Condividi tramite

Ricerca avanzata nel portale di Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La ricerca avanzata nel portale unificato consente di visualizzare ed eseguire query su tutti i dati di Microsoft Defender XDR. Sono inclusi i dati di vari servizi di sicurezza Microsoft e Microsoft Sentinel, che include dati provenienti da prodotti non Microsoft, in un'unica piattaforma. È anche possibile accedere e usare tutto il contenuto dell'area di lavoro di Microsoft Sentinel esistente, incluse le query e le funzioni.

L'esecuzione di query da un singolo portale tra set di dati diversi rende più efficiente la ricerca e rimuove la necessità di cambiare contesto.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma di operazioni di sicurezza unificata nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Come accedere

Ruoli e autorizzazioni necessari

Per eseguire query sui dati XDR di Microsoft Sentinel e Microsoft Defender nella pagina di ricerca avanzata unificata, è necessario avere accesso alla ricerca avanzata di Microsoft Defender XDR (vedere Ruoli e autorizzazioni necessari) e almeno a Microsoft Sentinel Reader (vedere Ruoli specifici di Microsoft Sentinel).

Nel portale unificato è possibile eseguire query su tutti i dati in qualsiasi carico di lavoro a cui è attualmente possibile accedere in base ai ruoli e alle autorizzazioni disponibili.

Connettere un'area di lavoro

In Microsoft Defender è possibile connettere le aree di lavoro selezionando Connetti un'area di lavoro nel banner superiore. Questo pulsante viene visualizzato se si è idonei ad eseguire l'onboarding di un'area di lavoro di Microsoft Sentinel nel portale di Microsoft Defender unificato. Seguire la procedura descritta in: Onboarding di un'area di lavoro.

Dopo aver connesso l'area di lavoro di Microsoft Sentinel e i dati di ricerca avanzata di Microsoft Defender XDR, è possibile iniziare a eseguire query sui dati di Microsoft Sentinel dalla pagina di ricerca avanzata. Per una panoramica delle funzionalità di ricerca avanzate, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Cosa aspettarsi per le tabelle XDR di Defender trasmesse in streaming a Microsoft Sentinel

  • Usare tabelle con un periodo di conservazione dei dati più lungo nelle query : la ricerca avanzata segue il periodo massimo di conservazione dei dati configurato per le tabelle XDR di Defender (vedere Informazioni sulle quote). Se si trasmette le tabelle XDR di Defender a Microsoft Sentinel e si dispone di un periodo di conservazione dei dati superiore a 30 giorni per le tabelle, è possibile eseguire query per il periodo più lungo nella ricerca avanzata.
  • Usare gli operatori Kusto usati in Microsoft Sentinel: in generale, le query di Microsoft Sentinel funzionano nella ricerca avanzata, incluse le query che usano l'operatore adx() . In alcuni casi IntelliSense avvisa che gli operatori nella query non corrispondono allo schema, ma è comunque possibile eseguire la query e deve comunque essere eseguita correttamente.
  • Usare l'elenco a discesa filtro ora invece di impostare l'intervallo di tempo nella query : se si filtra l'inserimento delle tabelle XDR di Defender su Sentinel invece di trasmettere le tabelle così come sono, non filtrare il tempo nella query in quanto ciò potrebbe generare risultati incompleti. Se si imposta l'ora nella query, vengono usati i dati filtrati in streaming da Sentinel perché in genere hanno un periodo di conservazione dei dati più lungo. Se si vuole assicurarsi di eseguire query su tutti i dati di Defender XDR per un massimo di 30 giorni, usare l'elenco a discesa filtro ora fornito nell'editor di query.
  • Visualizzare SourceSystem e MachineGroup colonne per i dati XDR di Defender trasmessi da Microsoft Sentinel : poiché le colonne SourceSystem e MachineGroup vengono aggiunte alle tabelle XDR di Defender dopo essere state trasmesse a Microsoft Sentinel, vengono visualizzate anche nei risultati della ricerca avanzata in Defender. Rimangono tuttavia vuoti per le tabelle XDR di Defender che non sono state trasmesse in streaming (tabelle che seguono il periodo di conservazione dei dati predefinito di 30 giorni).

Nota

L'uso del portale unificato, in cui è possibile eseguire query sui dati di Microsoft Sentinel dopo la connessione di un'area di lavoro di Microsoft Sentinel, non significa automaticamente che sia possibile eseguire query sui dati di Defender XDR anche in Microsoft Sentinel. L'inserimento di dati non elaborati di Defender XDR deve essere ancora configurato in Microsoft Sentinel per consentire l'inserimento di questo tipo.

Dove trovare i dati di Microsoft Sentinel

È possibile usare query KQL (Kusto Query Language) di ricerca avanzata per individuare i dati di Microsoft Defender XDR e Microsoft Sentinel.

Quando si apre la pagina ricerca avanzata per la prima volta dopo la connessione di un'area di lavoro, è possibile trovare molte delle tabelle dell'area di lavoro organizzate per soluzione dopo le tabelle XDR di Microsoft Defender nella scheda Schema .

Screenshot della scheda dello schema di ricerca avanzata nel portale di Microsoft Defender che evidenzia la posizione delle tabelle di Sentinel

Analogamente, è possibile trovare le funzioni di Microsoft Sentinel nella scheda Funzioni e le query condivise e di esempio di Microsoft Sentinel sono disponibili nella scheda Query all'interno di cartelle contrassegnate come Sentinel.

Visualizzare le informazioni sullo schema

Per altre informazioni su una tabella dello schema, selezionare i puntini di sospensione verticali ( icona kebab ) a destra di qualsiasi nome di tabella dello schema nella scheda Schema e quindi selezionare Visualizza schema.

Nel portale unificato, oltre a visualizzare i nomi e le descrizioni delle colonne dello schema, è anche possibile visualizzare:

  • Dati di esempio: selezionare Visualizza i dati di anteprima, che carica una query semplice, ad esempio TableName | take 5
  • Tipo di schema : se la tabella supporta o meno le funzionalità di query complete (tabella avanzata) (tabella dei log di base)
  • Periodo di conservazione dei dati : per quanto tempo i dati vengono impostati per la conservazione
  • Tag : disponibili per le tabelle dati sentinel

Screenshot del riquadro delle informazioni sullo schema nel portale di Microsoft Defender

Usare le funzioni

Per usare una funzione di Microsoft Sentinel, passare alla scheda Funzioni e scorrere fino a trovare la funzione desiderata. Fare doppio clic sul nome della funzione per inserire la funzione nell'editor di query.

È anche possibile selezionare i puntini di sospensione verticali ( icona kebab ) a destra della funzione e selezionare Inserisci per eseguire una query per inserire la funzione in una query nell'editor di query.

Altre opzioni includono:

  • Visualizza dettagli : apre il riquadro laterale della funzione contenente i relativi dettagli
  • Caricare il codice della funzione : apre una nuova scheda contenente il codice della funzione

Per le funzioni modificabili, sono disponibili altre opzioni quando si selezionano i puntini di sospensione verticali:

  • Modifica dettagli : apre il riquadro sul lato funzione per consentire di modificare i dettagli sulla funzione (ad eccezione dei nomi delle cartelle per le funzioni Sentinel)
  • Elimina : elimina la funzione

Usare le query salvate

Per usare una query salvata da Microsoft Sentinel, passare alla scheda Query e scorrere fino a trovare la query desiderata. Fare doppio clic sul nome della query per caricare la query nell'editor di query. Per altre opzioni, selezionare i puntini di sospensione verticali ( icona kebab ) a destra della query. Da qui è possibile eseguire le azioni seguenti:

  • Esegui query : carica la query nell'editor di query ed esegue automaticamente la query

  • Apri nell'editor di query : carica la query nell'editor di query

  • Visualizza dettagli : apre il riquadro laterale dettagli query in cui è possibile esaminare la query, eseguire la query o aprire la query nell'editor

    Screenshot delle opzioni disponibili nelle query salvate nel portale di Microsoft Defender

Per le query modificabili, sono disponibili altre opzioni:

  • Modifica dettagli : apre il riquadro lato dettagli query con l'opzione per modificare i dettagli, ad esempio la descrizione (se applicabile) e la query stessa; non è possibile modificare solo i nomi delle cartelle (percorso) delle query di Microsoft Sentinel
  • Elimina : elimina la query
  • Rinomina : consente di modificare il nome della query

Creare regole di analisi e rilevamento personalizzate

Per individuare minacce e comportamenti anomali nell'ambiente, è possibile creare criteri di rilevamento personalizzati.

Per le regole di analisi che si applicano ai dati inseriti tramite l'area di lavoro di Microsoft Sentinel connessa, selezionare Gestisci regole > Crea regola di analisi.

