Поделиться через

Расширенная охота с Microsoft Sentinel данными на портале Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Расширенный поиск позволяет просматривать и запрашивать все источники данных, доступные на едином портале Microsoft Defender. Источники данных могут включать Microsoft Defender XDR и различные службы безопасности Майкрософт. При подключении Microsoft Sentinel к порталу Defender получите доступ и используйте все существующее содержимое рабочей области Microsoft Sentinel, включая запросы и функции.

Выполнение запросов с одного портала к разным наборам данных повышает эффективность поиска и устраняет необходимость в переключении контекста.

Важно!

Microsoft Sentinel теперь общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Как получить доступ к

Обязательные роли и разрешения

Вы можете запрашивать данные в любой рабочей нагрузке, к которым вы сейчас можете получить доступ, на основе ролей и разрешений.

Чтобы запрашивать данные Microsoft Sentinel и Microsoft Defender XDR на объединенной странице расширенной охоты, вам также потребуется по крайней мере роль читателя Microsoft Sentinel. Дополнительные сведения см. в разделе Microsoft Sentinel ролей.

Подключение рабочей области

В Microsoft Defender можно подключить рабочие области, выбрав Подключить рабочую область в верхнем баннере. Эта кнопка отображается, если вы можете подключить рабочую область Microsoft Sentinel к единому порталу Microsoft Defender. Выполните действия, описанные в разделе Подключение рабочей области.

После подключения рабочей области Microsoft Sentinel и Microsoft Defender XDR расширенных данных охоты вы можете начать запрашивать данные Microsoft Sentinel со страницы расширенной охоты. Общие сведения о расширенных функциях охоты см. в статье Упреждающая охота на угрозы с помощью расширенной охоты.

Что следует ожидать от таблиц Defender XDR потоковой передачи в Microsoft Sentinel

  • Используйте таблицы с более длительным сроком хранения данных в запросах. Расширенный поиск соответствует максимальному сроку хранения данных, заданному для Defender XDR таблиц (см. раздел Общие сведения о квотах). Если вы выполняете потоковую передачу Defender XDR таблиц в Microsoft Sentinel и срок хранения данных для указанных таблиц превышает 30 дней, вы можете запросить более длительный период в расширенной охоте.
  • Используйте операторы Kusto, которые вы использовали в Microsoft Sentinel. Как правило, запросы из Microsoft Sentinel работают в расширенной охоте, включая запросы, использующие adx() оператор . В некоторых случаях IntelliSense предупреждает, что операторы в запросе не соответствуют схеме, однако вы по-прежнему можете выполнить запрос, и он по-прежнему должен быть успешно выполнен.
  • Используйте раскрывающийся список фильтра времени вместо задания интервала времени в запросе. Если вы фильтруете прием Defender XDR таблиц по Sentinel вместо потоковой передачи таблиц как есть, не фильтруйте время в запросе, так как это может привести к неполным результатам. Если задать время в запросе, используются потоковые отфильтрованные данные из Sentinel, так как обычно они имеют более длительный период хранения данных. Если вы хотите убедиться, что запрашиваете все Defender XDR данные в течение 30 дней, используйте раскрывающийся список фильтра времени, указанный в редакторе запросов.
  • Просмотр SourceSystem и MachineGroup столбцы для Defender XDR данных, передаваемых из Microsoft Sentinel. Так как столбцы SourceSystem и MachineGroup добавляются в таблицы Defender XDR после их передачи в Microsoft Sentinel, они также отображаются в результатах расширенной охоты в Defender. Однако они остаются пустыми для Defender XDR таблиц, которые не были потоковыми (таблицы, которые следуют 30-дневный период хранения данных по умолчанию).

Примечание.

Использование единого портала, на котором можно запрашивать данные Microsoft Sentinel после подключения к рабочей области Microsoft Sentinel, не означает, что вы автоматически можете запрашивать Defender XDR данные в Microsoft Sentinel. Для этого необходимо настроить прием необработанных данных Defender XDR в Microsoft Sentinel.

Где найти данные Microsoft Sentinel

Для поиска Microsoft Defender XDR и Microsoft Sentinel данных можно использовать запросы KQL (язык запросов Kusto).

При первом открытии страницы расширенной охоты после подключения рабочей области многие таблицы этой рабочей области упорядочены по решению после Microsoft Defender XDR таблиц на вкладке Схема.

Снимок экрана: вкладка

Аналогичным образом вы можете найти функции из Microsoft Sentinel на вкладке Функции, а общие и примеры запросов из Microsoft Sentinel можно найти на вкладке Запросы в папках, помеченныхSentinel.

Просмотр сведений о схеме

Чтобы узнать больше о таблице схемы, выберите вертикальные многоточия ( значок шашлыка ) справа от имени любой таблицы схемы на вкладке Схема , а затем выберите Просмотреть схему.

На едином портале помимо просмотра имен и описаний столбцов схемы можно также просмотреть:

  • Пример данных— выберите Просмотреть данные предварительного просмотра, чтобы загрузить простой запрос, например TableName | take 5
  • Тип схемы — поддерживает ли таблица полные возможности запросов (расширенная таблица) или нет (базовая таблица журналов)
  • Срок хранения данных — срок хранения данных
  • Теги — доступны для таблиц данных Sentinel

Снимок экрана: область сведений о схеме на портале Microsoft Defender

Известные проблемы

  • Объект IdentityInfo table из Microsoft Sentinel недоступен, так как IdentityInfo таблица остается в Defender XDR. Microsoft Sentinel функции, такие как правила аналитики, которые запрашивают эту таблицу, не затрагиваются, так как они напрямую запрашивают рабочую область Log Analytics.
  • Таблица Microsoft Sentinel SecurityAlert заменена таблицами AlertInfo иAlertEvidence, которые содержат все данные об оповещениях. Хотя SecurityAlert недоступен на вкладке схемы, его по-прежнему можно использовать в запросах с помощью расширенного редактора охоты. Эта подготовка выполняется таким образом, чтобы не прерывать существующие запросы от Microsoft Sentinel, которые используют эту таблицу.
  • Режим интерактивной охоты и возможности действий принятия поддерживаются только для Defender XDR данных.
  • Пользовательские обнаружения имеют следующие ограничения:
    • Пользовательские обнаружения недоступны для запросов KQL, которые не включают Defender XDR данные.
    • Частота обнаружения практически в реальном времени недоступна для обнаружения, включающих Microsoft Sentinel данные.
    • Пользовательские функции, созданные и сохраненные в Microsoft Sentinel, не поддерживаются.
    • Определение сущностей из Sentinel данных пока не поддерживается в пользовательских обнаружениях.
  • Закладки не поддерживаются в расширенном интерфейсе охоты. Они поддерживаются в функции охоты на управление угрозами > Microsoft Sentinel>.
  • При потоковой передаче Defender XDR таблиц в Log Analytics может быть разница междуTimestamp столбцами и TimeGenerated . Если данные поступают в Log Analytics через 48 часов, они переопределяются при приеме в now(). Поэтому, чтобы получить фактическое время возникновения события, рекомендуется полагаться на Timestamp столбец.
  • При запросе Copilot for Security для расширенных запросов охоты может оказаться, что в настоящее время поддерживаются не все Microsoft Sentinel таблицы. Однако в будущем можно ожидать поддержки этих таблиц.

См. также