Megosztás a következőn keresztül:

Speciális veszélyforrás-keresés Microsoft Sentinel adatokkal Microsoft Defender portálon

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A speciális veszélyforrás-kereséssel megtekintheti és lekérdezheti az egyesített Microsoft Defender portálon elérhető összes adatforrást. Az adatforrások közé tartozhatnak a Microsoft Defender XDR és a Microsoft különböző biztonsági szolgáltatásai. Ha Microsoft Sentinel a Defender portálra, az összes meglévő Microsoft Sentinel-munkaterület tartalmát elérheti és használhatja, beleértve a lekérdezéseket és függvényeket is.

A különböző adatkészletek közötti egyetlen portálról történő lekérdezés hatékonyabbá teszi a veszélyforrás-keresést, és szükségtelenné teszi a környezetváltást.

Fontos

Microsoft Sentinel mostantól általánosan elérhető a Microsoft egységesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.

Hozzáférés

Szükséges szerepkörök és engedélyek

Bármilyen számítási feladatban lekérdezhet adatokat, amelyekhez jelenleg a szerepkörei és engedélyei alapján férhet hozzá.

Ha Microsoft Sentinel és Microsoft Defender XDR adatait szeretné lekérdezni az egyesített speciális veszélyforrás-keresés oldalon, legalább az Microsoft Sentinel Olvasó szerepkörre is szüksége lesz. További információ: Microsoft Sentinel-specifikus szerepkörök.

Munkaterület csatlakoztatása

A Microsoft Defender munkaterületek csatlakoztatásához válassza a munkaterület csatlakoztatása lehetőséget a felső szalagcímen. Ez a gomb akkor jelenik meg, ha jogosult egy Microsoft Sentinel-munkaterület előkészítésére az egyesített Microsoft Defender portálon. Kövesse a munkaterület előkészítésének lépéseit.

Miután csatlakoztatta a Microsoft Sentinel-munkaterületet, és Microsoft Defender XDR speciális veszélyforrás-keresési adatokat, megkezdheti Microsoft Sentinel adatok lekérdezését a speciális veszélyforrás-keresés lapról. A speciális veszélyforrás-keresési funkciók áttekintését lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Mi várható a Microsoft Sentinel streamelt Defender XDR táblák esetében

  • Hosszabb adatmegőrzési időtartamú táblák használata a lekérdezésekben – A speciális veszélyforrás-keresés a Defender XDR táblákhoz konfigurált maximális adatmegőrzési időtartamot követi (lásd: A kvóták ismertetése). Ha Defender XDR táblákat streameli Microsoft Sentinel, és az adatmegőrzési időszak 30 napnál hosszabb az említett táblák esetében, a speciális veszélyforrás-keresés hosszabb időtartamára is rákérdezhet.
  • A Microsoft Sentinel-ben használt Kusto-operátorok használata – A Microsoft Sentinel lekérdezései általában speciális veszélyforrás-keresésben működnek, beleértve az operátort adx() használó lekérdezéseket is. Előfordulhatnak olyan esetek, amikor az IntelliSense arra figyelmezteti, hogy a lekérdezés operátorai nem egyeznek a sémával, de továbbra is futtathatja a lekérdezést, és továbbra is sikeresen végre kell hajtani.
  • A lekérdezés időtartományának beállítása helyett használja az időszűrő legördülő menüt – Ha a táblák streamelése helyett Sentinel szűri Defender XDR táblák betöltését, ne szűrje a lekérdezésben szereplő időt, mert az hiányos eredményeket eredményezhet. Ha beállítja a lekérdezésben az időt, a rendszer a Sentinel streamelt, szűrt adatait használja, mert általában hosszabb adatmegőrzési időszak áll a megőrzési idő alatt. Ha meg szeretne győződni arról, hogy az összes Defender XDR adatot legfeljebb 30 napig kérdezi le, használja inkább a lekérdezésszerkesztőben megadott időszűrő legördülő listát.
  • Az Microsoft Sentinel-ból streamelt Defender XDR adatok megtekintése SourceSystem és MachineGroup oszlopai – Mivel az oszlopok SourceSystem és MachineGroup Defender XDR táblákhoz a Microsoft Sentinel való streamelés után kerülnek hozzáadásra, a Defender speciális veszélyforrás-keresésében is megjelennek. A nem streamelt Defender XDR táblák esetében azonban üresek maradnak (az alapértelmezett 30 napos adatmegőrzési időszakot követő táblák esetében).

Megjegyzés:

Az egyesített portál használata, ahol Microsoft Sentinel adatokat kérdezhet le egy Microsoft Sentinel-munkaterület csatlakoztatása után, nem jelenti automatikusan azt, hogy Defender XDR adatokat is lekérdezhet Microsoft Sentinel. A Defender XDR nyers adatbetöltését továbbra is konfigurálni kell a Microsoft Sentinel, hogy ez megtörténjen.

A Microsoft Sentinel adatainak megkeresése

A speciális keresési KQL-lekérdezések (Kusto lekérdezésnyelv) használatával Microsoft Defender XDR és Microsoft Sentinel adatokat kereshet.

Amikor először nyitja meg a speciális veszélyforrás-keresés lapot a munkaterület csatlakoztatása után, a munkaterület számos tábláját megtalálja megoldás szerint rendezve a Séma lap Microsoft Defender XDR táblái után.

Képernyőkép a Microsoft Defender portál speciális veszélyforrás-keresési séma lapjáról, amely Sentinel táblák helyét emeli ki

Hasonlóképpen, a függvényeket Microsoft Sentinel a Függvények lapon találja, a megosztott és a mintalekérdezéseket pedig Microsoft Sentinel a Lekérdezések lapon, a Sentinel megjelölt mappákban.

Sémaadatok megtekintése

Ha többet szeretne megtudni egy sématábláról, válassza a sématábla neve mellett jobbra található függőleges három pontot (kebab ikon) a Séma lapon, majd válassza a Séma megtekintése lehetőséget.

Az egyesített portálon a sémaoszlopok neveinek és leírásainak megtekintése mellett a következőket is megtekintheti:

  • Mintaadatok – válassza az Előnézeti adatok megtekintése lehetőséget, amely betölt egy egyszerű lekérdezést, például TableName | take 5
  • Séma típusa – azt határozza meg, hogy a tábla támogatja-e a teljes lekérdezési képességeket (speciális tábla) vagy sem (alapszintű naplótáblázat)
  • Adatmegőrzési időtartam – az adatok megőrzésének időtartama
  • Címkék – Sentinel adattáblákhoz érhető el

Képernyőkép a Microsoft Defender portál sémainformációs paneljéről

Ismert problémák

  • A IdentityInfo table forrás Microsoft Sentinel nem érhető el, mivel a IdentityInfo tábla a Defender XDR marad. Microsoft Sentinel olyan funkciókra, mint a táblát lekérdező elemzési szabályok, nem lesznek hatással, mivel közvetlenül a Log Analytics-munkaterületet kérdezik le.
  • A Microsoft Sentinel SecurityAlert táblát a és AlertEvidence a tábla váltja felAlertInfo, amelyek a riasztások összes adatát tartalmazzák. Bár a SecurityAlert nem érhető el a séma lapon, a speciális veszélyforrás-szerkesztővel továbbra is használhatja a lekérdezésekben. Ez a kiépítés úgy történik, hogy ne törje meg a táblát használó Microsoft Sentinel meglévő lekérdezéseit.
  • Az irányított veszélyforrás-keresési mód és a műveletek végrehajtása csak Defender XDR adatokhoz támogatott.
  • Az egyéni észlelésekre az alábbi korlátozások vonatkoznak:
    • Az egyéni észlelések nem érhetők el olyan KQL-lekérdezésekhez, amelyek nem tartalmaznak Defender XDR adatokat.
    • A közel valós idejű észlelési gyakoriság nem érhető el Microsoft Sentinel adatokat tartalmazó észlelésekhez.
    • A Microsoft Sentinel létrehozott és mentett egyéni függvények nem támogatottak.
    • Az entitások Sentinel adatokból való definiálása még nem támogatott az egyéni észlelésekben.
  • A speciális veszélyforrás-keresés nem támogatja a könyvjelzőket. A Microsoft Sentinel > Veszélyforrás-keresés > funkció támogatja őket.
  • Ha Defender XDR táblákat streamel a Log Analyticsbe, akkor a és TimeGenerated azTimestamp oszlop között eltérés lehet. Ha az adatok 48 óra elteltével érkeznek meg a Log Analyticsbe now(), a rendszer felülírja az adatokat a(z) szolgáltatásba való betöltéskor. Ezért az esemény tényleges időpontjának lekéréséhez javasoljuk, hogy az oszlopra Timestamp támaszkodjon.
  • Ha speciális veszélyforrás-keresési lekérdezéseket kér a Copilottól a Securityhez, előfordulhat, hogy jelenleg nem minden Microsoft Sentinel tábla támogatott. Ezeknek a tábláknak a támogatása azonban a jövőben várható.

Lásd még