Udostępnij za pośrednictwem


Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel

Jako analitycy zabezpieczeń i śledczy, chcesz aktywnie szukać zagrożeń bezpieczeństwa, ale różne systemy i urządzenia zabezpieczeń generują góry danych, które mogą być trudne do analizowania i filtrowania w znaczących zdarzeniach. Usługa Microsoft Sentinel udostępnia zaawansowane narzędzia do wyszukiwania zagrożeń wyszukiwania zagrożeń i zapytań w poszukiwaniu zagrożeń bezpieczeństwa w źródłach danych organizacji. Aby pomóc analitykom zabezpieczeń aktywnie szukać nowych anomalii, które nie są wykrywane przez aplikacje zabezpieczeń, a nawet zgodnie z zaplanowanymi regułami analizy, zapytania wyszukiwania zagrożeń prowadzą Cię do zadawania odpowiednich pytań w celu znalezienia problemów w danych, które już masz w sieci.

Na przykład jedno zapytanie gotowe do użycia zawiera dane dotyczące najbardziej nietypowych procesów uruchomionych w infrastrukturze. Nie chcesz otrzymywać alertu za każdym razem, gdy są uruchamiane. Mogą być całkowicie niewinni. Możesz jednak przyjrzeć się zapytaniu przy okazji, aby sprawdzić, czy jest coś niezwykłego.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Polowania w usłudze Microsoft Sentinel (wersja zapoznawcza)

W przypadku polowań w usłudze Microsoft Sentinel wyszukaj niewykryte zagrożenia i złośliwe zachowania, tworząc hipotezę, wyszukując dane, sprawdzając tę hipotezę i działając w razie potrzeby. Utwórz nowe reguły analityczne, analizę zagrożeń i zdarzenia na podstawie wyników.

Możliwości opis
Definiowanie hipotezy Aby zdefiniować hipotezę, znajdź inspirację z mapy MITRE, ostatnich wyników zapytań wyszukiwania zagrożeń, rozwiązań centrum zawartości lub wygeneruj własne niestandardowe polowania.
Badanie zapytań i wyników zakładek Po zdefiniowaniu hipotezy przejdź do karty Zapytania dotyczące wyszukiwania zagrożeń. Wybierz zapytania związane z hipotezą i Nowe wyszukiwanie, aby rozpocząć pracę. Uruchamianie zapytań związanych z wyszukiwaniem i badanie wyników przy użyciu środowiska dzienników. Wyniki zakładki bezpośrednio do wyszukiwania umożliwiają dodawanie adnotacji do wyników, wyodrębnianie identyfikatorów jednostek i zachowywanie odpowiednich zapytań.
Badanie i podejmowanie działań Zbadaj jeszcze bardziej szczegółowo, korzystając ze stron jednostek UEBA. Uruchamianie podręczników specyficznych dla jednostki w jednostkach z zakładkami. Użyj wbudowanych akcji, aby utworzyć nowe reguły analityczne, wskaźniki zagrożeń i zdarzenia na podstawie wyników.
Śledzenie wyników Zarejestruj wyniki polowania. Śledź, czy hipoteza jest weryfikowana, czy nie. Pozostaw szczegółowe uwagi w komentarzach. Wyszukiwanie automatycznie łączy nowe reguły analityczne i zdarzenia. Śledź ogólny wpływ programu wyszukiwania zagrożeń na pasek metryki.

Aby rozpocząć, zobacz Przeprowadzanie kompleksowego proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

Zapytania dotyczące wyszukiwania zagrożeń

W usłudze Microsoft Sentinel wybierz kartę Zapytania wyszukiwania zagrożeń>, aby uruchomić wszystkie zapytania lub wybrany podzestaw. Karta Zapytania zawiera listę wszystkich zapytań wyszukiwania zagrożeń zainstalowanych przy użyciu rozwiązań zabezpieczeń z centrum Zawartości oraz wszelkich dodatkowych zapytań utworzonych lub zmodyfikowanych. Każde zapytanie zawiera opis tego, czego szuka i jakiego rodzaju dane są uruchamiane. Te zapytania są grupowane według ich taktyki MITRE ATT&CK. Ikony po prawej stronie kategoryzują typ zagrożenia, takie jak początkowy dostęp, trwałość i eksfiltracja. Techniki MITRE ATT&CK są wyświetlane w kolumnie Techniki i opisują konkretne zachowanie zidentyfikowane przez zapytanie wyszukiwania zagrożeń.

