekérdezheti a Microsoft Sentinel-adatokat, nem jelenti automatikusan azt, hogy a Microsoft Sentinelben is lekérdezheti a Defender XDR-adatokat. A Defender XDR nyers adatbetöltését továbbra is konfigurálni kell a Microsoft Sentinelben, hogy ez megtörténjen.

A Microsoft Sentinel-adatok megkeresésének helye

A speciális keresési KQL-lekérdezések (Kusto Query Language) használatával a Microsoft Defender XDR- és Microsoft Sentinel-adatokon keresztül kereshet.

Amikor egy munkaterület csatlakoztatása után először nyitja meg a speciális veszélyforrás-keresés lapot, a munkaterület számos tábláját megtalálja megoldás szerint rendezve a Microsoft Defender XDR-táblák után a Séma lapon.

Képernyőkép a Speciális veszélyforrás-keresési séma lapról a Microsoft Defender portálon, kiemelve a Sentinel-táblák helyét

Hasonlóképpen, a Függvények lapon található a Microsoft Sentinel függvényei, a Microsoft Sentinelből származó megosztott és mintalekérdezések pedig a Lekérdezések lapon találhatók a Sentinel jelölésű mappákban.

Sémaadatok megtekintése

Ha többet szeretne megtudni egy sématábláról, válassza a sématábla neve mellett jobbra található függőleges három pontot (kebab ikon) a Séma lapon, majd válassza a Séma megtekintése lehetőséget.

Az egyesített portálon a sémaoszlopok neveinek és leírásainak megtekintése mellett a következőket is megtekintheti:

  • Mintaadatok – válassza az Előnézeti adatok megtekintése lehetőséget, amely betölt egy egyszerű lekérdezést, például TableName | take 5
  • Séma típusa – azt határozza meg, hogy a tábla támogatja-e a teljes lekérdezési képességeket (speciális tábla) vagy sem (alapszintű naplótáblázat)
  • Adatmegőrzési időtartam – az adatok megőrzésének időtartama
  • Címkék – elérhető a Sentinel-adattáblákhoz

Képernyőkép a Microsoft Defender portál sémainformációs paneljéről

Függvények használata

Ha a Microsoft Sentinel egyik függvényét szeretné használni, lépjen a Függvények lapra, és görgessen addig, amíg meg nem találja a kívánt függvényt. A függvény nevére duplán kattintva szúrja be a függvényt a lekérdezésszerkesztőbe.

A függvény jobb oldalán található függőleges három pontot ( kebab ikont ) is kiválaszthatja, majd a Beszúrás gombra kattintva beszúrhatja a függvényt egy lekérdezésbe a lekérdezésszerkesztőben.

További lehetőségek:

  • Részletek megtekintése – megnyitja a részleteket tartalmazó függvényoldali panelt
  • Függvénykód betöltése – megnyitja a függvénykódot tartalmazó új lapot

A szerkeszthető függvények esetében további lehetőségek érhetők el a függőleges három pont kiválasztásakor:

  • Részletek szerkesztése – megnyitja a függvényoldali panelt, amely lehetővé teszi a függvény részleteinek szerkesztését (kivéve a Sentinel-függvények mappanevét)
  • Törlés – törli a függvényt

Mentett lekérdezések használata

A Microsoft Sentinel mentett lekérdezésének használatához lépjen a Lekérdezések lapra, és görgessen addig, amíg meg nem találja a kívánt lekérdezést. Kattintson duplán a lekérdezés nevére, hogy betöltse a lekérdezést a lekérdezésszerkesztőbe. További lehetőségekért válassza a lekérdezés jobb oldalán található függőleges három pontot ( kebab ikon ). Innen a következő műveleteket hajthatja végre:

  • Lekérdezés futtatása – betölti a lekérdezést a lekérdezésszerkesztőbe, és automatikusan futtatja

  • Megnyitás a lekérdezésszerkesztőben – betölti a lekérdezést a lekérdezésszerkesztőben

  • Részletek megtekintése – megnyitja a lekérdezés részleteinek oldalsó panelét, ahol megvizsgálhatja a lekérdezést, futtathatja a lekérdezést, vagy megnyithatja a lekérdezést a szerkesztőben

    Képernyőkép a Microsoft Defender portál mentett lekérdezéseiben elérhető lehetőségekről

Szerkeszthető lekérdezések esetén további lehetőségek érhetők el:

  • Részletek szerkesztése – megnyitja a lekérdezés részleteinek oldalsó panelét, amelyen szerkesztheti a részleteket, például a leírást (ha van) és magát a lekérdezést; csak a Microsoft Sentinel-lekérdezések mappanevei (helye) nem szerkeszthetők
  • Törlés – törli a lekérdezést
  • Átnevezés – lehetővé teszi a lekérdezés nevének módosítását

Egyéni elemzési és észlelési szabályok létrehozása

A környezet fenyegetéseinek és rendellenes viselkedésének felderítéséhez egyéni észlelési szabályzatokat hozhat létre.

A csatlakoztatott Microsoft Sentinel-munkaterületen betöltött adatokra vonatkozó elemzési szabályokhoz válassza a Szabályok > kezelése Elemzési szabály létrehozása lehetőséget.

