Aangepaste opsporingsquery's maken in Microsoft Sentinel
Beveiligingsrisico's opsporen in de gegevensbronnen van uw organisatie met aangepaste opsporingsquery's. Microsoft Sentinel biedt ingebouwde opsporingsquery's waarmee u problemen kunt vinden in de gegevens die u in uw netwerk hebt. Maar u kunt uw eigen aangepaste query's maken. Zie Opsporing van bedreigingen in Microsoft Sentinel voor meer informatie over opsporingsquery's.
Een nieuwe query maken
Maak in Microsoft Sentinel een aangepaste opsporingsquery op het tabblad Opsporingsquery's>.
Voor Microsoft Sentinel in Azure Portal selecteert u Opsporing onder Bedreigingsbeheer.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Hunting.Selecteer het tabblad Query's .
Selecteer Nieuwe query in de opdrachtbalk.
Vul alle lege velden in.
Entiteitstoewijzingen maken door entiteitstypen, id's en kolommen te selecteren.
Wijs MITRE ATT&CK-technieken toe aan uw opsporingsquery's door de tactiek, techniek en subtechniek te selecteren (indien van toepassing).
Wanneer u klaar bent met het definiƫren van uw query, selecteert u Maken.
Een bestaande query klonen
Kloon een aangepaste of ingebouwde query en bewerk deze indien nodig.
Selecteer op het tabblad Opsporingsquery's>de opsporingsquery die u wilt klonen.
Selecteer het beletselteken (...) in de regel van de query die u wilt wijzigen en selecteer Klonen.
Bewerk de query en andere velden indien van toepassing.
Selecteer Maken.
Een bestaande aangepaste query bewerken
Alleen query's die uit een aangepaste inhoudsbron kunnen worden bewerkt. Andere inhoudsbronnen moeten worden bewerkt op die bron.
Selecteer op het tabblad Opsporingsquery's>de opsporingsquery die u wilt wijzigen.
Selecteer het beletselteken (...) in de regel van de query die u wilt wijzigen en selecteer Bewerken.
Werk het queryveld bij met de bijgewerkte query. U kunt ook de entiteitstoewijzing en -technieken wijzigen.
Wanneer u klaar bent, selecteert u Opslaan.