Usługa Microsoft Sentinel rozpoczyna wyszukiwanie zagrożeń

Użyj karty Zapytania, aby określić, gdzie rozpocząć wyszukiwanie zagrożeń, patrząc na liczbę wyników, skoki lub zmianę liczby wyników w okresie 24-godzinnym. Sortuj i filtruj według ulubionych, źródła danych, taktyki lub techniki MITRE ATT&CK, wyników, różnicy wyników lub wartości różnicowej wyników. Wyświetlanie zapytań, które nadal wymagają połączenia ze źródłami danych, i uzyskiwanie zaleceń dotyczących włączania tych zapytań.

W poniższej tabeli opisano szczegółowe akcje dostępne na pulpicie nawigacyjnym wyszukiwania zagrożeń:

Akcja opis
Zobacz, jak zapytania mają zastosowanie do środowiska Wybierz przycisk Uruchom wszystkie zapytania lub wybierz podzbiór zapytań przy użyciu pól wyboru po lewej stronie każdego wiersza i wybierz przycisk Uruchom wybrane zapytania.

Uruchamianie zapytań może potrwać od kilku sekund do wielu minut, w zależności od liczby wybranych zapytań, zakresu czasu i ilości danych, których dotyczy zapytanie.
Wyświetlanie zapytań, które zwróciły wyniki Po zakończeniu wykonywania zapytań wyświetl zapytania, które zwróciły wyniki, korzystając z filtru Wyniki :
- Sortuj, aby zobaczyć, które zapytania miały najwięcej lub najmniej wyników.
— Wyświetl zapytania, które nie są w ogóle aktywne w danym środowisku, wybierając pozycję N/A w filtrze Wyniki .
- Zatrzymaj wskaźnik myszy na ikonie informacji (i) obok N/A, aby zobaczyć, które źródła danych są wymagane, aby to zapytanie było aktywne.
Identyfikowanie skoków danych Zidentyfikuj skoki danych, sortując lub filtrując według wartości delta wyników lub wartości procentowej różnicy wyników.

Porównuje wyniki z ostatnich 24 godzin z wynikami z poprzednich 24-48 godzin, podkreślając wszelkie duże różnice lub względną różnicę w objętości.
Wyświetlanie zapytań mapowanych na taktykę MITRE ATT&CK Pasek taktyki MITRE ATT&CK w górnej części tabeli zawiera listę liczby zapytań mapowanych na każdą taktykę MITRE ATT&CK. Pasek taktyki jest aktualizowany dynamicznie na podstawie bieżącego zestawu zastosowanych filtrów.

Umożliwia sprawdzenie, która taktyka MITRE ATT&CK jest wyświetlana podczas filtrowania według podanej liczby wyników, różnicy wyników, wyników N/A lub innych zestawów filtrów.
Wyświetlanie zapytań mapowanych na techniki MITRE ATT&CK Zapytania można również mapować na techniki MITRE ATT&CK. Możesz filtrować lub sortować według technik MITRE ATT&CK przy użyciu filtru Technika . Otwierając zapytanie, możesz wybrać technikę, aby wyświetlić opis techniki MITRE ATT&CK.
Zapisywanie zapytania w ulubionych Zapytania zapisane w ulubionych są automatycznie uruchamiane za każdym razem, gdy uzyskuje się dostęp do strony Wyszukiwanie zagrożeń . Możesz utworzyć własne zapytanie wyszukiwania zagrożeń lub sklonować i dostosować istniejący szablon zapytania wyszukiwania zagrożeń.
Uruchamianie zapytań Wybierz pozycję Uruchom zapytanie na stronie szczegółów zapytania wyszukiwania zagrożeń, aby uruchomić zapytanie bezpośrednio na stronie wyszukiwania zagrożeń. Liczba dopasowań jest wyświetlana w tabeli w kolumnie Wyniki . Przejrzyj listę zapytań wyszukiwania zagrożeń i ich dopasowania.
Przeglądanie bazowego zapytania Wykonaj szybką recenzję bazowego zapytania w okienku szczegółów zapytania. Wyniki można wyświetlić, klikając link Wyświetl wyniki zapytania (poniżej okna zapytania) lub przycisk Wyświetl wyniki (w dolnej części okienka). Zapytanie otwiera stronę Dzienniki (Log Analytics) i poniżej zapytania możesz przejrzeć dopasowania zapytania.

