Geavanceerde opsporingsquery's migreren vanuit Microsoft Defender voor Eindpunt
Opmerking
Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en piloten.
Van toepassing op:
- Microsoft 365 Defender
Verplaats uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt om proactief op bedreigingen te zoeken met behulp van een bredere set gegevens. In Microsoft 365 Defender krijgt u toegang tot gegevens van andere Microsoft 365-beveiligingsoplossingen, waaronder:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Opmerking
De meeste Microsoft Defender voor Eindpunt klanten kunnen Microsoft 365 Defender gebruiken zonder extra licenties. Schakel Microsoft 365 Defender in om uw geavanceerde opsporingswerkstromen van Defender voor Eindpunt over te zetten.
U kunt overstappen zonder dat dit van invloed is op uw bestaande Defender for Endpoint-werkstromen. Opgeslagen query's blijven intact en aangepaste detectieregels blijven actief en genereren waarschuwingen. Ze zijn echter zichtbaar in Microsoft 365 Defender.
Alleen schematabellen in Microsoft 365 Defender
Het Microsoft 365 Defender geavanceerde opsporingsschema biedt aanvullende tabellen met gegevens uit verschillende Microsoft 365-beveiligingsoplossingen. De volgende tabellen zijn alleen beschikbaar in Microsoft 365 Defender:
| Tabelnaam | Beschrijving |
|---|---|
| AlertEvidence | Bestanden, IP-adressen, URL's, gebruikers of apparaten die zijn gekoppeld aan waarschuwingen |
| AlertInfo | Waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity, inclusief ernstgegevens en bedreigingscategorieën |
| EmailAttachmentInfo | Informatie over bestanden die zijn gekoppeld aan e-mailberichten |
| EmailEvents | Microsoft 365-e-mailevenementen, waaronder e-mailbezorging en blokkeringsevenementen |
| EmailPostDeliveryEvents | Beveiligingsgebeurtenissen die plaatsvinden na de bezorging, nadat Microsoft 365 de e-mailberichten heeft bezorgd bij het postvak van de geadresseerde |
| EmailUrlInfo | Informatie over URL's in e-mailberichten |
| IdentityDirectoryEvents | Gebeurtenissen waarbij een on-premises domeincontroller met Active Directory (AD) wordt uitgevoerd. Deze tabel bevat een reeks identiteitsgerelateerde gebeurtenissen en systeemgebeurtenissen op de domeincontroller. |
| IdentityInfo | Accountgegevens uit verschillende bronnen, waaronder Azure Active Directory |
| IdentityLogonEvents | Verificatie-gebeurtenissen in Active Directory en Microsoft onlineservices |
| IdentityQueryEvents | Query's voor Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen |
Belangrijk
Query's en aangepaste detecties die gebruikmaken van schematabellen die alleen beschikbaar zijn in Microsoft 365 Defender kunnen alleen worden weergegeven in Microsoft 365 Defender.
Tabel DeviceAlertEvents toewijzen
De AlertInfo tabellen en AlertEvidence vervangen de DeviceAlertEvents tabel in het Microsoft Defender voor Eindpunt-schema. Naast gegevens over apparaatwaarschuwingen bevatten deze twee tabellen gegevens over waarschuwingen voor identiteiten, apps en e-mailberichten.
Gebruik de volgende tabel om te controleren hoe DeviceAlertEvents kolommen worden toegewezen aan kolommen in de AlertInfo tabellen en AlertEvidence .
Tip
Naast de kolommen in de volgende tabel bevat de AlertEvidence tabel nog veel meer kolommen die een meer holistisch beeld bieden van waarschuwingen uit verschillende bronnen. Alle AlertEvidence-kolommen weergeven
| Kolom DeviceAlertEvents | Waar vind ik dezelfde gegevens in Microsoft 365 Defender |
|---|---|
AlertId |
AlertInfo en AlertEvidence tabellen |
Timestamp |
AlertInfo en AlertEvidence tabellen |
DeviceId |
AlertEvidence Tabel |
DeviceName |
AlertEvidence Tabel |
Severity |
AlertInfo Tabel |
Category |
AlertInfo Tabel |
Title |
AlertInfo Tabel |
FileName |
AlertEvidence Tabel |
SHA1 |
AlertEvidence Tabel |
RemoteUrl |
AlertEvidence Tabel |
RemoteIP |
AlertEvidence Tabel |
AttackTechniques |
AlertInfo Tabel |
ReportId |
Deze kolom wordt meestal gebruikt in Microsoft Defender voor Eindpunt om gerelateerde records in andere tabellen te zoeken. In Microsoft 365 Defender kunt u gerelateerde gegevens rechtstreeks uit de AlertEvidence tabel ophalen. |
Table |
Deze kolom wordt meestal gebruikt in Microsoft Defender voor Eindpunt voor aanvullende gebeurtenisgegevens in andere tabellen. In Microsoft 365 Defender kunt u gerelateerde gegevens rechtstreeks uit de AlertEvidence tabel ophalen. |
Bestaande Microsoft Defender voor Eindpunt-query's aanpassen
Microsoft Defender voor Eindpunt query's werken ongewijzigd, tenzij ze naar de DeviceAlertEvents tabel verwijzen. Als u deze query's in Microsoft 365 Defender wilt gebruiken, past u de volgende wijzigingen toe:
- Vervang door
DeviceAlertEventsAlertInfo. - Voeg de
AlertInfoen deAlertEvidencetabellen toe aanAlertIdom equivalente gegevens op te halen.
Oorspronkelijke query
De volgende query gebruikt DeviceAlertEvents in Microsoft Defender voor Eindpunt om de waarschuwingen op te halen die betrekking hebben oppowershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Gewijzigde query
De volgende query is aangepast voor gebruik in Microsoft 365 Defender. In plaats van de bestandsnaam rechtstreeks vanuit DeviceAlertEventste controleren, wordt de bestandsnaam toegevoegd AlertEvidence en gecontroleerd op de bestandsnaam in die tabel.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Aangepaste detectieregels migreren
Wanneer Microsoft Defender voor Eindpunt regels worden bewerkt op Microsoft 365 Defender, blijven ze werken zoals voorheen als de resulterende query alleen naar apparaattabellen kijkt.
Waarschuwingen die worden gegenereerd door aangepaste detectieregels die alleen apparaattabellen opvragen, worden bijvoorbeeld nog steeds bezorgd bij uw SIEM en genereren e-mailmeldingen, afhankelijk van hoe u deze hebt geconfigureerd in Microsoft Defender voor Eindpunt. Bestaande onderdrukkingsregels in Defender voor Eindpunt blijven ook van toepassing.
Zodra u een Defender voor Eindpunt-regel bewerkt, zodat deze identiteits- en e-mailtabellen opvraagt, die alleen beschikbaar zijn in Microsoft 365 Defender, wordt de regel automatisch verplaatst naar Microsoft 365 Defender.
Waarschuwingen gegenereerd door de gemigreerde regel:
- Zijn niet meer zichtbaar in de Defender for Endpoint-portal (Microsoft Defender-beveiligingscentrum)
- Niet meer worden bezorgd bij uw SIEM of e-mailmeldingen genereren. Als u deze wijziging wilt omzeilen, configureert u meldingen via Microsoft 365 Defender om de waarschuwingen op te halen. U kunt de Microsoft 365 Defender-API gebruiken om meldingen te ontvangen voor detectiewaarschuwingen van klanten of gerelateerde incidenten.
- Wordt niet onderdrukt door Microsoft Defender voor Eindpunt onderdrukkingsregels. Als u wilt voorkomen dat waarschuwingen worden gegenereerd voor bepaalde gebruikers, apparaten of postvakken, wijzigt u de bijbehorende query's om deze entiteiten expliciet uit te sluiten.
Als u een regel op deze manier bewerkt, wordt u om bevestiging gevraagd voordat dergelijke wijzigingen worden toegepast.
Nieuwe waarschuwingen die worden gegenereerd door aangepaste detectieregels in Microsoft 365 Defender, worden weergegeven op een waarschuwingspagina met de volgende informatie:
- Titel en beschrijving van waarschuwing
- Beïnvloede assets
- Acties die zijn uitgevoerd als reactie op de waarschuwing
- Queryresultaten die de waarschuwing hebben geactiveerd
- Informatie over de aangepaste detectieregel
Query's schrijven zonder DeviceAlertEvents
In het Microsoft 365 Defender-schema zijn de AlertInfo tabellen en AlertEvidence beschikbaar voor de diverse set informatie die bij waarschuwingen van verschillende bronnen hoort.
Als u dezelfde waarschuwingsgegevens wilt ophalen die u hebt gebruikt om uit de DeviceAlertEvents tabel in het Microsoft Defender voor Eindpunt-schema op te halen, filtert u de AlertInfo tabel ServiceSource op en voegt u vervolgens elke unieke id toe aan de AlertEvidence tabel, die gedetailleerde gebeurtenis- en entiteitsgegevens bevat.
Zie de onderstaande voorbeeldquery:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Deze query levert veel meer kolommen op dan DeviceAlertEvents in het Microsoft Defender voor Eindpunt schema. Als u de resultaten beheersbaar wilt houden, gebruikt project u om alleen de kolommen op te halen waarin u geïnteresseerd bent. In het onderstaande voorbeeld ziet u kolommen waarin u mogelijk geïnteresseerd bent wanneer tijdens het onderzoek PowerShell-activiteit is gedetecteerd:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Als u wilt filteren op specifieke entiteiten die betrokken zijn bij de waarschuwingen, kunt u dit doen door het entiteitstype in EntityType en de waarde op te geven waarop u wilt filteren. In het volgende voorbeeld wordt gezocht naar een specifiek IP-adres:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
Zie ook
- Microsoft 365 Defender inschakelen
- Overzicht van geavanceerd opsporen
- Meer informatie over het schema
- Geavanceerde opsporing in Microsoft Defender voor Eindpunt
Tip
Wilt u meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft 365 Defender Tech Community.