Поделиться через

Создание пользовательских запросов охоты в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Поиск угроз безопасности в источниках данных вашей организации с пользовательскими запросами охоты. Microsoft Sentinel предоставляет встроенные поисковые запросы, помогающие найти проблемы в данных, которые есть в вашей сети. Но вы можете создать собственные пользовательские запросы. Дополнительные сведения о запросах на охоту см. в статье "Поиск угроз" в Microsoft Sentinel.

Создание запроса

В Microsoft Sentinel создайте настраиваемый запрос охоты на вкладке "Запросы охоты>".

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.

  2. Перейдите на вкладку "Запросы ".

  3. На панели команд выберите "Создать запрос".

  4. Заполните все пустые поля.

    1. Создайте сопоставления сущностей, выбрав типы сущностей, идентификаторы и столбцы.

      Снимок экрана: сопоставление типов сущностей в запросах охоты.

    2. Сопоставите методы MITRE ATT&CK с запросами охоты, выбрав тактику, технику и подтехнику (если применимо).

      Создать запрос

  5. Завершив определение запроса, нажмите кнопку "Создать".

Клонирование существующего запроса

Клонируйте пользовательский или встроенный запрос и измените его по мере необходимости.

  1. На вкладке "Запросы охоты" выберите запрос охоты>, который требуется клонировать.

  2. Выберите многоточие (...) в строке запроса, который требуется изменить, и нажмите кнопку "Клонировать".

  3. Измените запрос и другие поля соответствующим образом.

  4. Нажмите кнопку создания.

Изменение существующего пользовательского запроса

Можно изменить только запросы, которые можно изменить из пользовательского источника контента. Другие источники контента должны быть изменены в этом источнике.

  1. На вкладке "Запросы охоты" выберите запрос охоты>, который требуется изменить.

  2. Выберите многоточие (...) в строке запроса, который вы хотите изменить, и нажмите кнопку "Изменить".

  3. Обновите поле запроса с обновленным запросом. Вы также можете изменить сопоставление сущностей и методы.

  4. После завершения нажмите кнопку "Сохранить".

Связанный контент