Del via


Avansert jakt i Microsoft Defender-portalen

Avansert jakt i den enhetlige portalen lar deg vise og spørre etter alle data fra Microsoft Defender XDR. Dette inkluderer data fra ulike Microsoft-sikkerhetstjenester og Microsoft Sentinel, som inkluderer data fra ikke-Microsoft-produkter, på én enkelt plattform. Du kan også få tilgang til og bruke alt eksisterende innhold i Microsoft Sentinel-arbeidsområdet, inkludert spørringer og funksjoner.

Spørring fra én enkelt portal på tvers av ulike datasett gjør jakt mer effektivt og fjerner behovet for kontekstbytte.

Viktig

Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Slik får du tilgang til

Obligatoriske roller og tillatelser

Du kan spørre etter data i en hvilken som helst arbeidsbelastning som du for øyeblikket har tilgang til, basert på rollene og tillatelsene dine.

Hvis du vil spørre på tvers av Microsoft Sentinel- og Microsoft Defender XDR-data på den enhetlige avanserte jaktsiden, trenger du i det minste Rollen Microsoft Sentinel Reader. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel-spesifikke roller.

Koble til et arbeidsområde

I Microsoft Defender kan du koble til arbeidsområder ved å velge Koble til et arbeidsområde i det øverste banneret. Denne knappen vises hvis du er kvalifisert for å sette inn et Microsoft Sentinel-arbeidsområde i den enhetlige Microsoft Defender-portalen. Følg fremgangsmåten i: Pålasting av et arbeidsområde.

Når du har koblet til Microsoft Sentinel-arbeidsområdet og avanserte jaktdata for Microsoft Defender XDR, kan du begynne å spørre Microsoft Sentinel-data fra den avanserte jaktsiden. For en oversikt over avanserte jaktfunksjoner, les Proaktivt jakten på trusler med avansert jakt.

Hva du kan forvente for Defender XDR-tabeller strømmet til Microsoft Sentinel

  • Bruk tabeller med lengre dataoppbevaringsperiode i spørringer – Avansert jakt følger den maksimale dataoppbevaringsperioden som er konfigurert for Defender XDR-tabellene (se Forstå kvoter). Hvis du strømmer Defender XDR-tabeller til Microsoft Sentinel og har en dataoppbevaringsperiode som er lengre enn 30 dager for nevnte tabeller, kan du spørre etter den lengre perioden i avansert jakt.
  • Bruk Kusto-operatorer du har brukt i Microsoft Sentinel – generelt sett arbeider spørringer fra Microsoft Sentinel i avansert jakt, inkludert spørringer som bruker operatoren adx() . Det kan være tilfeller der IntelliSense advarer deg om at operatorene i spørringen ikke samsvarer med skjemaet, men du kan fortsatt kjøre spørringen og at den fortsatt skal kjøres.
  • Bruk rullegardinlisten for tidsfilter i stedet for å angi tidsperioden i spørringen . Hvis du filtrerer inntak av Defender XDR-tabeller til Sentinel i stedet for å strømme tabellene som den er, må du ikke filtrere tiden i spørringen, da dette kan generere ufullstendige resultater. Hvis du angir klokkeslettet i spørringen, brukes de strømmede, filtrerte dataene fra Sentinel fordi de vanligvis har lengre dataoppbevaringsperiode. Hvis du vil forsikre deg om at du spør etter alle Defender XDR-data i opptil 30 dager, bruker du rullegardinlisten for tidsfilter som er angitt i redigeringsprogrammet for spørring i stedet.
  • Visning SourceSystem og MachineGroup kolonner for Defender XDR-data som er strømmet fra Microsoft Sentinel – Siden kolonnene og MachineGroup legges SourceSystem til i Defender XDR-tabeller når de strømmes til Microsoft Sentinel, vises de også i resultater i avansert jakt i Defender. De forblir imidlertid tomme for Defender XDR-tabeller som ikke ble strømmet (tabeller som følger standard 30-dagers dataoppbevaringsperiode).

Obs!

Hvis du bruker den enhetlige portalen, der du kan spørre Microsoft Sentinel-data etter å ha koblet til et Microsoft Sentinel-arbeidsområde, betyr det ikke automatisk at du også kan spørre Defender XDR-data mens du er i Microsoft Sentinel. Rådatainntak av Defender XDR bør fremdeles konfigureres i Microsoft Sentinel for at dette skal skje.

