Udostępnij za pośrednictwem

Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Zaawansowane wyszukiwanie zagrożeń w ujednoliconym portalu umożliwia wyświetlanie i wykonywanie zapytań o wszystkie dane z usługi Microsoft Defender XDR. Obejmuje to dane z różnych usług zabezpieczeń firmy Microsoft i usługi Microsoft Sentinel, które obejmują dane z produktów innych niż Microsoft, na jednej platformie. Możesz również uzyskać dostęp do całej istniejącej zawartości obszaru roboczego usługi Microsoft Sentinel i korzystać z niej, w tym zapytań i funkcji.

Wykonywanie zapytań z jednego portalu w różnych zestawach danych sprawia, że wyszukiwanie zagrożeń jest bardziej wydajne i eliminuje potrzebę przełączania kontekstu.

Ważna

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Jak uzyskać dostęp

Wymagane role i uprawnienia

Aby wykonywać zapytania dotyczące danych usługi Microsoft Sentinel i Microsoft Defender XDR na ujednoliconej zaawansowanej stronie wyszukiwania zagrożeń, musisz mieć dostęp do zaawansowanego wyszukiwania zagrożeń XDR w usłudze Microsoft Defender (zobacz Wymagane role i uprawnienia) i co najmniej do czytelnika usługi Microsoft Sentinel (zobacz Role specyficzne dla usługi Microsoft Sentinel).

W ujednoliconym portalu możesz wykonywać zapytania dotyczące wszystkich danych w dowolnym obciążeniu, do którego obecnie można uzyskać dostęp na podstawie posiadanych ról i uprawnień.

Łączenie obszaru roboczego

W usłudze Microsoft Defender możesz połączyć obszary robocze, wybierając pozycję Połącz obszar roboczy na górnym banerze. Ten przycisk jest wyświetlany, jeśli masz uprawnienia do dołączenia obszaru roboczego usługi Microsoft Sentinel do ujednoliconego portalu usługi Microsoft Defender. Wykonaj kroki opisane w temacie: Dołączanie obszaru roboczego.

Po połączeniu obszaru roboczego usługi Microsoft Sentinel i zaawansowanych danych wyszukiwania zagrożeń w usłudze Microsoft Defender XDR możesz rozpocząć wykonywanie zapytań dotyczących danych usługi Microsoft Sentinel na stronie zaawansowanego wyszukiwania zagrożeń. Aby zapoznać się z omówieniem zaawansowanych funkcji wyszukiwania zagrożeń, przeczytaj Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń.

Czego można oczekiwać w przypadku tabel XDR usługi Defender przesyłanych strumieniowo do usługi Microsoft Sentinel

  • Używanie tabel z dłuższym okresem przechowywania danych w zapytaniach — zaawansowane wyszukiwanie zagrożeń jest zgodne z maksymalnym okresem przechowywania danych skonfigurowanym dla tabel XDR usługi Defender (zobacz Omówienie limitów przydziału). Jeśli przesyłasz strumieniowo tabele XDR usługi Defender do usługi Microsoft Sentinel i masz okres przechowywania danych dłuższy niż 30 dni dla wspomnianych tabel, możesz wykonać zapytanie o dłuższy okres zaawansowanego wyszukiwania zagrożeń.
  • Używaj operatorów Kusto używanych w usłudze Microsoft Sentinel — ogólnie zapytania z usługi Microsoft Sentinel działają w zaawansowanym wyszukiwaniu zagrożeń, w tym zapytaniach korzystających z adx() operatora. Mogą wystąpić przypadki, w których funkcja IntelliSense ostrzega, że operatory w zapytaniu nie są zgodne ze schematem, jednak nadal można uruchomić zapytanie i nadal powinno zostać wykonane pomyślnie.
  • Użyj listy rozwijanej filtru czasu, zamiast ustawiać przedział czasu w zapytaniu — jeśli filtrujesz pozyskiwanie tabel XDR usługi Defender do usługi Sentinel zamiast przesyłać strumieniowo tabele w takim stanie, w jakim jest, nie filtruj czasu w zapytaniu, ponieważ może to generować niekompletne wyniki. Jeśli ustawisz czas w zapytaniu, przesyłane strumieniowo, filtrowane dane z usługi Sentinel są używane, ponieważ zwykle mają dłuższy okres przechowywania danych. Jeśli chcesz się upewnić, że wykonujesz zapytania dotyczące wszystkich danych usługi Defender XDR przez maksymalnie 30 dni, zamiast tego użyj listy rozwijanej filtru czasu udostępnionej w edytorze zapytań.
  • Wyświetlanie SourceSystem i MachineGroup kolumny danych XDR usługi Defender przesyłanych strumieniowo z usługi Microsoft Sentinel — ponieważ kolumny SourceSystem i MachineGroup są dodawane do tabel XDR usługi Defender po ich przesyłaniu strumieniowo do usługi Microsoft Sentinel, pojawiają się one również w wynikach zaawansowanego wyszukiwania zagrożeń w usłudze Defender. Pozostają one jednak puste dla tabel XDR usługi Defender, które nie były przesyłane strumieniowo (tabele zgodne z domyślnym 30-dniowym okresem przechowywania danych).

