Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint
Aplica-se a:
- Microsoft Defender XDR
Mova os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para procurar proativamente ameaças através de um conjunto mais amplo de dados. No Microsoft Defender XDR, obtém acesso a dados de outras soluções de segurança do Microsoft 365, incluindo:
- Microsoft Defender para Endpoint
- Microsoft Defender para Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Identidade
Nota
A maioria dos clientes Microsoft Defender para Endpoint pode utilizar Microsoft Defender XDR sem licenças adicionais. Para começar a fazer a transição dos fluxos de trabalho de investigação avançados do Defender para Endpoint, ative Microsoft Defender XDR.
Pode fazer a transição sem afetar os fluxos de trabalho existentes do Defender para Endpoint. As consultas guardadas permanecem intactas e as regras de deteção personalizadas continuam a ser executadas e a gerar alertas. No entanto, estarão visíveis no Microsoft Defender XDR.
Tabelas de esquema apenas no Microsoft Defender XDR
O Microsoft Defender XDR esquema de investigação avançado fornece tabelas adicionais que contêm dados de várias soluções de segurança do Microsoft 365. As tabelas seguintes só estão disponíveis no Microsoft Defender XDR:
Nome da tabela | Descrição |
---|---|
AlertEvidence | Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas |
AlertInfo | Alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade, incluindo informações de gravidade e categorias de ameaças |
EmailAttachmentInfo | Informações sobre ficheiros anexados a e-mails |
EmailEvents | Eventos de e-mail do Microsoft 365, incluindo entrega de e-mail e eventos de bloqueio |
EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário |
EmailUrlInfo | Informações sobre URLs em e-mails |
IdentityDirectoryEvents | Eventos que envolvem um controlador de domínio no local a executar o Active Directory (AD). Esta tabela abrange uma variedade de eventos relacionados com identidades e eventos de sistema no controlador de domínio. |
IdentityInfo | Informações de conta de várias origens, incluindo Microsoft Entra ID |
IdentityLogonEvents | Eventos de autenticação no Active Directory e no Microsoft serviços online |
IdentityQueryEvents | Consultas para objetos do Active Directory, tais como utilizadores, grupos, dispositivos e domínios |
Importante
As consultas e as deteções personalizadas que utilizam tabelas de esquema que só estão disponíveis no Microsoft Defender XDR só podem ser visualizadas no Microsoft Defender XDR.
Mapear a tabela DeviceAlertEvents
As AlertInfo
tabelas e AlertEvidence
substituem a DeviceAlertEvents
tabela no esquema Microsoft Defender para Endpoint. Além dos dados sobre alertas de dispositivos, estas duas tabelas incluem dados sobre alertas de identidades, aplicações e e-mails.
Utilize a tabela seguinte para verificar como DeviceAlertEvents
as colunas são mapeadas para colunas nas AlertInfo
tabelas e AlertEvidence
.
Sugestão
Além das colunas na tabela seguinte, a AlertEvidence
tabela inclui muitas outras colunas que fornecem uma imagem mais holística dos alertas de várias origens. Ver todas as colunas AlertEvidence
Coluna DeviceAlertEvents | Onde encontrar os mesmos dados no Microsoft Defender XDR |
---|---|
AlertId |
AlertInfo e AlertEvidence tabelas |
Timestamp |
AlertInfo e AlertEvidence tabelas |
DeviceId |
AlertEvidence tabela |
DeviceName |
AlertEvidence tabela |
Severity |
AlertInfo tabela |
Category |
AlertInfo tabela |
Title |
AlertInfo tabela |
FileName |
AlertEvidence tabela |
SHA1 |
AlertEvidence tabela |
RemoteUrl |
AlertEvidence tabela |
RemoteIP |
AlertEvidence tabela |
AttackTechniques |
AlertInfo tabela |
ReportId |
Normalmente, esta coluna é utilizada no Microsoft Defender para Endpoint para localizar registos relacionados noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela. |
Table |
Normalmente, esta coluna é utilizada no Microsoft Defender para Endpoint para obter informações adicionais sobre eventos noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela. |
Ajustar consultas de Microsoft Defender para Endpoint existentes
Microsoft Defender para Endpoint consultas funcionarão tal como estão, a menos que referenciem a DeviceAlertEvents
tabela. Para utilizar estas consultas no Microsoft Defender XDR, aplique estas alterações:
AlertInfo
Substitua porDeviceAlertEvents
.- Associe as
AlertInfo
tabelasAlertId
eAlertEvidence
para obter dados equivalentes.