Użyj zapytań przed, podczas i po naruszeniu zabezpieczeń, aby wykonać następujące akcje:

  • Przed wystąpieniem zdarzenia: oczekiwanie na wykrycia nie wystarczy. Podejmij aktywne działania, uruchamiając zapytania dotyczące zagrożeń związane z danymi pozyskiwanymi do obszaru roboczego co najmniej raz w tygodniu.

    Wyniki proaktywnego wyszukiwania zagrożeń zapewniają wczesny wgląd w zdarzenia, które mogą potwierdzić, że bezpieczeństwo jest w toku, lub przynajmniej pokazać słabsze obszary w środowisku, które są zagrożone i wymagają uwagi.

  • Podczas naruszenia zabezpieczeń: użyj transmisji strumieniowej na żywo, aby stale uruchamiać określone zapytanie, prezentując wyniki w miarę ich działania. Użyj transmisji strumieniowej na żywo, gdy musisz aktywnie monitorować zdarzenia użytkowników, takie jak jeśli trzeba sprawdzić, czy nadal występuje określony kompromis, aby pomóc w ustaleniu następnego działania aktora zagrożeń i do końca badania w celu potwierdzenia, że naruszenie rzeczywiście się skończyło.

  • Po naruszeniu zabezpieczeń: po wystąpieniu naruszenia zabezpieczeń lub zdarzenia upewnij się, że poprawisz zasięg i szczegółowe informacje, aby zapobiec podobnym zdarzeniom w przyszłości.

    • Zmodyfikuj istniejące zapytania lub utwórz nowe, aby ułatwić wczesne wykrywanie na podstawie szczegółowych informacji uzyskanych na podstawie naruszenia zabezpieczeń lub zdarzenia.

    • Jeśli wykryto lub utworzono zapytanie wyszukiwania zagrożeń, które zapewnia wysoki poziom szczegółowych informacji o możliwych atakach, utwórz niestandardowe reguły wykrywania na podstawie tego zapytania i udostępnisz te szczegółowe informacje jako alerty osobom reagującym na zdarzenia zabezpieczeń.

      Wyświetl wyniki zapytania i wybierz pozycję Nowa reguła>alertu Utwórz alert usługi Microsoft Sentinel. Użyj kreatora reguł analizy, aby utworzyć nową regułę na podstawie zapytania. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.

Możesz również tworzyć zapytania wyszukiwania zagrożeń i transmisji strumieniowej na żywo na danych przechowywanych w usłudze Azure Data Explorer. Aby uzyskać więcej informacji, zobacz szczegóły konstruowania zapytań między zasobami w dokumentacji usługi Azure Monitor.

Aby znaleźć więcej zapytań i źródeł danych, przejdź do centrum zawartości w usłudze Microsoft Sentinel lub zapoznaj się z zasobami społeczności, takimi jak repozytorium GitHub usługi Microsoft Sentinel.

Zapytania dotyczące wyszukiwania zagrożeń poza pudełkiem

Wiele rozwiązań zabezpieczeń obejmuje gotowe zapytania wyszukiwania zagrożeń. Po zainstalowaniu rozwiązania obejmującego zapytania dotyczące wyszukiwania zagrożeń z centrum zawartości gotowe zapytania dotyczące tego rozwiązania są wyświetlane na karcie Kwerendy wyszukiwania zagrożeń. Zapytania są uruchamiane na danych przechowywanych w tabelach dzienników, takich jak tworzenie procesów, zdarzenia DNS lub inne typy zdarzeń.

Wiele dostępnych zapytań dotyczących wyszukiwania zagrożeń jest opracowywanych przez badaczy zabezpieczeń firmy Microsoft w sposób ciągły. Dodają nowe zapytania do rozwiązań zabezpieczeń i dostosują istniejące zapytania, aby zapewnić punkt wejścia, aby wyszukać nowe wykrycia i ataki.

Niestandardowe zapytania wyszukiwania zagrożeń

Utwórz lub edytuj zapytanie i zapisz je jako własne zapytanie lub udostępnij je użytkownikom, którzy znajdują się w tej samej dzierżawie. W usłudze Microsoft Sentinel utwórz niestandardowe zapytanie wyszukiwania zagrożeń na karcie Zapytania wyszukiwania zagrożeń>.

Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych zapytań wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

Sesje transmisji strumieniowej na żywo

Utwórz sesje interakcyjne, które umożliwiają testowanie nowo utworzonych zapytań w miarę występowania zdarzeń, otrzymywanie powiadomień z sesji po znalezieniu dopasowania i uruchamianie badań w razie potrzeby. Możesz szybko utworzyć sesję transmisji strumieniowej na żywo przy użyciu dowolnego zapytania usługi Log Analytics.