Uwaga

Korzystanie z ujednoliconego portalu, w którym można wykonywać zapytania dotyczące danych usługi Microsoft Sentinel po nawiązaniu połączenia z obszarem roboczym usługi Microsoft Sentinel, nie oznacza automatycznie, że możesz również wykonywać zapytania dotyczące danych XDR usługi Defender w usłudze Microsoft Sentinel. Aby tak się stało, należy skonfigurować pierwotne pozyskiwanie danych usługi Defender XDR w usłudze Microsoft Sentinel.

Gdzie znaleźć dane usługi Microsoft Sentinel

Możesz użyć zaawansowanych zapytań KQL (Kusto Query Language) do wyszukiwania zapytań za pośrednictwem danych XDR usługi Microsoft Defender i usługi Microsoft Sentinel.

Po pierwszym otwarciu zaawansowanej strony wyszukiwania zagrożeń po nawiązaniu połączenia z obszarem roboczym można znaleźć wiele tabel tego obszaru roboczego uporządkowanych według rozwiązania po tabelach XDR usługi Microsoft Defender na karcie Schemat .

Zrzut ekranu przedstawiający kartę zaawansowanego schematu wyszukiwania zagrożeń w portalu usługi Microsoft Defender z wyróżnioną lokalizacją tabel usługi Sentinel

Podobnie funkcje można znaleźć w usłudze Microsoft Sentinel na karcie Funkcje , a udostępnione i przykładowe zapytania z usługi Microsoft Sentinel można znaleźć na karcie Zapytania wewnątrz folderów oznaczonych jako Sentinel.

Wyświetlanie informacji o schemacie

Aby dowiedzieć się więcej na temat tabeli schematu, wybierz wielokropek pionowy ( ikona kebabu ) po prawej stronie dowolnej nazwy tabeli schematu na karcie Schemat , a następnie wybierz pozycję Wyświetl schemat.

Oprócz wyświetlania nazw i opisów kolumn schematu w ujednoliconym portalu można również wyświetlić następujące elementy:

  • Przykładowe dane — wybierz pozycję Zobacz dane w wersji zapoznawczej, która ładuje proste zapytanie, takie jak TableName | take 5
  • Typ schematu — czy tabela obsługuje pełne możliwości zapytań (tabela zaawansowana), czy nie (tabela dzienników podstawowych)
  • Okres przechowywania danych — czas przechowywania danych
  • Tagi — dostępne dla tabel danych usługi Sentinel

Zrzut ekranu przedstawiający okienko informacji o schemacie w portalu usługi Microsoft Defender

Korzystanie z funkcji

Aby użyć funkcji z usługi Microsoft Sentinel, przejdź do karty Funkcje i przewiń do momentu znalezienia żądanej funkcji. Kliknij dwukrotnie nazwę funkcji, aby wstawić funkcję w edytorze zapytań.

