Partilhar via

Investigação avançada no portal do Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A investigação avançada no portal unificado permite-lhe ver e consultar todos os dados de Microsoft Defender XDR. Isto inclui dados de vários serviços de segurança da Microsoft e do Microsoft Sentinel, que inclui dados de produtos que não são da Microsoft, numa única plataforma. Também pode aceder e utilizar todos os conteúdos existentes da área de trabalho do Microsoft Sentinel, incluindo consultas e funções.

A consulta a partir de um único portal em diferentes conjuntos de dados torna a investigação mais eficiente e elimina a necessidade de mudança de contexto.

Importante

O Microsoft Sentinel está disponível como parte da pré-visualização pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

Como aceder

Funções e permissões necessárias

Para consultar o Microsoft Sentinel e Microsoft Defender XDR dados na página de investigação avançada unificada, tem de ter acesso a Microsoft Defender XDR investigação avançada (consulte Funções e permissões necessárias) e, pelo menos, Leitor do Microsoft Sentinel (consulte Funções específicas do Microsoft Sentinel).

No portal unificado, pode consultar quaisquer dados em qualquer carga de trabalho a que possa aceder atualmente com base nas funções e permissões que tem.

Ligar uma área de trabalho

No Microsoft Defender, pode ligar áreas de trabalho ao selecionar Ligar uma área de trabalho na faixa superior. Este botão é apresentado se for elegível para integrar uma área de trabalho do Microsoft Sentinel no portal Microsoft Defender unificado. Siga os passos em: Integrar uma área de trabalho.

Depois de ligar a área de trabalho do Microsoft Sentinel e Microsoft Defender XDR dados de investigação avançados, pode começar a consultar dados do Microsoft Sentinel a partir da página de investigação avançada. Para obter uma descrição geral das funcionalidades avançadas de investigação, leia Proativamente investigar ameaças com investigação avançada.

O que esperar de Defender XDR tabelas transmitidas em fluxo para o Microsoft Sentinel

  • Utilizar tabelas com um período de retenção de dados mais longo em consultas – a investigação avançada segue o período máximo de retenção de dados configurado para as tabelas de Defender XDR (veja Compreender as quotas). Se transmitir em fluxo Defender XDR tabelas para o Microsoft Sentinel e tiver um período de retenção de dados superior a 30 dias para as tabelas ditas, pode consultar durante um período mais longo na investigação avançada.
  • Utilizar operadores Kusto que utilizou no Microsoft Sentinel – em geral, as consultas do Microsoft Sentinel funcionam na investigação avançada, incluindo consultas que utilizam o adx() operador. Pode haver casos em que o IntelliSense o avisa de que os operadores na sua consulta não correspondem ao esquema. No entanto, ainda pode executar a consulta e esta ainda deve ser executada com êxito.
  • Utilize o menu pendente filtro de tempo em vez de definir o intervalo de tempo na consulta – se estiver a filtrar a ingestão de Defender XDR tabelas para o Sentinel em vez de transmitir em fluxo as tabelas tal como está, não filtre o tempo na consulta, uma vez que isto pode gerar resultados incompletos. Se definir a hora na consulta, os dados transmitidos em fluxo e filtrados do Sentinel são utilizados porque normalmente têm o período de retenção de dados mais longo. Se quiser certificar-se de que está a consultar todos os Defender XDR dados durante um máximo de 30 dias, utilize o menu pendente filtro de tempo fornecido no editor de consultas.
  • Ver SourceSystem e MachineGroup colunas para Defender XDR dados transmitidos a partir do Microsoft Sentinel – uma vez que as colunas e MachineGroup são adicionadas SourceSystem a Defender XDR tabelas depois de serem transmitidas para o Microsoft Sentinel, também aparecem nos resultados da investigação avançada no Defender. No entanto, permanecem em branco para Defender XDR tabelas que não foram transmitidas em fluxo (tabelas que seguem o período de retenção de dados predefinido de 30 dias).