Consulta original
A consulta seguinte utiliza DeviceAlertEvents
no Microsoft Defender para Endpoint para obter os alertas que envolvem powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Consulta modificada
A consulta seguinte foi ajustada para utilização no Microsoft Defender XDR. Em vez de verificar o nome do ficheiro diretamente a partir de DeviceAlertEvents
, este é associado AlertEvidence
e verifica o nome do ficheiro nessa tabela.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Migrar regras de deteção personalizadas
Quando Microsoft Defender para Endpoint regras são editadas no Microsoft Defender XDR, continuam a funcionar como antes se a consulta resultante analisar apenas as tabelas de dispositivos.
Por exemplo, os alertas gerados por regras de deteção personalizadas que consultam apenas tabelas de dispositivos continuarão a ser entregues no SIEM e a gerar notificações por e-mail, dependendo da forma como as configurou no Microsoft Defender para Endpoint. As regras de supressão existentes no Defender para Endpoint também continuarão a ser aplicadas.
Depois de editar uma regra do Defender para Endpoint para que consulte a identidade e as tabelas de e-mail, que só estão disponíveis no Microsoft Defender XDR, a regra é movida automaticamente para Microsoft Defender XDR.
Alertas gerados pela regra migrada:
- Já não estão visíveis no portal do Defender para Endpoint (Centro de Segurança do Microsoft Defender)
- Deixe de ser entregue no SIEM ou gere notificações por e-mail. Para contornar esta alteração, configure as notificações através de Microsoft Defender XDR para obter os alertas. Pode utilizar a API de Microsoft Defender XDR para receber notificações de alertas de deteção de clientes ou incidentes relacionados.
- Não será suprimido pelas Microsoft Defender para Endpoint regras de supressão. Para impedir que sejam gerados alertas para determinados utilizadores, dispositivos ou caixas de correio, modifique as consultas correspondentes para excluir essas entidades explicitamente.
Se editar uma regra desta forma, ser-lhe-á pedida a confirmação antes de essas alterações serem aplicadas.
Os novos alertas gerados pelas regras de deteção personalizadas no Microsoft Defender XDR são apresentados numa página de alerta que fornece as seguintes informações:
- Título e descrição do alerta
- Recursos afetados
- Ações tomadas em resposta ao alerta
- Resultados da consulta que acionaram o alerta
- Informações sobre a regra de deteção personalizada
Escrever consultas sem DeviceAlertEvents
No esquema Microsoft Defender XDR, as AlertInfo
tabelas e AlertEvidence
são fornecidas para acomodar o conjunto diversificado de informações que acompanham alertas de várias origens.
Para obter as mesmas informações de alerta que utilizou para obter a partir da DeviceAlertEvents
tabela no esquema Microsoft Defender para Endpoint, filtre a AlertInfo
tabela por ServiceSource
e, em seguida, associe cada ID exclusivo à AlertEvidence
tabela, que fornece informações detalhadas sobre eventos e entidades.
Veja a consulta de exemplo abaixo:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Esta consulta gera muito mais colunas do que DeviceAlertEvents
no esquema Microsoft Defender para Endpoint. Para manter os resultados geríveis, utilize project
para obter apenas as colunas em que está interessado. O exemplo abaixo projecta colunas nas quais poderá estar interessado quando a investigação detetou a atividade do PowerShell:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Se quiser filtrar entidades específicas envolvidas nos alertas, pode fazê-lo ao especificar o tipo de entidade em EntityType
e o valor que pretende filtrar. O exemplo seguinte procura um endereço IP específico:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
Consulte também
- Ativar Microsoft Defender XDR
- Descrição geral da investigação avançada
- Compreender o esquema
- Investigação avançada em Microsoft Defender para Endpoint
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.