Możesz również wybrać wielokropek pionowy ( ikona kebabu ) po prawej stronie funkcji i wybrać pozycję Wstaw, aby wykonać zapytanie , aby wstawić funkcję do zapytania w edytorze zapytań.

Inne opcje obejmują:

  • Wyświetl szczegóły — otwiera okienko po stronie funkcji zawierające jego szczegóły
  • Ładowanie kodu funkcji — otwiera nową kartę zawierającą kod funkcji

W przypadku funkcji edytowalnych po wybraniu wielokropka pionowego dostępnych jest więcej opcji:

  • Edytowanie szczegółów — otwiera okienko po stronie funkcji, aby umożliwić edytowanie szczegółów funkcji (z wyjątkiem nazw folderów funkcji usługi Sentinel)
  • Usuń — usuwa funkcję

Używanie zapisanych zapytań

Aby użyć zapisanego zapytania z usługi Microsoft Sentinel, przejdź do karty Zapytania i przewiń do momentu znalezienia żądanego zapytania. Kliknij dwukrotnie nazwę zapytania, aby załadować zapytanie w edytorze zapytań. Aby uzyskać więcej opcji, wybierz wielokropek pionowy ( ikona kebabu ) po prawej stronie zapytania. W tym miejscu można wykonać następujące akcje:

  • Uruchamianie zapytania — ładuje zapytanie w edytorze zapytań i uruchamia je automatycznie

  • Otwórz w edytorze zapytań — ładuje zapytanie w edytorze zapytań

  • Wyświetl szczegóły — otwiera okienko po stronie szczegółów zapytania, w którym można sprawdzić zapytanie, uruchomić zapytanie lub otworzyć zapytanie w edytorze

    Zrzut ekranu przedstawiający opcje dostępne w zapisanych zapytaniach w portalu usługi Microsoft Defender

W przypadku zapytań edytowalnych dostępnych jest więcej opcji:

  • Edytuj szczegóły — otwiera okienko po stronie szczegółów zapytania z opcją edycji szczegółów, takich jak opis (jeśli ma zastosowanie) i samo zapytanie; nie można edytować tylko nazw folderów (lokalizacji) zapytań usługi Microsoft Sentinel
  • Usuń — usuwa zapytanie
  • Zmiana nazwy — umożliwia modyfikowanie nazwy zapytania

Tworzenie niestandardowych reguł analizy i wykrywania

Aby ułatwić wykrywanie zagrożeń i nietypowych zachowań w środowisku, możesz utworzyć niestandardowe zasady wykrywania.

W przypadku reguł analizy, które mają zastosowanie do danych pozyskiwanych za pośrednictwem połączonego obszaru roboczego usługi Microsoft Sentinel, wybierz pozycję Zarządzaj regułami > Utwórz regułę analizy.

Zrzut ekranu przedstawiający opcje tworzenia niestandardowej analizy lub wykrywania w portalu usługi Microsoft Defender

Zostanie wyświetlony kreator reguł analizy . Wypełnij wymagane szczegóły zgodnie z opisem w kreatorze reguł analizy — karta Ogólne.

Można również utworzyć niestandardowe reguły wykrywania, które wysyłają zapytania o dane z tabel Microsoft Sentinel i Defender XDR. Wybierz pozycję Zarządzaj regułami > Utwórz wykrywanie niestandardowe. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi .

Jeśli dane usługi Defender XDR są pozyskiwane do usługi Microsoft Sentinel, możesz wybrać opcję między tworzeniem wykrywania niestandardowego a tworzeniem reguły analizy.

Eksplorowanie wyników

Wyniki uruchomionych zapytań są wyświetlane na karcie Wyniki . Wyniki można wyeksportować do pliku CSV, wybierając pozycję Eksportuj.