  • Testowanie nowo utworzonych zapytań w miarę występowania zdarzeń

    Zapytania można testować i dostosowywać bez żadnych konfliktów z bieżącymi regułami, które są aktywnie stosowane do zdarzeń. Po potwierdzeniu, że te nowe zapytania działają zgodnie z oczekiwaniami, można łatwo podwyższyć poziom ich do niestandardowych reguł alertów, wybierając opcję, która podnosi poziom sesji do alertu.

  • Otrzymywanie powiadomień o wystąpieniu zagrożeń

    Możesz porównać źródła danych zagrożeń z zagregowanymi danymi dziennika i otrzymywać powiadomienia o wystąpieniu dopasowania. Źródła danych zagrożeń to ciągłe strumienie danych, które są związane z potencjalnymi lub bieżącymi zagrożeniami, więc powiadomienie może wskazywać na potencjalne zagrożenie dla organizacji. Utwórz sesję transmisji strumieniowej na żywo zamiast niestandardowej reguły alertu, aby otrzymywać powiadomienia o potencjalnym problemie bez konieczności utrzymywania niestandardowej reguły alertu.

  • Uruchamianie badań

    Jeśli istnieje aktywne badanie, które obejmuje zasób, taki jak host lub użytkownik, wyświetl określone (lub dowolne) działanie w danych dziennika w miarę ich wystąpienia w tym zasobie. Powiadomienie o wystąpieniu tego działania.

Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

Zakładki do śledzenia danych

Wyszukiwanie zagrożeń zwykle wymaga przejrzenia gór danych dziennika w poszukiwaniu dowodów złośliwego zachowania. Podczas tego procesu śledczy znajdują zdarzenia, które chcą zapamiętać, ponownie przejrzeć i przeanalizować w ramach weryfikacji potencjalnych hipotez i zrozumieć pełną historię kompromisu.

Podczas procesu wyszukiwania zagrożeń i badania możesz natknąć się na wyniki zapytań, które wyglądają nietypowo lub podejrzanie. Oznacz te elementy zakładką, aby odwoływać się do nich w przyszłości, na przykład podczas tworzenia lub wzbogacania zdarzenia na potrzeby badania. Zdarzenia takie jak potencjalne główne przyczyny, wskaźniki naruszenia lub inne istotne zdarzenia powinny być zgłaszane jako zakładka. Jeśli do zakładek jest wystarczająco poważne zdarzenie, aby uzasadnić dochodzenie, przeskaluj je do zdarzenia.

  • W wynikach zaznacz pola wyboru dla wszystkich wierszy, które chcesz zachować, i wybierz pozycję Dodaj zakładkę. Spowoduje to utworzenie rekordu dla każdego oznaczonego wiersza, zakładki zawierającej wyniki wiersza i zapytanie, które utworzyło wyniki. Do każdej zakładki można dodawać własne tagi i notatki.

    • Podobnie jak w przypadku zaplanowanych reguł analizy, można wzbogacić zakładki mapowaniami jednostek w celu wyodrębnienia wielu typów jednostek i identyfikatorów oraz mapowań MITRE ATT&CK w celu skojarzenia określonych taktyk i technik.
    • Domyślnie zakładki używają tej samej jednostki i mapowań technik MITRE ATT&CK jako zapytania wyszukiwania zagrożeń, które wygenerowało wyniki zakładki.
  • Wyświetl wszystkie wyniki zakładki, klikając kartę Zakładki na głównej stronie Wyszukiwanie zagrożeń . Dodaj tagi do zakładek, aby sklasyfikować je do filtrowania. Jeśli na przykład badasz kampanię ataku, możesz utworzyć tag dla kampanii, zastosować tag do dowolnych odpowiednich zakładek, a następnie przefiltrować wszystkie zakładki na podstawie kampanii.

  • Zbadaj pojedyncze znalezienie zakładki, wybierając zakładkę, a następnie klikając pozycję Zbadaj w okienku szczegółów, aby otworzyć środowisko badania. Wyświetlanie, badanie i wizualne komunikowanie się z wynikami przy użyciu interaktywnego diagramu wykresu jednostek i osi czasu. Możesz również bezpośrednio wybrać wymienioną jednostkę, aby wyświetlić odpowiednią stronę jednostki.

