Avansert jakt i Microsoft Defender-portalen
Avansert jakt i den enhetlige portalen lar deg vise og spørre etter alle data fra Microsoft Defender XDR. Dette inkluderer data fra ulike Microsoft-sikkerhetstjenester og Microsoft Sentinel, som inkluderer data fra ikke-Microsoft-produkter, på én enkelt plattform. Du kan også få tilgang til og bruke alt eksisterende innhold i Microsoft Sentinel-arbeidsområdet, inkludert spørringer og funksjoner.
Spørring fra én enkelt portal på tvers av ulike datasett gjør jakt mer effektivt og fjerner behovet for kontekstbytte.
Viktig
Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.
Slik får du tilgang til
Obligatoriske roller og tillatelser
Du kan spørre etter data i en hvilken som helst arbeidsbelastning som du for øyeblikket har tilgang til, basert på rollene og tillatelsene dine.
Hvis du vil spørre på tvers av Microsoft Sentinel- og Microsoft Defender XDR-data på den enhetlige avanserte jaktsiden, trenger du i det minste Rollen Microsoft Sentinel Reader. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel-spesifikke roller.
Koble til et arbeidsområde
I Microsoft Defender kan du koble til arbeidsområder ved å velge Koble til et arbeidsområde i det øverste banneret. Denne knappen vises hvis du er kvalifisert for å sette inn et Microsoft Sentinel-arbeidsområde i den enhetlige Microsoft Defender-portalen. Følg fremgangsmåten i: Pålasting av et arbeidsområde.
Når du har koblet til Microsoft Sentinel-arbeidsområdet og avanserte jaktdata for Microsoft Defender XDR, kan du begynne å spørre Microsoft Sentinel-data fra den avanserte jaktsiden. For en oversikt over avanserte jaktfunksjoner, les Proaktivt jakten på trusler med avansert jakt.
Hva du kan forvente for Defender XDR-tabeller strømmet til Microsoft Sentinel
- Bruk tabeller med lengre dataoppbevaringsperiode i spørringer – Avansert jakt følger den maksimale dataoppbevaringsperioden som er konfigurert for Defender XDR-tabellene (se Forstå kvoter). Hvis du strømmer Defender XDR-tabeller til Microsoft Sentinel og har en dataoppbevaringsperiode som er lengre enn 30 dager for nevnte tabeller, kan du spørre etter den lengre perioden i avansert jakt.
-
Bruk Kusto-operatorer du har brukt i Microsoft Sentinel – generelt sett arbeider spørringer fra Microsoft Sentinel i avansert jakt, inkludert spørringer som bruker operatoren
adx()
. Det kan være tilfeller der IntelliSense advarer deg om at operatorene i spørringen ikke samsvarer med skjemaet, men du kan fortsatt kjøre spørringen og at den fortsatt skal kjøres. - Bruk rullegardinlisten for tidsfilter i stedet for å angi tidsperioden i spørringen . Hvis du filtrerer inntak av Defender XDR-tabeller til Sentinel i stedet for å strømme tabellene som den er, må du ikke filtrere tiden i spørringen, da dette kan generere ufullstendige resultater. Hvis du angir klokkeslettet i spørringen, brukes de strømmede, filtrerte dataene fra Sentinel fordi de vanligvis har lengre dataoppbevaringsperiode. Hvis du vil forsikre deg om at du spør etter alle Defender XDR-data i opptil 30 dager, bruker du rullegardinlisten for tidsfilter som er angitt i redigeringsprogrammet for spørring i stedet.
-
Visning
SourceSystem
ogMachineGroup
kolonner for Defender XDR-data som er strømmet fra Microsoft Sentinel – Siden kolonnene ogMachineGroup
leggesSourceSystem
til i Defender XDR-tabeller når de strømmes til Microsoft Sentinel, vises de også i resultater i avansert jakt i Defender. De forblir imidlertid tomme for Defender XDR-tabeller som ikke ble strømmet (tabeller som følger standard 30-dagers dataoppbevaringsperiode).
Obs!
Hvis du bruker den enhetlige portalen, der du kan spørre Microsoft Sentinel-data etter å ha koblet til et Microsoft Sentinel-arbeidsområde, betyr det ikke automatisk at du også kan spørre Defender XDR-data mens du er i Microsoft Sentinel. Rådatainntak av Defender XDR bør fremdeles konfigureres i Microsoft Sentinel for at dette skal skje.
