Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
Zaawansowane wyszukiwanie zagrożeń w ujednoliconym portalu umożliwia wyświetlanie i wykonywanie zapytań o wszystkie dane z usługi Microsoft Defender XDR. Obejmuje to dane z różnych usług zabezpieczeń firmy Microsoft i usługi Microsoft Sentinel, które obejmują dane z produktów innych niż Microsoft, na jednej platformie. Możesz również uzyskać dostęp do całej istniejącej zawartości obszaru roboczego usługi Microsoft Sentinel i korzystać z niej, w tym zapytań i funkcji.
Wykonywanie zapytań z jednego portalu w różnych zestawach danych sprawia, że wyszukiwanie zagrożeń jest bardziej wydajne i eliminuje potrzebę przełączania kontekstu.
Ważna
Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Jak uzyskać dostęp
Wymagane role i uprawnienia
Aby wykonywać zapytania dotyczące danych usługi Microsoft Sentinel i Microsoft Defender XDR na ujednoliconej zaawansowanej stronie wyszukiwania zagrożeń, musisz mieć dostęp do zaawansowanego wyszukiwania zagrożeń XDR w usłudze Microsoft Defender (zobacz Wymagane role i uprawnienia) i co najmniej do czytelnika usługi Microsoft Sentinel (zobacz Role specyficzne dla usługi Microsoft Sentinel).
W ujednoliconym portalu możesz wykonywać zapytania dotyczące wszystkich danych w dowolnym obciążeniu, do którego obecnie można uzyskać dostęp na podstawie posiadanych ról i uprawnień.
Łączenie obszaru roboczego
W usłudze Microsoft Defender możesz połączyć obszary robocze, wybierając pozycję Połącz obszar roboczy na górnym banerze. Ten przycisk jest wyświetlany, jeśli masz uprawnienia do dołączenia obszaru roboczego usługi Microsoft Sentinel do ujednoliconego portalu usługi Microsoft Defender. Wykonaj kroki opisane w temacie: Dołączanie obszaru roboczego.
Po połączeniu obszaru roboczego usługi Microsoft Sentinel i zaawansowanych danych wyszukiwania zagrożeń w usłudze Microsoft Defender XDR możesz rozpocząć wykonywanie zapytań dotyczących danych usługi Microsoft Sentinel na stronie zaawansowanego wyszukiwania zagrożeń. Aby zapoznać się z omówieniem zaawansowanych funkcji wyszukiwania zagrożeń, przeczytaj Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń.
Czego można oczekiwać w przypadku tabel XDR usługi Defender przesyłanych strumieniowo do usługi Microsoft Sentinel
- Używanie tabel z dłuższym okresem przechowywania danych w zapytaniach — zaawansowane wyszukiwanie zagrożeń jest zgodne z maksymalnym okresem przechowywania danych skonfigurowanym dla tabel XDR usługi Defender (zobacz Omówienie limitów przydziału). Jeśli przesyłasz strumieniowo tabele XDR usługi Defender do usługi Microsoft Sentinel i masz okres przechowywania danych dłuższy niż 30 dni dla wspomnianych tabel, możesz wykonać zapytanie o dłuższy okres zaawansowanego wyszukiwania zagrożeń.
- Używaj operatorów Kusto używanych w usłudze Microsoft Sentinel — ogólnie zapytania z usługi Microsoft Sentinel działają w zaawansowanym wyszukiwaniu zagrożeń, w tym zapytaniach korzystających z
adx()
operatora. Mogą wystąpić przypadki, w których funkcja IntelliSense ostrzega, że operatory w zapytaniu nie są zgodne ze schematem, jednak nadal można uruchomić zapytanie i nadal powinno zostać wykonane pomyślnie. - Użyj listy rozwijanej filtru czasu, zamiast ustawiać przedział czasu w zapytaniu — jeśli filtrujesz pozyskiwanie tabel XDR usługi Defender do usługi Sentinel zamiast przesyłać strumieniowo tabele w takim stanie, w jakim jest, nie filtruj czasu w zapytaniu, ponieważ może to generować niekompletne wyniki. Jeśli ustawisz czas w zapytaniu, przesyłane strumieniowo, filtrowane dane z usługi Sentinel są używane, ponieważ zwykle mają dłuższy okres przechowywania danych. Jeśli chcesz się upewnić, że wykonujesz zapytania dotyczące wszystkich danych usługi Defender XDR przez maksymalnie 30 dni, zamiast tego użyj listy rozwijanej filtru czasu udostępnionej w edytorze zapytań.
- Wyświetlanie
SourceSystem
iMachineGroup
kolumny danych XDR usługi Defender przesyłanych strumieniowo z usługi Microsoft Sentinel — ponieważ kolumnySourceSystem
iMachineGroup
są dodawane do tabel XDR usługi Defender po ich przesyłaniu strumieniowo do usługi Microsoft Sentinel, pojawiają się one również w wynikach zaawansowanego wyszukiwania zagrożeń w usłudze Defender. Pozostają one jednak puste dla tabel XDR usługi Defender, które nie były przesyłane strumieniowo (tabele zgodne z domyślnym 30-dniowym okresem przechowywania danych).
