Megosztás a következőn keresztül:

Egyéni keresési lekérdezések létrehozása a Microsoft Sentinelben

  • A következőre érvényes:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Egyéni keresési lekérdezésekkel kereshet biztonsági fenyegetéseket a szervezet adatforrásai között. A Microsoft Sentinel beépített keresési lekérdezéseket biztosít, amelyek segítenek megtalálni a hálózaton tárolt adatokkal kapcsolatos problémákat. Létrehozhat azonban saját egyéni lekérdezéseket. A keresési lekérdezésekkel kapcsolatos további információkért lásd : Fenyegetéskeresés a Microsoft Sentinelben.

Új lekérdezés létrehozása

A Microsoft Sentinelben hozzon létre egy egyéni keresési lekérdezést a Hunting Query (Lekérdezések)>lapról.

  1. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft SentinelThreat Management>Hunting lehetőséget.> Az Azure Portalon a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Hunting (Vadászat) lehetőséget.

  2. Válassza a Lekérdezések lapot.

  3. A parancssávon válassza az Új lekérdezés lehetőséget.

  4. Töltse ki az összes üres mezőt.

    1. Entitásleképezések létrehozása entitástípusok, azonosítók és oszlopok kiválasztásával.

      Képernyőkép a keresési lekérdezések entitástípusainak leképezéséhez.

    2. A MITRE ATT&CK technikák leképezése a keresési lekérdezésekhez a taktika, a technika és az altechnika kiválasztásával (ha van).

      Új lekérdezés

  5. Amikor végzett a lekérdezés definiálásakor, válassza a Létrehozás lehetőséget.

Meglévő lekérdezés klónozása

Klónozhat egy egyéni vagy beépített lekérdezést, és szükség szerint szerkesztheti azt.

  1. A Hunting Query (Lekérdezések)>lapon válassza ki a klónozni kívánt keresési lekérdezést.

  2. Jelölje ki a három pontot (...) a módosítani kívánt lekérdezés sorában, és válassza a Klónozás lehetőséget.

  3. Szükség szerint szerkessze a lekérdezést és más mezőket.

  4. Válassza a Létrehozás lehetőséget.

Meglévő egyéni lekérdezés szerkesztése

Csak egyéni tartalomforrásból származó lekérdezések szerkeszthetők. Más tartalomforrásokat ezen a forráson kell szerkeszteni.

  1. A Keresési>lekérdezések lapon válassza ki a módosítani kívánt keresési lekérdezést.

  2. Jelölje ki a három pontot (...) a módosítani kívánt lekérdezés sorában, és válassza a Szerkesztés lehetőséget.

  3. Frissítse a Lekérdezés mezőt a frissített lekérdezéssel. Az entitásleképezést és a technikákat is módosíthatja.

  4. Ha végzett, válassza a Mentés lehetőséget.

Kapcsolódó tartalom