Partilhar via


Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint

Aplica-se a:

  • Microsoft Defender XDR

Mova os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para procurar proativamente ameaças através de um conjunto mais amplo de dados. No Microsoft Defender XDR, obtém acesso a dados de outras soluções de segurança do Microsoft 365, incluindo:

  • Microsoft Defender para Endpoint
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade

Nota

A maioria dos clientes Microsoft Defender para Endpoint pode utilizar Microsoft Defender XDR sem licenças adicionais. Para começar a fazer a transição dos fluxos de trabalho de investigação avançados do Defender para Endpoint, ative Microsoft Defender XDR.

Pode fazer a transição sem afetar os fluxos de trabalho existentes do Defender para Endpoint. As consultas guardadas permanecem intactas e as regras de deteção personalizadas continuam a ser executadas e a gerar alertas. No entanto, estarão visíveis no Microsoft Defender XDR.

Tabelas de esquema apenas no Microsoft Defender XDR

O Microsoft Defender XDR esquema de investigação avançado fornece tabelas adicionais que contêm dados de várias soluções de segurança do Microsoft 365. As tabelas seguintes só estão disponíveis no Microsoft Defender XDR:

Nome da tabela Descrição
AlertEvidence Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas
AlertInfo Alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade, incluindo informações de gravidade e categorias de ameaças
EmailAttachmentInfo Informações sobre ficheiros anexados a e-mails
EmailEvents Eventos de e-mail do Microsoft 365, incluindo entrega de e-mail e eventos de bloqueio
EmailPostDeliveryEvents Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário
EmailUrlInfo Informações sobre URLs em e-mails
IdentityDirectoryEvents Eventos que envolvem um controlador de domínio no local a executar o Active Directory (AD). Esta tabela abrange uma variedade de eventos relacionados com identidades e eventos de sistema no controlador de domínio.
IdentityInfo Informações de conta de várias origens, incluindo Microsoft Entra ID
IdentityLogonEvents Eventos de autenticação no Active Directory e no Microsoft serviços online
IdentityQueryEvents Consultas para objetos do Active Directory, tais como utilizadores, grupos, dispositivos e domínios

Importante

As consultas e as deteções personalizadas que utilizam tabelas de esquema que só estão disponíveis no Microsoft Defender XDR só podem ser visualizadas no Microsoft Defender XDR.

Mapear a tabela DeviceAlertEvents

As AlertInfo tabelas e AlertEvidence substituem a DeviceAlertEvents tabela no esquema Microsoft Defender para Endpoint. Além dos dados sobre alertas de dispositivos, estas duas tabelas incluem dados sobre alertas de identidades, aplicações e e-mails.

Utilize a tabela seguinte para verificar como DeviceAlertEvents as colunas são mapeadas para colunas nas AlertInfo tabelas e AlertEvidence .

Sugestão

Além das colunas na tabela seguinte, a AlertEvidence tabela inclui muitas outras colunas que fornecem uma imagem mais holística dos alertas de várias origens. Ver todas as colunas AlertEvidence

Coluna DeviceAlertEvents Onde encontrar os mesmos dados no Microsoft Defender XDR
AlertId AlertInfo e AlertEvidence tabelas
Timestamp AlertInfo e AlertEvidence tabelas
DeviceId AlertEvidence tabela
DeviceName AlertEvidence tabela
Severity AlertInfo tabela
Category AlertInfo tabela
Title AlertInfo tabela
FileName AlertEvidence tabela
SHA1 AlertEvidence tabela
RemoteUrl AlertEvidence tabela
RemoteIP AlertEvidence tabela
AttackTechniques AlertInfo tabela
ReportId Normalmente, esta coluna é utilizada no Microsoft Defender para Endpoint para localizar registos relacionados noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela.
Table Normalmente, esta coluna é utilizada no Microsoft Defender para Endpoint para obter informações adicionais sobre eventos noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela.