Zrzut ekranu przedstawiający zaawansowane wyniki wyszukiwania zagrożeń z opcjami rozszerzania wierszy wyników w portalu usługi Microsoft Defender

Możesz również zapoznać się z wynikami w wierszu, korzystając z następujących funkcji:

  • Rozwiń wynik, wybierając strzałkę listy rozwijanej po lewej stronie każdego wyniku
  • W stosownych przypadkach rozwiń szczegóły wyników w formacie JSON lub tablicy, wybierając strzałkę listy rozwijanej po lewej stronie odpowiedniego wiersza wyników w celu zwiększenia czytelności
  • Otwórz okienko boczne, aby wyświetlić szczegóły rekordu (współbieżne z rozwiniętymi wierszami)

Możesz również kliknąć prawym przyciskiem myszy dowolną wartość wyniku w wierszu, aby można było jej użyć do:

  • Dodawanie większej liczby filtrów do istniejącego zapytania
  • Skopiuj wartość do użycia w dalszej analizie
  • Aktualizowanie zapytania w celu rozszerzenia pola JSON na nową kolumnę

W przypadku danych XDR usługi Microsoft Defender możesz podjąć dalsze działania, zaznaczając pola wyboru po lewej stronie każdego wiersza wyników. Wybierz pozycję Połącz z incydentem , aby połączyć wybrane wyniki ze zdarzeniem (przeczytaj link wyniki zapytania do zdarzenia) lub Wykonaj akcje , aby otworzyć kreatora akcji Take (Wykonaj akcję w przypadku zaawansowanych wyników zapytania wyszukiwania zagrożeń).

Znane problemy

  • Element IdentityInfo table z usługi Microsoft Sentinel nie jest dostępny, ponieważ IdentityInfo tabela pozostaje taka, jak w usłudze Defender XDR. Funkcje usługi Microsoft Sentinel, takie jak reguły analizy, które wysyłają zapytania do tej tabeli, nie mają wpływu, ponieważ bezpośrednio wysyłają zapytania do obszaru roboczego usługi Log Analytics.
  • Tabela usługi Microsoft Sentinel SecurityAlert jest zastępowana przez AlertInfo tabele i AlertEvidence , które zawierają wszystkie dane dotyczące alertów. Chociaż usługa SecurityAlert nie jest dostępna na karcie schematu, nadal można jej używać w zapytaniach przy użyciu zaawansowanego edytora wyszukiwania zagrożeń. Ten aprowizacja jest wykonywana tak, aby nie przerywać istniejących zapytań z usługi Microsoft Sentinel korzystających z tej tabeli.
  • Tryb wyszukiwania zagrożeń z przewodnikiem, linki do zdarzeń i możliwości podejmowania akcji są obsługiwane tylko w przypadku danych XDR usługi Defender.
  • Wykrywanie niestandardowe ma następujące ograniczenia:
    • Wykrywanie niestandardowe nie jest dostępne dla zapytań KQL, które nie zawierają danych XDR usługi Defender.
    • Częstotliwość wykrywania niemal w czasie rzeczywistym nie jest dostępna w przypadku wykrywania, które obejmuje dane usługi Microsoft Sentinel.
    • Funkcje niestandardowe, które zostały utworzone i zapisane w usłudze Microsoft Sentinel, nie są obsługiwane.
    • Definiowanie jednostek na podstawie danych usługi Sentinel nie jest jeszcze obsługiwane w przypadku wykrywania niestandardowego.
  • Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń. Są one obsługiwane w funkcji wyszukiwania zagrożeń > w usłudze Microsoft Sentinel>.
  • Jeśli przesyłasz strumieniowo tabele XDR usługi Defender do usługi Log Analytics, może istnieć różnica między kolumnamiTimestamp i TimeGenerated . W przypadku, gdy dane zostaną dostarczone do usługi Log Analytics po 48 godzinach, są zastępowane po pozyskaniu do now()usługi . W związku z tym, aby uzyskać rzeczywisty czas wystąpienia zdarzenia, zalecamy poleganie na kolumnie Timestamp .
  • Podczas monitowania programu Copilot for Security o zaawansowane zapytania dotyczące wyszukiwania zagrożeń może się okazać, że nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane. Jednak w przyszłości można oczekiwać obsługi tych tabel.