Screenshot delle opzioni per creare analisi o rilevamenti personalizzati nel portale di Microsoft Defender

Verrà visualizzata la procedura guidata regola di analisi . Compilare i dettagli necessari come descritto nella procedura guidata regola di Analisi- Scheda Generale.

È anche possibile creare regole di rilevamento personalizzate che eseguono query sui dati da tabelle XDR di Microsoft Sentinel e Defender. Selezionare Gestisci regole > Crea rilevamento personalizzato. Per altre informazioni, vedere Creare e gestire regole di rilevamento personalizzate .

Se i dati di Defender XDR vengono inseriti in Microsoft Sentinel, è possibile scegliere tra Crea rilevamento personalizzato e Crea regola di analisi.

Esplorare i risultati

I risultati delle query eseguite vengono visualizzati nella scheda Risultati . È possibile esportare i risultati in un file CSV selezionando Esporta.

Screenshot dei risultati avanzati della ricerca con opzioni per espandere le righe dei risultati nel portale di Microsoft Defender

È anche possibile esplorare i risultati in linea con le funzionalità seguenti:

  • Espandere un risultato selezionando la freccia a discesa a sinistra di ogni risultato
  • Se applicabile, espandere i dettagli per i risultati in formato JSON o matrice selezionando la freccia a discesa a sinistra della riga dei risultati applicabile per una maggiore leggibilità
  • Aprire il riquadro laterale per visualizzare i dettagli di un record (simultaneamente alle righe espanse)

È anche possibile fare clic con il pulsante destro del mouse su qualsiasi valore di risultato in una riga in modo che sia possibile usarlo per:

  • Aggiungere altri filtri alla query esistente
  • Copiare il valore da usare in ulteriori indagini
  • Aggiornare la query per estendere un campo JSON a una nuova colonna

Per i dati XDR di Microsoft Defender, è possibile eseguire ulteriori azioni selezionando le caselle di controllo a sinistra di ogni riga dei risultati. Selezionare Collega all'evento imprevisto per collegare i risultati selezionati a un evento imprevisto (leggere Collegare i risultati della query a un evento imprevisto) o Eseguire azioni per aprire la procedura guidata Esegui azioni (vedere Eseguire azioni sui risultati delle query di ricerca avanzate).

Problemi noti

  • L'oggetto IdentityInfo table di Microsoft Sentinel non è disponibile, poiché la IdentityInfo tabella rimane così come è in Defender XDR. Le funzionalità di Microsoft Sentinel, ad esempio le regole di analisi che eseguono query su questa tabella, non sono interessate perché eseguono direttamente query sull'area di lavoro Log Analytics.
  • La tabella di Microsoft Sentinel SecurityAlert viene sostituita dalle AlertInfo tabelle e AlertEvidence , che contengono entrambi tutti i dati sugli avvisi. Anche se SecurityAlert non è disponibile nella scheda schema, è comunque possibile usarlo nelle query usando l'editor di ricerca avanzato. Questo provisioning viene eseguito in modo da non interrompere le query esistenti da Microsoft Sentinel che usano questa tabella.
  • La modalità di ricerca guidata, i collegamenti agli eventi imprevisti e le funzionalità di esecuzione delle azioni sono supportati solo per i dati di Defender XDR.
  • I rilevamenti personalizzati presentano le limitazioni seguenti:
    • I rilevamenti personalizzati non sono disponibili per le query KQL che non includono i dati di Defender XDR.
    • La frequenza di rilevamento quasi in tempo reale non è disponibile per i rilevamenti che includono dati di Microsoft Sentinel.
    • Le funzioni personalizzate create e salvate in Microsoft Sentinel non sono supportate.
    • La definizione di entità dai dati di Sentinel non è ancora supportata nei rilevamenti personalizzati.
  • I segnalibri non sono supportati nell'esperienza di ricerca avanzata. Sono supportati nella funzionalità di ricerca della gestione > delle minacce di Microsoft Sentinel>.
  • Se si esegue lo streaming delle tabelle XDR di Defender in Log Analytics, potrebbe esserci una differenza tra leTimestamp colonne e TimeGenerated . Se i dati arrivano a Log Analytics dopo 48 ore, vengono sottoposti a override al momento dell'inserimento in now(). Pertanto, per ottenere il tempo effettivo in cui si è verificato l'evento, è consigliabile basarsi sulla Timestamp colonna .
  • Quando si richiede copilot per la sicurezza per le query di ricerca avanzate, è possibile che non tutte le tabelle di Microsoft Sentinel siano attualmente supportate. Tuttavia, il supporto per queste tabelle può essere previsto in futuro.