Her finner du Microsoft Sentinel-dataene dine

Du kan bruke KQL-spørringer (Kusto Query Language) til å lete gjennom Microsoft Defender XDR- og Microsoft Sentinel-data.

Når du åpner siden for avansert jakt for første gang etter at du har koblet til et arbeidsområde, kan du finne mange av tabellene i arbeidsområdet organisert etter løsning etter Microsoft Defender XDR-tabellene under Skjema-fanen .

Skjermbilde av avansert skjemafane for jakt i Microsoft Defender-portalen som uthever plasseringen til Sentinel-tabeller

Likeledes kan du finne funksjonene fra Microsoft Sentinel i Funksjoner-fanen, og de delte spørringene og eksempelspørringene fra Microsoft Sentinel finner du i Spørringer-fanen i mapper merket Sentinel.

Vis skjemainformasjon

Hvis du vil lære mer om en skjematabell, velger du de loddrette ellipsene (kebabikonet ) til høyre for et skjematabellnavn under skjemafanen , og deretter velger du Vis skjema.

I den enhetlige portalen, i tillegg til å vise skjemakolonnenavnene og -beskrivelsene, kan du også vise:

  • Eksempeldata – velg Se forhåndsvisningsdata, som laster inn en enkel spørring som TableName | take 5
  • Skjematype – om tabellen støtter fullstendige spørringsfunksjoner (avansert tabell) eller ikke (grunnleggende loggtabell)
  • Dataoppbevaringsperiode – hvor lenge dataene er satt til å beholdes
  • Koder – tilgjengelig for Sentinel-datatabeller

Skjermbilde av skjemainformasjonsruten i Microsoft Defender-portalen

Bruke funksjoner

Hvis du vil bruke en funksjon fra Microsoft Sentinel, går du til Funksjoner-fanen og blar til du finner funksjonen du vil bruke. Dobbeltklikk funksjonsnavnet for å sette inn funksjonen i redigeringsprogrammet for spørring.

Du kan også velge de loddrette ellipsene ( kebabikonet ) til høyre for funksjonen og velge Sett inn i spørring for å sette inn funksjonen i en spørring i redigeringsprogrammet for spørring.

Andre alternativer inkluderer:

  • Vis detaljer – åpner funksjonssideruten som inneholder detaljene
  • Kode for innlastingsfunksjon – åpner en ny fane som inneholder funksjonskoden

For redigerbare funksjoner er flere alternativer tilgjengelige når du velger de loddrette ellipsene:

  • Rediger detaljer – åpner funksjonssideruten slik at du kan redigere detaljer om funksjonen (unntatt mappenavn for Sentinel-funksjoner)
  • Slett – sletter funksjonen

Bruke lagrede spørringer

Hvis du vil bruke en lagret spørring fra Microsoft Sentinel, går du til Spørringer-fanen og blar til du finner spørringen du vil bruke. Dobbeltklikk spørringsnavnet for å laste inn spørringen i redigeringsprogrammet for spørring. Hvis du vil ha flere alternativer, velger du de loddrette ellipsene ( kebabikonet ) til høyre for spørringen. Herfra kan du utføre følgende handlinger:

  • Kjør spørring – laster inn spørringen i redigeringsprogrammet for spørring og kjører den automatisk

  • Åpne i redigeringsprogrammet for spørring – laster inn spørringen i redigeringsprogrammet for spørring

  • Vis detaljer – åpner sideruten for spørringsdetaljer der du kan undersøke spørringen, kjøre spørringen eller åpne spørringen i redigeringsprogrammet

    Skjermbilde av alternativene som er tilgjengelige i lagrede spørringer i Microsoft Defender-portalen

For redigerbare spørringer er flere alternativer tilgjengelige:

  • Rediger detaljer – åpner sideruten for spørringsdetaljer med alternativet for å redigere detaljer som beskrivelse (hvis aktuelt) og selve spørringen. bare mappenavnene (plasseringen) til Microsoft Sentinel-spørringer kan ikke redigeres
  • Slett – sletter spørringen
  • Gi nytt navn – lar deg endre navnet på spørringen

Opprett egendefinerte analyse- og gjenkjenningsregler

Du kan opprette egendefinerte gjenkjenningspolicyer for å oppdage trusler og avvikende virkemåter i miljøet ditt.

For analyseregler som gjelder for data som tas inn gjennom det tilkoblede Microsoft Sentinel-arbeidsområdet, velger du Administrer regler > Opprett analyseregel.