Képernyőkép az egyéni elemzések vagy észlelések a Microsoft Defender portálon való létrehozásának lehetőségeiről

Megjelenik az Elemzési szabály varázsló . Töltse ki a szükséges adatokat az Elemzési szabály varázsló – Általános lap című témakörben leírtak szerint.

Egyéni észlelési szabályokat is létrehozhat, amelyek a Microsoft Sentinel és a Defender XDR táblákból is lekérdeznek adatokat. Válassza a Szabályok > kezelése Egyéni észlelés létrehozása lehetőséget. További információt az Egyéni észlelési szabályok létrehozása és kezelése című témakörben talál.

Ha a Defender XDR-adatai be vannak betöltve a Microsoft Sentinelbe, választhat az Egyéni észlelés létrehozása és az Elemzési szabály létrehozása között.

Eredmények felfedezése

A futtatott lekérdezések eredményei az Eredmények lapon jelennek meg. Az eredmények CSV-fájlba való exportálásához válassza az Exportálás lehetőséget.

Képernyőkép a speciális keresési eredményekről a Microsoft Defender portálon az eredménysorok kibontására vonatkozó beállításokkal

Az eredményeket az alábbi funkciókkal összhangban is megvizsgálhatja:

  • Az eredmények kibontásához válassza az egyes találatok bal oldalán található legördülő nyilat
  • Adott esetben bontsa ki a JSON- vagy tömbformátumú eredmények részleteit a megfelelő eredménysor bal oldalán található legördülő nyíllal a jobb olvashatóság érdekében
  • Nyissa meg az oldalsó panelt egy rekord részleteinek megtekintéséhez (egyidejűleg kibontott sorokkal)

Az eredményértékekre a jobb gombbal kattintva is kattinthat egy sorban, így a következőre használhatja:

  • További szűrők hozzáadása a meglévő lekérdezéshez
  • Másolja ki a további vizsgálathoz használni kívánt értéket
  • A lekérdezés frissítése egy JSON-mező új oszlopra való kiterjesztéséhez

A Microsoft Defender XDR-adatok esetében további lépéseket tehet az egyes eredménysorok bal oldalán található jelölőnégyzetek bejelölésével. Válassza a Csatolás incidenshez lehetőséget a kiválasztott eredmények incidenshez való csatolásához (lásd: Lekérdezési eredmények csatolása incidenshez) vagy Műveletek végrehajtása a Műveletek végrehajtása varázsló megnyitásához (lásd: Művelet végrehajtása a speciális keresési lekérdezési eredményeken).

Ismert problémák

  • A IdentityInfo tableMicrosoft Sentineltől származó fájl nem érhető el, mivel a IdentityInfo táblázat a Defender XDR-ben is megmarad. A Microsoft Sentinel olyan funkcióira, mint a táblát lekérdező elemzési szabályok, nem lesznek hatással, mivel közvetlenül a Log Analytics-munkaterületet kérdezik le.
  • A Microsoft Sentinel SecurityAlert táblát a és AlertEvidence a tábla váltja felAlertInfo, amelyek a riasztások összes adatát tartalmazzák. Bár a SecurityAlert nem érhető el a séma lapon, a speciális veszélyforrás-szerkesztővel továbbra is használhatja a lekérdezésekben. Ezt a rendelkezést úgy kell létrehozni, hogy ne törje meg a táblát használó Microsoft Sentinel meglévő lekérdezéseit.
  • Az irányított veszélyforrás-keresési mód, az incidensekre mutató hivatkozások és a műveletek végrehajtása képességek csak a Defender XDR-adatok esetében támogatottak.
  • Az egyéni észlelésekre az alábbi korlátozások vonatkoznak:
    • Az egyéni észlelések nem érhetők el a Defender XDR-adatokat nem tartalmazó KQL-lekérdezésekhez.
    • Közel valós idejű észlelési gyakoriság nem érhető el a Microsoft Sentinel-adatokat tartalmazó észlelésekhez.
    • A Microsoft Sentinelben létrehozott és mentett egyéni függvények nem támogatottak.
    • Az entitások Sentinel-adatokból való definiálása még nem támogatott az egyéni észlelésekben.
  • A speciális veszélyforrás-keresés nem támogatja a könyvjelzőket. A Microsoft Sentinel > veszélyforrás-kezelési > veszélyforrás-keresés funkciója támogatja őket.
  • Ha Defender XDR-táblákat streamel a Log Analyticsbe, a és TimeGenerated azTimestamp oszlop között eltérés lehet. Ha az adatok 48 óra elteltével érkeznek meg a Log Analyticsbe now(), a rendszer felülírja az adatokat a(z) szolgáltatásba való betöltéskor. Ezért az esemény tényleges időpontjának lekéréséhez javasoljuk, hogy az oszlopra Timestamp támaszkodjon.
  • Ha speciális veszélyforrás-keresési lekérdezéseket kér a Copilottól a Biztonságtól , előfordulhat, hogy jelenleg nem minden Microsoft Sentinel-tábla támogatott. Ezeknek a tábláknak a támogatása azonban a jövőben várható.