Migrar consultas de investigação avançadas do Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Microsoft Defender XDR
Mova os fluxos de trabalho de investigação avançados de Microsoft Defender para Ponto de Extremidade para procurar proativamente ameaças através de um conjunto mais amplo de dados. No Microsoft Defender XDR, obtém acesso a dados de outras soluções de segurança do Microsoft 365, incluindo:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Identidade
Observação
A maioria dos clientes Microsoft Defender para Ponto de Extremidade pode utilizar Microsoft Defender XDR sem licenças adicionais. Para começar a fazer a transição dos fluxos de trabalho de investigação avançados do Defender para Endpoint, ative Microsoft Defender XDR.
Pode fazer a transição sem afetar os fluxos de trabalho existentes do Defender para Endpoint. As consultas guardadas permanecem intactas e as regras de deteção personalizadas continuam a ser executadas e a gerar alertas. No entanto, estarão visíveis no Microsoft Defender XDR.
Tabelas de esquema apenas no Microsoft Defender XDR
O Microsoft Defender XDR esquema de investigação avançado fornece tabelas adicionais que contêm dados de várias soluções de segurança do Microsoft 365. As tabelas seguintes só estão disponíveis no Microsoft Defender XDR:
| Nome da tabela | Descrição |
|---|---|
| AlertEvidence | Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas |
| AlertInfo | Alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade, incluindo informações de gravidade e categorias de ameaças |
| EmailAttachmentInfo | Informações sobre arquivos anexados a emails |
| EmailEvents | Eventos de email do Microsoft 365, incluindo a entrega de email e eventos de bloqueio |
| EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os emails à caixa de correio do destinatário |
| EmailUrlInfo | Informações sobre URLs nos emails |
| IdentityDirectoryEvents | Eventos envolvendo um controlador de domínio local executando o AD (Active Directory). Essa tabela abrange um intervalo de eventos relacionados à identidade, bem como eventos do sistema no controlador de domínio. |
| IdentityInfo | Informações de conta de várias origens, incluindo Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticação no Active Directory e serviços online da Microsoft |
| IdentityQueryEvents | Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios |
Importante
As consultas e as deteções personalizadas que utilizam tabelas de esquema que só estão disponíveis no Microsoft Defender XDR só podem ser visualizadas no Microsoft Defender XDR.
Mapear a tabela DeviceAlertEvents
As AlertInfo tabelas e AlertEvidence substituem a DeviceAlertEvents tabela no esquema Microsoft Defender para Ponto de Extremidade. Além dos dados sobre alertas de dispositivos, estas duas tabelas incluem dados sobre alertas de identidades, aplicações e e-mails.
Utilize a tabela seguinte para marcar como DeviceAlertEvents as colunas são mapeadas para colunas nas AlertInfo tabelas e AlertEvidence .
Dica
Além das colunas na tabela seguinte, a AlertEvidence tabela inclui muitas outras colunas que fornecem uma imagem mais holística dos alertas de várias origens.
Ver todas as colunas AlertEvidence
| Coluna DeviceAlertEvents | Onde encontrar os mesmos dados no Microsoft Defender XDR |
|---|---|
AlertId |
AlertInfo e AlertEvidence tabelas |
Timestamp |
AlertInfo e AlertEvidence tabelas |
DeviceId |
AlertEvidence tabela |
DeviceName |
AlertEvidence tabela |
Severity |
AlertInfo tabela |
Category |
AlertInfo tabela |
Title |
AlertInfo tabela |
FileName |
AlertEvidence tabela |
SHA1 |
AlertEvidence tabela |
RemoteUrl |
AlertEvidence tabela |
RemoteIP |
AlertEvidence tabela |
AttackTechniques |
AlertInfo tabela |
ReportId |
Normalmente, esta coluna é utilizada no Microsoft Defender para Ponto de Extremidade para localizar registos relacionados noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela. |
Table |
Normalmente, esta coluna é utilizada no Microsoft Defender para Ponto de Extremidade para obter informações adicionais sobre eventos noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela. |
Ajustar consultas de Microsoft Defender para Ponto de Extremidade existentes
Microsoft Defender para Ponto de Extremidade consultas funcionarão tal como estão, a menos que referenciem a DeviceAlertEvents tabela. Para utilizar estas consultas no Microsoft Defender XDR, aplique estas alterações:
- Substitua
DeviceAlertEventsporAlertInfo. - Associe as
AlertInfotabelasAlertIdeAlertEvidencepara obter dados equivalentes.