Skjermbilde av alternativene for å opprette egendefinerte analyser eller gjenkjenninger i Microsoft Defender-portalen

Veiviseren for analyseregel vises. Fyll opp de nødvendige detaljene som beskrevet i analyseregelveiviseren – Generelt-fanen.

Du kan også opprette egendefinerte gjenkjenningsregler som spør etter data fra både Microsoft Sentinel- og Defender XDR-tabeller. Velg Behandle regler > Opprett egendefinert gjenkjenning. Les Opprett og administrer egendefinerte gjenkjenningsregler for mer informasjon.

Hvis Defender XDR-dataene inntas i Microsoft Sentinel, har du muligheten til å velge mellom Opprett egendefinert gjenkjenning og Opprett analyseregel.

Utforsk resultater

Resultatene av spørringer som ble kjørt, vises på Resultater-fanen . Du kan eksportere resultatene til en CSV-fil ved å velge Eksporter.

Skjermbilde av avanserte jaktresultater med alternativer for å utvide resultatrader i Microsoft Defender-portalen

Du kan også utforske resultatene på linje med følgende funksjoner:

  • Utvid et resultat ved å velge rullegardinpilen til venstre for hvert resultat
  • Der det er aktuelt, utvider du detaljer for resultater som er i JSON- eller matriseformat, ved å velge rullegardinpilen til venstre for gjeldende resultatrad for ekstra lesbarhet
  • Åpne sideruten for å se detaljer om en post (samtidig med utvidede rader)

Du kan også høyreklikke på en resultatverdi i en rad, slik at du kan bruke den til å:

  • Legge til flere filtre i den eksisterende spørringen
  • Kopier verdien for bruk i videre undersøkelser
  • Oppdatere spørringen for å utvide et JSON-felt til en ny kolonne

For Microsoft Defender XDR-data kan du utføre ytterligere handlinger ved å merke av i avmerkingsboksene til venstre for hver resultatrad. Velg Koble til hendelse for å koble de valgte resultatene til en hendelse (les Koblingsspørringsresultater til en hendelse) eller Utfør handlinger for å åpne veiviseren Forefør handlinger (les Utfør handling på avanserte jaktspørringsresultater).

Kjente problemer

  • IdentityInfo table Fra Microsoft Sentinel er ikke tilgjengelig, da IdentityInfo tabellen forblir som den er i Defender XDR. Microsoft Sentinel har funksjoner som analyseregler som spør denne tabellen, ikke påvirkes når de spør direkte i Log Analytics-arbeidsområdet.
  • Microsoft Sentinel-tabellen SecurityAlert erstattes av AlertInfo og AlertEvidence tabeller, som begge inneholder alle dataene i varsler. Selv om SecurityAlert ikke er tilgjengelig i skjemafanen, kan du fortsatt bruke den i spørringer ved hjelp av redigeringsprogrammet for avansert jakt. Denne bestemmelsen gjøres for ikke å bryte eksisterende spørringer fra Microsoft Sentinel som bruker denne tabellen.
  • Veiledet jaktmodus, koblinger til hendelser og handlinger støttes bare for Defender XDR-data.
  • Egendefinerte gjenkjenninger har følgende begrensninger:
    • Egendefinerte gjenkjenninger er ikke tilgjengelige for KQL-spørringer som ikke inkluderer Defender XDR-data.
    • Frekvens for nesten sanntidsregistrering er ikke tilgjengelig for oppdagelser som inkluderer Microsoft Sentinel-data.
    • Egendefinerte funksjoner som ble opprettet og lagret i Microsoft Sentinel, støttes ikke.
    • Definering av enheter fra Sentinel-data støttes ennå ikke i egendefinerte gjenkjenninger.
  • Bokmerker støttes ikke i avansert jakt. De støttes i microsoft Sentinel > Threat management > Hunting-funksjonen .
  • Hvis du strømmer Defender XDR-tabeller til Log Analytics, kan det være en forskjell mellom kolonneneTimestamp og TimeGenerated kolonnene. I tilfelle dataene kommer til Log Analytics etter 48 timer, overstyres de ved inntak til now(). For å få den faktiske tiden hendelsen skjedde, anbefaler vi derfor at Timestamp du bruker kolonnen.
  • Når du spør Copilot om sikkerhet for avanserte jaktspørringer, kan det hende at ikke alle Microsoft Sentinel-tabeller støttes for øyeblikket. Støtte for disse tabellene kan imidlertid forventes i fremtiden.