Her finner du Microsoft Sentinel-dataene dine
Du kan bruke KQL-spørringer (Kusto Query Language) til å lete gjennom Microsoft Defender XDR- og Microsoft Sentinel-data.
Når du åpner siden for avansert jakt for første gang etter at du har koblet til et arbeidsområde, kan du finne mange av tabellene i arbeidsområdet organisert etter løsning etter Microsoft Defender XDR-tabellene under Skjema-fanen .
Likeledes kan du finne funksjonene fra Microsoft Sentinel i Funksjoner-fanen, og de delte spørringene og eksempelspørringene fra Microsoft Sentinel finner du i Spørringer-fanen i mapper merket Sentinel.
Vis skjemainformasjon
Hvis du vil lære mer om en skjematabell, velger du de loddrette ) til høyre for et skjematabellnavn under skjemafanen , og deretter velger du Vis skjema.
I den enhetlige portalen, i tillegg til å vise skjemakolonnenavnene og -beskrivelsene, kan du også vise:
- Eksempeldata – velg Se forhåndsvisningsdata, som laster inn en enkel spørring som
TableName | take 5
- Skjematype – om tabellen støtter fullstendige spørringsfunksjoner (avansert tabell) eller ikke (grunnleggende loggtabell)
- Dataoppbevaringsperiode – hvor lenge dataene er satt til å beholdes
- Koder – tilgjengelig for Sentinel-datatabeller
Bruke funksjoner
Hvis du vil bruke en funksjon fra Microsoft Sentinel, går du til Funksjoner-fanen og blar til du finner funksjonen du vil bruke. Dobbeltklikk funksjonsnavnet for å sette inn funksjonen i redigeringsprogrammet for spørring.
Du kan også velge de loddrette ellipsene ( ) til høyre for funksjonen og velge Sett inn i spørring for å sette inn funksjonen i en spørring i redigeringsprogrammet for spørring.
Andre alternativer inkluderer:
- Vis detaljer – åpner funksjonssideruten som inneholder detaljene
- Kode for innlastingsfunksjon – åpner en ny fane som inneholder funksjonskoden
For redigerbare funksjoner er flere alternativer tilgjengelige når du velger de loddrette ellipsene:
- Rediger detaljer – åpner funksjonssideruten slik at du kan redigere detaljer om funksjonen (unntatt mappenavn for Sentinel-funksjoner)
- Slett – sletter funksjonen
Bruke lagrede spørringer
Hvis du vil bruke en lagret spørring fra Microsoft Sentinel, går du til Spørringer-fanen og blar til du finner spørringen du vil bruke. Dobbeltklikk spørringsnavnet for å laste inn spørringen i redigeringsprogrammet for spørring. Hvis du vil ha flere alternativer, velger du de loddrette ellipsene ( ) til høyre for spørringen. Herfra kan du utføre følgende handlinger:
Kjør spørring – laster inn spørringen i redigeringsprogrammet for spørring og kjører den automatisk
Åpne i redigeringsprogrammet for spørring – laster inn spørringen i redigeringsprogrammet for spørring
Vis detaljer – åpner sideruten for spørringsdetaljer der du kan undersøke spørringen, kjøre spørringen eller åpne spørringen i redigeringsprogrammet
For redigerbare spørringer er flere alternativer tilgjengelige:
- Rediger detaljer – åpner sideruten for spørringsdetaljer med alternativet for å redigere detaljer som beskrivelse (hvis aktuelt) og selve spørringen. bare mappenavnene (plasseringen) til Microsoft Sentinel-spørringer kan ikke redigeres
- Slett – sletter spørringen
- Gi nytt navn – lar deg endre navnet på spørringen
Opprett egendefinerte analyse- og gjenkjenningsregler
Du kan opprette egendefinerte gjenkjenningspolicyer for å oppdage trusler og avvikende virkemåter i miljøet ditt.
For analyseregler som gjelder for data som tas inn gjennom det tilkoblede Microsoft Sentinel-arbeidsområdet, velger du Administrer regler > Opprett analyseregel.