Ajustar consultas de Microsoft Defender para Endpoint existentes

Microsoft Defender para Endpoint consultas funcionarão tal como estão, a menos que referenciem a DeviceAlertEvents tabela. Para utilizar estas consultas no Microsoft Defender XDR, aplique estas alterações:

  • AlertInfoSubstitua por DeviceAlertEvents .
  • Associe as AlertInfo tabelas AlertId e AlertEvidence para obter dados equivalentes.

Consulta original

A consulta seguinte utiliza DeviceAlertEvents no Microsoft Defender para Endpoint para obter os alertas que envolvem powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Consulta modificada

A consulta seguinte foi ajustada para utilização no Microsoft Defender XDR. Em vez de verificar o nome do ficheiro diretamente a partir de DeviceAlertEvents, este é associado AlertEvidence e verifica o nome do ficheiro nessa tabela.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrar regras de deteção personalizadas

Quando Microsoft Defender para Endpoint regras são editadas no Microsoft Defender XDR, continuam a funcionar como antes se a consulta resultante analisar apenas as tabelas de dispositivos.

Por exemplo, os alertas gerados por regras de deteção personalizadas que consultam apenas tabelas de dispositivos continuarão a ser entregues no SIEM e a gerar notificações por e-mail, dependendo da forma como as configurou no Microsoft Defender para Endpoint. As regras de supressão existentes no Defender para Endpoint também continuarão a ser aplicadas.

Depois de editar uma regra do Defender para Endpoint para que consulte a identidade e as tabelas de e-mail, que só estão disponíveis no Microsoft Defender XDR, a regra é movida automaticamente para Microsoft Defender XDR.

Alertas gerados pela regra migrada:

  • Já não estão visíveis no portal do Defender para Endpoint (Centro de Segurança do Microsoft Defender)
  • Deixe de ser entregue no SIEM ou gere notificações por e-mail. Para contornar esta alteração, configure as notificações através de Microsoft Defender XDR para obter os alertas. Pode utilizar a API de Microsoft Defender XDR para receber notificações de alertas de deteção de clientes ou incidentes relacionados.
  • Não será suprimido pelas Microsoft Defender para Endpoint regras de supressão. Para impedir que sejam gerados alertas para determinados utilizadores, dispositivos ou caixas de correio, modifique as consultas correspondentes para excluir essas entidades explicitamente.

Se editar uma regra desta forma, ser-lhe-á pedida a confirmação antes de essas alterações serem aplicadas.

Os novos alertas gerados pelas regras de deteção personalizadas no Microsoft Defender XDR são apresentados numa página de alerta que fornece as seguintes informações:

  • Título e descrição do alerta
  • Recursos afetados
  • Ações tomadas em resposta ao alerta
  • Resultados da consulta que acionaram o alerta
  • Informações sobre a regra de deteção personalizada

Escrever consultas sem DeviceAlertEvents

No esquema Microsoft Defender XDR, as AlertInfo tabelas e AlertEvidence são fornecidas para acomodar o conjunto diversificado de informações que acompanham alertas de várias origens.

Para obter as mesmas informações de alerta que utilizou para obter a partir da DeviceAlertEvents tabela no esquema Microsoft Defender para Endpoint, filtre a AlertInfo tabela por ServiceSource e, em seguida, associe cada ID exclusivo à AlertEvidence tabela, que fornece informações detalhadas sobre eventos e entidades.

Veja a consulta de exemplo abaixo:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Esta consulta gera muito mais colunas do que DeviceAlertEvents no esquema Microsoft Defender para Endpoint. Para manter os resultados geríveis, utilize project para obter apenas as colunas em que está interessado. O exemplo abaixo projecta colunas nas quais poderá estar interessado quando a investigação detetou a atividade do PowerShell:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Se quiser filtrar entidades específicas envolvidas nos alertas, pode fazê-lo ao especificar o tipo de entidade em EntityType e o valor que pretende filtrar. O exemplo seguinte procura um endereço IP específico:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.