    Możesz również utworzyć zdarzenie na podstawie co najmniej jednej zakładki albo dodać co najmniej jedną zakładkę do istniejącego zdarzenia. Zaznacz pole wyboru po lewej stronie wszystkich zakładek, których chcesz użyć, a następnie wybierz pozycję Akcje>incydentu Utwórz nowe zdarzenie lub Dodaj do istniejącego zdarzenia. Klasyfikacja i badanie incydentu tak jak w przypadku innych.

  • Wyświetl dane z zakładkami bezpośrednio w tabeli HuntingBookmark w obszarze roboczym usługi Log Analytics. Na przykład:

    Zrzut ekranu przedstawiający tabelę zakładek wyszukiwania zagrożeń w obszarze roboczym usługi Log Analytics.

    Wyświetlanie zakładek z tabeli umożliwia filtrowanie, podsumowywanie i łączenie danych z zakładkami z innymi źródłami danych, co ułatwia wyszukiwanie potwierdzenia dowodów.

Aby rozpocząć korzystanie z zakładek, zobacz Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.

Notesy do badania zasilania

Gdy wyszukiwanie zagrożeń i badania stają się bardziej złożone, użyj notesów usługi Microsoft Sentinel, aby zwiększyć aktywność dzięki uczeniu maszynowemu, wizualizacjom i analizie danych.

Notesy udostępniają rodzaj wirtualnej piaskownicy, wraz z własnym jądrem, w którym można przeprowadzić pełne badanie. Notes może zawierać nieprzetworzone dane, kod uruchamiany na tych danych, wyniki i ich wizualizacje. Zapisz notesy, aby udostępnić je innym osobom w celu ponownego użycia w organizacji.

Notesy mogą być przydatne, gdy wyszukiwanie zagrożeń lub badanie staje się zbyt duże, aby łatwo zapamiętać, wyświetlić szczegóły lub kiedy trzeba zapisać zapytania i wyniki. Aby ułatwić tworzenie i udostępnianie notesów, usługa Microsoft Sentinel udostępnia notesy Jupyter Notebook, interaktywne środowisko do programowania i manipulowania danymi typu open source, zintegrowane bezpośrednio na stronie notesów usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz:

W poniższej tabeli opisano niektóre metody używania notesów Jupyter w celu ułatwienia procesów w usłudze Microsoft Sentinel:

Metoda opis
Trwałość danych, powtarzalność i wycofywanie Jeśli pracujesz z wieloma zapytaniami i zestawami wyników, prawdopodobnie będziesz mieć pewne martwe zakończenia. Musisz zdecydować, które zapytania i wyniki mają być zachowywane, oraz jak gromadzić przydatne wyniki w jednym raporcie.

Użyj notesów Jupyter Notebook, aby zapisywać zapytania i dane podczas pracy, używać zmiennych do ponownego uruchamiania zapytań z różnymi wartościami lub datami albo zapisywać zapytania w celu ponownego uruchomienia przyszłych badań.
Skrypty i programowanie Użyj notesów Jupyter Notebook, aby dodać programowanie do zapytań, w tym:

- Języki deklaratywne, takie jak język zapytań Kusto (KQL) lub SQL, aby zakodować logikę w jednej, prawdopodobnie złożonej instrukcji.
- Języki programowania proceduralnego do uruchamiania logiki w serii kroków.

Podziel logikę na kroki ułatwiające wyświetlanie i debugowanie wyników pośrednich, dodawanie funkcji, które mogą nie być dostępne w języku zapytań, i ponowne użycie częściowych wyników w kolejnych krokach przetwarzania.
Łącza do danych zewnętrznych Chociaż tabele usługi Microsoft Sentinel mają większość danych telemetrycznych i danych zdarzeń, notesy Jupyter Notebook mogą łączyć się z dowolnymi danymi dostępnymi za pośrednictwem sieci lub z pliku. Korzystanie z notesów Jupyter Notebook umożliwia dołączanie danych, takich jak:

— Dane w usługach zewnętrznych, których nie jesteś właścicielem, takich jak dane geolokalizacji lub źródła analizy zagrożeń
— Poufne dane przechowywane tylko w organizacji, takie jak bazy danych zasobów ludzkich lub listy zasobów o wysokiej wartości
— Dane, które nie zostały jeszcze zmigrowane do chmury.
Wyspecjalizowane narzędzia do przetwarzania danych, uczenia maszynowego i wizualizacji Notesy Jupyter Notebook udostępniają więcej wizualizacji, bibliotek uczenia maszynowego oraz funkcje przetwarzania i przekształcania danych.