Veiviseren for analyseregel vises. Fyll opp de nødvendige detaljene som beskrevet i analyseregelveiviseren – Generelt-fanen.
Du kan også opprette egendefinerte gjenkjenningsregler som spør etter data fra både Microsoft Sentinel- og Defender XDR-tabeller. Velg Behandle regler > Opprett egendefinert gjenkjenning. Les Opprett og administrer egendefinerte gjenkjenningsregler for mer informasjon.
Hvis Defender XDR-dataene inntas i Microsoft Sentinel, har du muligheten til å velge mellom Opprett egendefinert gjenkjenning og Opprett analyseregel.
Utforsk resultater
Resultatene av spørringer som ble kjørt, vises på Resultater-fanen . Du kan eksportere resultatene til en CSV-fil ved å velge Eksporter.
Du kan også utforske resultatene på linje med følgende funksjoner:
- Utvid et resultat ved å velge rullegardinpilen til venstre for hvert resultat
- Der det er aktuelt, utvider du detaljer for resultater som er i JSON- eller matriseformat, ved å velge rullegardinpilen til venstre for gjeldende resultatrad for ekstra lesbarhet
- Åpne sideruten for å se detaljer om en post (samtidig med utvidede rader)
Du kan også høyreklikke på en resultatverdi i en rad, slik at du kan bruke den til å:
- Legge til flere filtre i den eksisterende spørringen
- Kopier verdien for bruk i videre undersøkelser
- Oppdatere spørringen for å utvide et JSON-felt til en ny kolonne
For Microsoft Defender XDR-data kan du utføre ytterligere handlinger ved å merke av i avmerkingsboksene til venstre for hver resultatrad. Velg Koble til hendelse for å koble de valgte resultatene til en hendelse (les Koblingsspørringsresultater til en hendelse) eller Utfør handlinger for å åpne veiviseren Forefør handlinger (les Utfør handling på avanserte jaktspørringsresultater).
Kjente problemer
-
IdentityInfo table
Fra Microsoft Sentinel er ikke tilgjengelig, daIdentityInfo
tabellen forblir som den er i Defender XDR. Microsoft Sentinel har funksjoner som analyseregler som spør denne tabellen, ikke påvirkes når de spør direkte i Log Analytics-arbeidsområdet. - Microsoft Sentinel-tabellen
SecurityAlert
erstattes avAlertInfo
ogAlertEvidence
tabeller, som begge inneholder alle dataene i varsler. Selv om SecurityAlert ikke er tilgjengelig i skjemafanen, kan du fortsatt bruke den i spørringer ved hjelp av redigeringsprogrammet for avansert jakt. Denne bestemmelsen gjøres for ikke å bryte eksisterende spørringer fra Microsoft Sentinel som bruker denne tabellen. - Veiledet jaktmodus, koblinger til hendelser og handlinger støttes bare for Defender XDR-data.
- Egendefinerte gjenkjenninger har følgende begrensninger:
- Egendefinerte gjenkjenninger er ikke tilgjengelige for KQL-spørringer som ikke inkluderer Defender XDR-data.
- Frekvens for nesten sanntidsregistrering er ikke tilgjengelig for oppdagelser som inkluderer Microsoft Sentinel-data.
- Egendefinerte funksjoner som ble opprettet og lagret i Microsoft Sentinel, støttes ikke.
- Definering av enheter fra Sentinel-data støttes ennå ikke i egendefinerte gjenkjenninger.
- Bokmerker støttes ikke i avansert jakt. De støttes i microsoft Sentinel > Threat management > Hunting-funksjonen .
- Hvis du strømmer Defender XDR-tabeller til Log Analytics, kan det være en forskjell mellom kolonnene
Timestamp
ogTimeGenerated
kolonnene. I tilfelle dataene kommer til Log Analytics etter 48 timer, overstyres de ved inntak tilnow()
. For å få den faktiske tiden hendelsen skjedde, anbefaler vi derfor atTimestamp
du bruker kolonnen. - Når du spør Copilot om sikkerhet for avanserte jaktspørringer, kan det hende at ikke alle Microsoft Sentinel-tabeller støttes for øyeblikket. Støtte for disse tabellene kan imidlertid forventes i fremtiden.