Nota

Utilizar o portal unificado, onde pode consultar dados do Microsoft Sentinel depois de ligar uma área de trabalho do Microsoft Sentinel, não significa automaticamente que também pode consultar Defender XDR dados enquanto estiver no Microsoft Sentinel. A ingestão de dados não processados de Defender XDR ainda deve ser configurada no Microsoft Sentinel para que tal aconteça.

Onde encontrar os seus dados do Microsoft Sentinel

Pode utilizar consultas KQL de investigação avançada (Linguagem de Pesquisa Kusto) para investigar Microsoft Defender XDR e dados do Microsoft Sentinel.

Quando abre a página de investigação avançada pela primeira vez depois de ligar uma área de trabalho, pode encontrar muitas das tabelas dessa área de trabalho organizadas por solução após a Microsoft Defender XDR tabelas no separador Esquema.

Captura de ecrã do separador de esquema de investigação avançado no portal do Microsoft Defender a realçar a localização das tabelas do Sentinel

Da mesma forma, pode encontrar as funções do Microsoft Sentinel no separador Funções e as suas consultas partilhadas e de exemplo do Microsoft Sentinel podem ser encontradas no separador Consultas dentro de pastas marcadas como Sentinel.

Ver informações de esquema

Para saber mais sobre uma tabela de esquema, selecione as reticências verticais ( ícone de clique ) à direita de qualquer nome de tabela de esquema no separador Esquema e, em seguida, selecione Ver esquema.

No portal unificado, além de ver os nomes e descrições das colunas de esquema, também pode ver:

  • Dados de exemplo – selecione Ver dados de pré-visualização, que carrega uma consulta simples como TableName | take 5
  • Tipo de esquema – se a tabela suporta capacidades de consulta completas (tabela avançada) ou não (tabela de registos básicos)
  • Período de retenção de dados – durante quanto tempo os dados estão definidos para serem mantidos
  • Etiquetas – disponível para tabelas de dados do Sentinel

Captura de ecrã do painel de informações do esquema no portal do Microsoft Defender

Utilizar funções

Para utilizar uma função do Microsoft Sentinel, aceda ao separador Funções e desloque-se até encontrar a função pretendida. Faça duplo clique no nome da função para inserir a função no editor de consultas.

Também pode selecionar as reticências verticais ( ícone de clique ) à direita da função e selecionar Inserir para consultar para inserir a função numa consulta no editor de consultas.

Outras opções incluem:

  • Ver detalhes – abre o painel do lado da função que contém os respetivos detalhes
  • Carregar código da função – abre um novo separador que contém o código da função

Para funções editáveis, estão disponíveis mais opções quando seleciona as reticências verticais:

  • Editar detalhes – abre o painel do lado da função para lhe permitir editar detalhes sobre a função (exceto os nomes das pastas das funções do Sentinel)
  • Eliminar – elimina a função

Utilizar consultas guardadas

Para utilizar uma consulta guardada do Microsoft Sentinel, aceda ao separador Consultas e desloque-se até encontrar a consulta pretendida. Faça duplo clique no nome da consulta para carregar a consulta no editor de consultas. Para obter mais opções, selecione as reticências verticais ( ícone de clique ) à direita da consulta. A partir daqui, pode efetuar as seguintes ações:

  • Executar consulta – carrega a consulta no editor de consultas e executa-a automaticamente

  • Abrir no editor de consultas – carrega a consulta no editor de consultas

  • Ver detalhes – abre o painel lateral dos detalhes da consulta onde pode inspecionar a consulta, executar a consulta ou abrir a consulta no editor

    Captura de ecrã das opções disponíveis em consultas guardadas no portal do Microsoft Defender

Para consultas editáveis, estão disponíveis mais opções:

  • Editar detalhes – abre o painel lateral dos detalhes da consulta com a opção de editar os detalhes, como a descrição (se aplicável) e a própria consulta; apenas os nomes das pastas (localização) das consultas do Microsoft Sentinel não podem ser editados
  • Eliminar – elimina a consulta
  • Mudar o nome – permite-lhe modificar o nome da consulta

Create regras de análise e deteção personalizadas

Para ajudar a detetar ameaças e comportamentos anómalos no seu ambiente, pode criar políticas de deteção personalizadas.