Na przykład użyj notesów Jupyter Notebook z następującymi funkcjami języka Python :
- Biblioteka pandas do przetwarzania, oczyszczania i inżynierii danych
- Matplotlib, HoloViews i Plotly na potrzeby wizualizacji
- Biblioteka NumPy i biblioteka SciPy do zaawansowanego przetwarzania liczbowego i naukowego
- scikit-learn na potrzeby uczenia maszynowego
- TensorFlow, PyTorch i Keras na potrzeby uczenia głębokiego

Porada: Notesy Jupyter Notebook obsługują wiele jąder języka. Użyj magii , aby mieszać języki w tym samym notesie, umożliwiając wykonywanie poszczególnych komórek przy użyciu innego języka. Możesz na przykład pobrać dane przy użyciu komórki skryptu programu PowerShell, przetworzyć dane w języku Python i użyć języka JavaScript do renderowania wizualizacji.

Narzędzia zabezpieczeń MSTIC, Jupyter i Python

Microsoft Threat Intelligence Center (MSTIC) to zespół analityków zabezpieczeń i inżynierów firmy Microsoft, którzy autorami wykrywania zabezpieczeń dla kilku platform firmy Microsoft i pracują nad identyfikacją i badaniem zagrożeń.

MSTIC skompilował bibliotekę MSTICPy, bibliotekę służącą do badania zabezpieczeń informacji i wyszukiwania zagrożeń w notesach Jupyter Notebook. Rozwiązanie MSTICPy udostępnia funkcje wielokrotnego użytku, które mają na celu przyspieszenie tworzenia notesów i ułatwienie użytkownikom odczytywania notesów w usłudze Microsoft Sentinel.

Na przykład MSTICPy może:

  • Wykonywanie zapytań dotyczących danych dziennika z wielu źródeł.
  • Wzbogacanie danych za pomocą analizy zagrożeń, geolokalizacji i danych zasobów platformy Azure.
  • Wyodrębnij wskaźniki aktywności (IoA) z dzienników i rozpakuj zakodowane dane.
  • Wykonaj zaawansowane analizy, takie jak nietypowe wykrywanie sesji i dekompozycja szeregów czasowych.
  • Wizualizowanie danych przy użyciu interaktywnych osi czasu, drzew procesów i wielowymiarowych wykresów morficznych.

Biblioteka MSTICPy zawiera również niektóre narzędzia notesu oszczędzające czas, takie jak widżety, które ustawiają granice czasu zapytania, zaznaczają i wyświetlają elementy z list oraz konfigurują środowisko notesu.

Aby uzyskać więcej informacji, zobacz:

Przydatne operatory i funkcje

Zapytania wyszukiwania zagrożeń są wbudowane w język zapytań Kusto (KQL), zaawansowany język zapytań z językiem IntelliSense, który zapewnia moc i elastyczność, którą należy wykonać w poszukiwaniu zagrożeń na następnym poziomie.

Jest to ten sam język używany przez zapytania w regułach analizy i gdzie indziej w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Dokumentacja języka zapytań.

Następujące operatory są szczególnie przydatne w zapytaniach wyszukiwania zagrożeń w usłudze Microsoft Sentinel:

  • where — filtruj tabelę do podzbioru wierszy, które spełniają predykat.

  • summarize — utwórz tabelę, która agreguje zawartość tabeli wejściowej.

  • join — scal wiersze dwóch tabel, aby utworzyć nową tabelę, pasując do wartości określonych kolumn z każdej tabeli.

  • count — zwraca liczbę rekordów w zestawie rekordów wejściowych.

  • top — zwraca pierwsze N rekordów posortowanych według określonych kolumn.

  • limit — zwraca maksymalnie określoną liczbę wierszy.

  • project — wybierz kolumny do uwzględnienia, zmiany nazwy lub upuszczania oraz wstawiania nowych obliczonych kolumn.

  • extend — tworzenie kolumn obliczeniowych i dołączanie ich do zestawu wyników.

  • makeset — zwraca tablicę dynamiczną (JSON) zestawu unikatowych wartości pobieranych przez wyrażenie w grupie

  • find — znajdowanie wierszy pasujących do predykatu w zestawie tabel.

  • adx() — ta funkcja wykonuje zapytania między zasobami źródeł danych usługi Azure Data Explorer z poziomu środowiska wyszukiwania zagrożeń usługi Microsoft Sentinel i usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Wykonywanie zapytań między zasobami w usłudze Azure Data Explorer przy użyciu usługi Azure Monitor.