Condividi tramite

Usare funzioni Microsoft Sentinel, query salvate e regole personalizzate

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come usare funzioni Microsoft Sentinel, query salvate e regole personalizzate nella ricerca avanzata nel portale di Microsoft Defender.

Usare le funzioni

Per usare una funzione Microsoft Sentinel, passare alla scheda Funzioni e scorrere fino a trovare la funzione desiderata. Fare doppio clic sul nome della funzione per inserire la funzione nell'editor di query.

È anche possibile selezionare i puntini di sospensione verticali ( icona kebab ) a destra della funzione e selezionare Inserisci per eseguire una query per inserire la funzione in una query nell'editor di query.

Altre opzioni includono:

  • Visualizza dettagli : apre il riquadro lato funzione contenente i relativi dettagli.
  • Caricare il codice della funzione : apre una nuova scheda contenente il codice della funzione.

Per le funzioni modificabili, sono disponibili altre opzioni quando si selezionano i puntini di sospensione verticali:

  • Modifica dettagli: apre il riquadro laterale della funzione per consentire di modificare i dettagli sulla funzione , ad eccezione dei nomi delle cartelle per le funzioni Sentinel.
  • Delete : elimina la funzione.

Usare l'operatore adx() per le query Azure Esplora dati

Usare l'operatore adx() per eseguire query sulle tabelle archiviate in Azure Esplora dati. Per altre informazioni, vedere Che cos'è Azure Esplora dati?

In precedenza, questa funzionalità era disponibile solo in Log Analytics in Microsoft Sentinel. Gli utenti possono ora usare l'operatore nella ricerca avanzata nel portale di Microsoft Defender unificato senza dover aprire manualmente una finestra di Microsoft Sentinel.

Nell'editor di query immettere la query nel formato seguente:

adx('<Cluster URI>/<Database Name>').<Table Name>

Ad esempio, per ottenere le prime 10 righe di dati dalla StormEvents tabella archiviata in un determinato URI:

Screenshot dell'operatore adx nella ricerca avanzata.

Nota

L'operatore adx() non è supportato per i rilevamenti personalizzati.

Usare l'operatore arg() per le query Azure Resource Graph

Usare l'operatore arg() per eseguire query su risorse Azure distribuite, ad esempio sottoscrizioni, macchine virtuali, CPU, archiviazione e simili.

In precedenza, questa funzionalità era disponibile solo nella funzionalità Log in Microsoft Sentinel. Nel portale di Microsoft Defender l'operatore arg() consente di combinare query Azure Resource Graph (arg) con tabelle Microsoft Sentinel, ovvero le tabelle Defender XDR non sono supportate. Usando questo operatore, è possibile eseguire la query tra servizi nella ricerca avanzata senza aprire manualmente una finestra di Microsoft Sentinel.

Per altre informazioni, vedere Eseguire query sui dati in Azure Resource Graph usando arg().

Nota

L'operatore arg() non è supportato per le regole di analisi.

Nell'editor di query immettere arg(""). seguito dal nome della tabella Azure Resource Graph.

Ad esempio:

Screenshot dell'operatore arg nella ricerca avanzata.

È anche possibile, ad esempio, filtrare una query che esegue ricerche sui dati Microsoft Sentinel in base ai risultati di una query Azure Resource Graph:

arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join ( 
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice

Creare funzioni personalizzate

Per altre informazioni sulla creazione di funzioni personalizzate nel portale di Defender, vedere Funzioni personalizzate nello schema di ricerca avanzato.

Usare le query salvate

Per usare una query salvata da Microsoft Sentinel, passare alla scheda Query e scorrere fino a trovare la query desiderata. Fare doppio clic sul nome della query per caricare la query nell'editor di query. Per altre opzioni, selezionare i puntini di sospensione verticali ( icona kebab ) a destra della query. Da qui è possibile eseguire le azioni seguenti:

  • Esegui query : carica la query nell'editor di query ed esegue automaticamente la query.

  • Apri nell'editor di query : carica la query nell'editor di query.

  • Dettagli visualizzazione : apre il riquadro laterale dettagli query in cui è possibile esaminare la query, eseguire la query o aprire la query nell'editor.

    Screenshot delle opzioni disponibili nelle query salvate nel portale di Microsoft Defender.

Per le query modificabili, sono disponibili altre opzioni:

  • Modifica dettagli : apre il riquadro lato dettagli query con l'opzione per modificare i dettagli, ad esempio la descrizione (se applicabile) e la query stessa. Non è possibile modificare i nomi delle cartelle (percorso) delle query Microsoft Sentinel.
  • Elimina : elimina la query.
  • Rinomina : consente di modificare il nome della query.

Creare regole di analisi e rilevamento personalizzate

Per individuare minacce e comportamenti anomali nell'ambiente, è possibile creare regole di rilevamento personalizzate. Esistono due tipi:

  • Regole di analisi: per generare rilevamenti da regole che eseguono query sui dati inseriti tramite Microsoft Sentinel
  • Regole di rilevamento personalizzate: per generare rilevamenti da regole che eseguono query sui dati da Defender XDR o da Microsoft Sentinel e Defender XDR
Regole di analisi

Per le regole di analisi che si applicano ai dati inseriti tramite l'area di lavoro Microsoft Sentinel connessa, selezionare Gestisci regole > Crea regola di analisi.

Screenshot delle opzioni per creare analisi o rilevamenti personalizzati nel portale di Microsoft Defender

Verrà visualizzata la procedura guidata regola di analisi . Compilare i dettagli necessari come descritto nella procedura guidata regola di Analisi- Scheda Generale.

Regole di rilevamento personalizzate

È possibile creare regole di rilevamento personalizzate che eseguono query sui dati da tabelle Microsoft Sentinel e Defender XDR. Selezionare Gestisci regole > Crea rilevamento personalizzato. Per altre informazioni, vedere Creare regole di rilevamento personalizzate .

Sia nella creazione di regole di rilevamento personalizzato che di analisi, è possibile eseguire query solo sui dati inseriti come log di analisi, ovvero non come log di base o log ausiliari. Vedere Piani di gestione dei log per controllare i diversi livelli. In caso contrario, la creazione della regola non procederà.

Se i dati Defender XDR vengono inseriti in Microsoft Sentinel, è possibile scegliere tra Crea rilevamento personalizzato e Crea regola di analisi.

Nota

Se una tabella Defender XDR non è configurata per lo streaming per l'analisi dei log in Microsoft Sentinel ma viene riconosciuta come tabella standard in Microsoft Sentinel, è possibile creare correttamente una regola di analisi, ma la regola non viene eseguita correttamente perché non sono disponibili dati in Microsoft Sentinel. Per questi casi, usare invece la procedura guidata della regola di rilevamento personalizzata.

Gestire le regole di analisi e rilevamento personalizzate

È possibile visualizzare tutte le regole definite dall'utente, incluse le regole di rilevamento personalizzate e le regole di analisi, nella pagina Regole di rilevamento . Per altre informazioni, vedere Gestire i rilevamenti personalizzati.

Per le organizzazioni multworkspace che eseguono l'onboarding di più aree di lavoro in Microsoft Defender, è ora possibile visualizzare la colonna ID area di lavoro e filtrare in base all'area di lavoro.

  • Last updated on