Para regras de análise aplicáveis aos dados ingeridos através da área de trabalho do Microsoft Sentinel ligada, selecione Gerir regras > Create regra de análise.

Captura de ecrã das opções para criar análises ou deteções personalizadas no portal do Microsoft Defender

É apresentado o assistente de regras de Análise. Preencha os detalhes necessários, conforme descrito no Assistente de regras de análise — separador Geral.

Para regras de deteção personalizadas que se aplicam a dados Microsoft Defender XDR, selecione Gerir regras > Create deteção personalizada. Leia Create e faça a gestão de regras de deteção personalizadas para obter mais informações.

Explorar os resultados

Os resultados das consultas que foram executadas são apresentados no separador Resultados . Pode exportar os resultados para um ficheiro CSV ao selecionar Exportar.

Captura de ecrã dos resultados avançados da investigação com opções para expandir as linhas de resultados no portal do Microsoft Defender

Também pode explorar os resultados em linha com as seguintes funcionalidades:

  • Expanda um resultado ao selecionar a seta pendente à esquerda de cada resultado
  • Quando aplicável, expanda os detalhes dos resultados que estão no formato JSON ou matriz ao selecionar a seta pendente à esquerda da linha de resultados aplicável para maior legibilidade
  • Abra o painel lateral para ver os detalhes de um registo (em simultâneo com linhas expandidas)

Também pode clicar com o botão direito do rato em qualquer valor de resultado numa linha para que possa utilizá-lo para:

  • Adicionar mais filtros à consulta existente
  • Copiar o valor para utilização numa investigação mais aprofundada
  • Atualizar a consulta para expandir um campo JSON para uma nova coluna

Para Microsoft Defender XDR dados, pode tomar medidas adicionais ao selecionar as caixas de verificação à esquerda de cada linha de resultados. Selecione Ligar ao incidente para ligar os resultados selecionados a um incidente (leia Ligar os resultados da consulta a um incidente) ou Tomar medidas para abrir o assistente Tomar ações (leia Tomar medidas sobre os resultados avançados da consulta de investigação).

Problemas conhecidos

  • O IdentityInfo table do Microsoft Sentinel não está disponível, uma vez que a IdentityInfo tabela permanece como está no Defender XDR. As funcionalidades do Microsoft Sentinel, como as regras de análise que consultam esta tabela, não são afetadas, uma vez que estão a consultar diretamente a área de trabalho do Log Analytics.
  • A tabela do Microsoft Sentinel SecurityAlert é substituída por AlertInfo tabelas e AlertEvidence , ambas, contêm todos os dados em alertas. Embora SecurityAlert não esteja disponível no separador de esquema, ainda pode utilizá-lo em consultas com o editor de investigação avançado. Esta aprovisionamento é feita para não interromper as consultas existentes do Microsoft Sentinel que utilizam esta tabela.
  • O modo de investigação guiada é suportado apenas para Defender XDR dados.
  • As deteções personalizadas, as ligações para incidentes e as capacidades de ações são suportadas apenas para Defender XDR dados.
  • Os marcadores não são suportados na experiência de investigação avançada. São suportados na funcionalidade Investigação de Ameaças > do Microsoft Sentinel>.
  • Se estiver a transmitir Defender XDR tabelas para o Log Analytics, poderá haver uma diferença entre asTimestamp colunas eTimeGenerated. Caso os dados cheguem ao Log Analytics após 48 horas, estão a ser substituídos após a ingestão para now(). Por conseguinte, para obter a hora real em que o evento aconteceu, recomendamos que dependa da Timestamp coluna.
  • O Microsoft Graph API para executar uma consulta de investigação avançada ainda não suporta a consulta de dados do Microsoft Sentinel.
  • Quando pedir Copilot para Security consultas de investigação avançadas, poderá constatar que nem todas as tabelas do Microsoft Sentinel são atualmente suportadas. No entanto, o suporte para estas tabelas pode ser esperado no futuro.