Uwaga
Korzystanie z ujednoliconego portalu, w którym można wykonywać zapytania dotyczące danych usługi Microsoft Sentinel po nawiązaniu połączenia z obszarem roboczym usługi Microsoft Sentinel, nie oznacza automatycznie, że możesz również wykonywać zapytania dotyczące danych XDR usługi Defender w usłudze Microsoft Sentinel. Aby tak się stało, należy skonfigurować pierwotne pozyskiwanie danych usługi Defender XDR w usłudze Microsoft Sentinel.
Gdzie znaleźć dane usługi Microsoft Sentinel
Możesz użyć zaawansowanych zapytań KQL (Kusto Query Language) do wyszukiwania zapytań za pośrednictwem danych XDR usługi Microsoft Defender i usługi Microsoft Sentinel.
Po pierwszym otwarciu zaawansowanej strony wyszukiwania zagrożeń po nawiązaniu połączenia z obszarem roboczym można znaleźć wiele tabel tego obszaru roboczego uporządkowanych według rozwiązania po tabelach XDR usługi Microsoft Defender na karcie Schemat .
Podobnie funkcje można znaleźć w usłudze Microsoft Sentinel na karcie Funkcje , a udostępnione i przykładowe zapytania z usługi Microsoft Sentinel można znaleźć na karcie Zapytania wewnątrz folderów oznaczonych jako Sentinel.
Wyświetlanie informacji o schemacie
Aby dowiedzieć się więcej na temat tabeli schematu, wybierz wielokropek pionowy ( ) po prawej stronie dowolnej nazwy tabeli schematu na karcie Schemat , a następnie wybierz pozycję Wyświetl schemat.
Oprócz wyświetlania nazw i opisów kolumn schematu w ujednoliconym portalu można również wyświetlić następujące elementy:
- Przykładowe dane — wybierz pozycję Zobacz dane w wersji zapoznawczej, która ładuje proste zapytanie, takie jak
TableName | take 5
- Typ schematu — czy tabela obsługuje pełne możliwości zapytań (tabela zaawansowana), czy nie (tabela dzienników podstawowych)
- Okres przechowywania danych — czas przechowywania danych
- Tagi — dostępne dla tabel danych usługi Sentinel
Korzystanie z funkcji
Aby użyć funkcji z usługi Microsoft Sentinel, przejdź do karty Funkcje i przewiń do momentu znalezienia żądanej funkcji. Kliknij dwukrotnie nazwę funkcji, aby wstawić funkcję w edytorze zapytań.
Możesz również wybrać wielokropek pionowy ( ) po prawej stronie funkcji i wybrać pozycję Wstaw, aby wykonać zapytanie , aby wstawić funkcję do zapytania w edytorze zapytań.
Inne opcje obejmują:
- Wyświetl szczegóły — otwiera okienko po stronie funkcji zawierające jego szczegóły
- Ładowanie kodu funkcji — otwiera nową kartę zawierającą kod funkcji
W przypadku funkcji edytowalnych po wybraniu wielokropka pionowego dostępnych jest więcej opcji:
- Edytowanie szczegółów — otwiera okienko po stronie funkcji, aby umożliwić edytowanie szczegółów funkcji (z wyjątkiem nazw folderów funkcji usługi Sentinel)
- Usuń — usuwa funkcję
Używanie zapisanych zapytań
Aby użyć zapisanego zapytania z usługi Microsoft Sentinel, przejdź do karty Zapytania i przewiń do momentu znalezienia żądanego zapytania. Kliknij dwukrotnie nazwę zapytania, aby załadować zapytanie w edytorze zapytań. Aby uzyskać więcej opcji, wybierz wielokropek pionowy ( ) po prawej stronie zapytania. W tym miejscu można wykonać następujące akcje:
Uruchamianie zapytania — ładuje zapytanie w edytorze zapytań i uruchamia je automatycznie
Otwórz w edytorze zapytań — ładuje zapytanie w edytorze zapytań
Wyświetl szczegóły — otwiera okienko po stronie szczegółów zapytania, w którym można sprawdzić zapytanie, uruchomić zapytanie lub otworzyć zapytanie w edytorze
W przypadku zapytań edytowalnych dostępnych jest więcej opcji:
- Edytuj szczegóły — otwiera okienko po stronie szczegółów zapytania z opcją edycji szczegółów, takich jak opis (jeśli ma zastosowanie) i samo zapytanie; nie można edytować tylko nazw folderów (lokalizacji) zapytań usługi Microsoft Sentinel
- Usuń — usuwa zapytanie
- Zmiana nazwy — umożliwia modyfikowanie nazwy zapytania
Tworzenie niestandardowych reguł analizy i wykrywania
Aby ułatwić wykrywanie zagrożeń i nietypowych zachowań w środowisku, możesz utworzyć niestandardowe zasady wykrywania.