Consulta original
A consulta seguinte utiliza DeviceAlertEvents no Microsoft Defender para Ponto de Extremidade para obter os alertas que envolvem powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Consulta modificada
A consulta seguinte foi ajustada para utilização no Microsoft Defender XDR. Em vez de verificar o nome do ficheiro diretamente a partir de DeviceAlertEvents, este é associado AlertEvidence e verifica o nome do ficheiro nessa tabela.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Migrar regras de deteção personalizadas
Quando Microsoft Defender para Ponto de Extremidade regras são editadas no Microsoft Defender XDR, continuam a funcionar como antes se a consulta resultante analisar apenas as tabelas de dispositivos.
Por exemplo, os alertas gerados por regras de deteção personalizadas que consultam apenas tabelas de dispositivos continuarão a ser entregues no SIEM e a gerar notificações por email, consoante a forma como as configurou no Microsoft Defender para Ponto de Extremidade. As regras de supressão existentes no Defender para Endpoint também continuarão a ser aplicadas.
Depois de editar uma regra do Defender para Endpoint para que consulte a identidade e as tabelas de e-mail, que só estão disponíveis no Microsoft Defender XDR, a regra é movida automaticamente para Microsoft Defender XDR.
Alertas gerados pela regra migrada:
- Já não estão visíveis no portal do Defender para Endpoint (Central de Segurança do Microsoft Defender)
- Deixe de ser entregue no SIEM ou gere notificações por email. Para contornar esta alteração, configure as notificações através de Microsoft Defender XDR para obter os alertas. Pode utilizar a API de Microsoft Defender XDR para receber notificações de alertas de deteção de clientes ou incidentes relacionados.
- Não será suprimido pelas Microsoft Defender para Ponto de Extremidade regras de supressão. Para impedir que sejam gerados alertas para determinados utilizadores, dispositivos ou caixas de correio, modifique as consultas correspondentes para excluir essas entidades explicitamente.
Se editar uma regra desta forma, ser-lhe-á pedida a confirmação antes de essas alterações serem aplicadas.
Os novos alertas gerados pelas regras de deteção personalizadas no Microsoft Defender XDR são apresentados numa página de alerta que fornece as seguintes informações:
- Título e descrição do alerta
- Ativos afetados
- Ações tomadas em resposta ao alerta
- Resultados da consulta que acionaram o alerta
- Informações sobre a regra de deteção personalizada
Escrever consultas sem DeviceAlertEvents
No esquema Microsoft Defender XDR, as AlertInfo tabelas e AlertEvidence são fornecidas para acomodar o conjunto diversificado de informações que acompanham alertas de várias origens.
Para obter as mesmas informações de alerta que utilizou para obter da DeviceAlertEvents tabela no esquema Microsoft Defender para Ponto de Extremidade, filtre a AlertInfo tabela por ServiceSource e, em seguida, associe cada ID exclusivo à AlertEvidence tabela, que fornece informações detalhadas sobre eventos e entidades.
Veja a consulta de exemplo abaixo:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Esta consulta gera muito mais colunas do que DeviceAlertEvents no esquema Microsoft Defender para Ponto de Extremidade. Para manter os resultados geríveis, utilize project para obter apenas as colunas em que está interessado. O exemplo abaixo projecta colunas nas quais poderá estar interessado quando a investigação detetou a atividade do PowerShell:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Se quiser filtrar entidades específicas envolvidas nos alertas, pode fazê-lo ao especificar o tipo de entidade em EntityType e o valor que pretende filtrar. O exemplo seguinte procura um endereço IP específico:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
Confira também
- Ativar Microsoft Defender XDR
- Visão geral da busca avançada
- Compreender o esquema
- Investigação avançada no Microsoft Defender para Ponto de Extremidade
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.