W przypadku reguł analizy, które mają zastosowanie do danych pozyskiwanych za pośrednictwem połączonego obszaru roboczego usługi Microsoft Sentinel, wybierz pozycję Zarządzaj regułami > Utwórz regułę analizy.
Zostanie wyświetlony kreator reguł analizy . Wypełnij wymagane szczegóły zgodnie z opisem w kreatorze reguł analizy — karta Ogólne.
Można również utworzyć niestandardowe reguły wykrywania, które wysyłają zapytania o dane z tabel Microsoft Sentinel i Defender XDR. Wybierz pozycję Zarządzaj regułami > Utwórz wykrywanie niestandardowe. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi .
Jeśli dane usługi Defender XDR są pozyskiwane do usługi Microsoft Sentinel, możesz wybrać opcję między tworzeniem wykrywania niestandardowego a tworzeniem reguły analizy.
Eksplorowanie wyników
Wyniki uruchomionych zapytań są wyświetlane na karcie Wyniki . Wyniki można wyeksportować do pliku CSV, wybierając pozycję Eksportuj.
Możesz również zapoznać się z wynikami w wierszu, korzystając z następujących funkcji:
- Rozwiń wynik, wybierając strzałkę listy rozwijanej po lewej stronie każdego wyniku
- W stosownych przypadkach rozwiń szczegóły wyników w formacie JSON lub tablicy, wybierając strzałkę listy rozwijanej po lewej stronie odpowiedniego wiersza wyników w celu zwiększenia czytelności
- Otwórz okienko boczne, aby wyświetlić szczegóły rekordu (współbieżne z rozwiniętymi wierszami)
Możesz również kliknąć prawym przyciskiem myszy dowolną wartość wyniku w wierszu, aby można było jej użyć do:
- Dodawanie większej liczby filtrów do istniejącego zapytania
- Skopiuj wartość do użycia w dalszej analizie
- Aktualizowanie zapytania w celu rozszerzenia pola JSON na nową kolumnę
W przypadku danych XDR usługi Microsoft Defender możesz podjąć dalsze działania, zaznaczając pola wyboru po lewej stronie każdego wiersza wyników. Wybierz pozycję Połącz z incydentem , aby połączyć wybrane wyniki ze zdarzeniem (przeczytaj link wyniki zapytania do zdarzenia) lub Wykonaj akcje , aby otworzyć kreatora akcji Take (Wykonaj akcję w przypadku zaawansowanych wyników zapytania wyszukiwania zagrożeń).
Znane problemy
- Element
IdentityInfo table
z usługi Microsoft Sentinel nie jest dostępny, ponieważIdentityInfo
tabela pozostaje taka, jak w usłudze Defender XDR. Funkcje usługi Microsoft Sentinel, takie jak reguły analizy, które wysyłają zapytania do tej tabeli, nie mają wpływu, ponieważ bezpośrednio wysyłają zapytania do obszaru roboczego usługi Log Analytics. - Tabela usługi Microsoft Sentinel
SecurityAlert
jest zastępowana przezAlertInfo
tabele iAlertEvidence
, które zawierają wszystkie dane dotyczące alertów. Chociaż usługa SecurityAlert nie jest dostępna na karcie schematu, nadal można jej używać w zapytaniach przy użyciu zaawansowanego edytora wyszukiwania zagrożeń. Ten aprowizacja jest wykonywana tak, aby nie przerywać istniejących zapytań z usługi Microsoft Sentinel korzystających z tej tabeli. - Tryb wyszukiwania zagrożeń z przewodnikiem, linki do zdarzeń i możliwości podejmowania akcji są obsługiwane tylko w przypadku danych XDR usługi Defender.
- Wykrywanie niestandardowe ma następujące ograniczenia:
- Wykrywanie niestandardowe nie jest dostępne dla zapytań KQL, które nie zawierają danych XDR usługi Defender.
- Częstotliwość wykrywania niemal w czasie rzeczywistym nie jest dostępna w przypadku wykrywania, które obejmuje dane usługi Microsoft Sentinel.
- Funkcje niestandardowe, które zostały utworzone i zapisane w usłudze Microsoft Sentinel, nie są obsługiwane.
- Definiowanie jednostek na podstawie danych usługi Sentinel nie jest jeszcze obsługiwane w przypadku wykrywania niestandardowego.
- Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń. Są one obsługiwane w funkcji wyszukiwania zagrożeń > w usłudze Microsoft Sentinel>.
- Jeśli przesyłasz strumieniowo tabele XDR usługi Defender do usługi Log Analytics, może istnieć różnica między kolumnami
Timestamp
iTimeGenerated
. W przypadku, gdy dane zostaną dostarczone do usługi Log Analytics po 48 godzinach, są zastępowane po pozyskaniu donow()
usługi . W związku z tym, aby uzyskać rzeczywisty czas wystąpienia zdarzenia, zalecamy poleganie na kolumnieTimestamp
. - Podczas monitowania programu Copilot for Security o zaawansowane zapytania dotyczące wyszukiwania zagrożeń może się okazać, że nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane. Jednak w przyszłości można oczekiwać obsługi tych tabel.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla