Dela via

Skapa anpassade jaktfrågor i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jaga efter säkerhetshot i organisationens datakällor med anpassade jaktfrågor. Microsoft Sentinel tillhandahåller inbyggda jaktfrågor som hjälper dig att hitta problem i de data du har i nätverket. Men du kan skapa egna anpassade frågor. Mer information om jaktfrågor finns i Hotjakt i Microsoft Sentinel.

Skapa en ny fråga

I Microsoft Sentinel skapar du en anpassad jaktfråga från fliken Jaktfrågor>.

  1. För Microsoft Sentinel i Azure-portalen väljer du Jakt under Hothantering.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Hothantering>>Jakt.

  2. Välj fliken Frågor .

  3. I kommandofältet väljer du Ny fråga.

  4. Fyll i alla tomma fält.

    1. Skapa entitetsmappningar genom att välja entitetstyper, identifierare och kolumner.

      Skärmbild för att mappa entitetstyper i jaktfrågor.

    2. Mappa MITRE ATT&CK-tekniker till dina jaktfrågor genom att välja taktik, teknik och underteknik (om tillämpligt).

      Ny fråga

  5. När du har definierat frågan väljer du Skapa.

Klona en befintlig fråga

Klona en anpassad eller inbyggd fråga och redigera den efter behov.

  1. På fliken Jaktfrågor> väljer du den jaktfråga som du vill klona.

  2. Välj ellipsen (...) i raden i frågan som du vill ändra och välj Klona.

  3. Redigera frågan och andra fält efter behov.

  4. Välj Skapa.

Redigera en befintlig anpassad fråga

Endast frågor som från en anpassad innehållskälla kan redigeras. Andra innehållskällor måste redigeras på den källan.

  1. På fliken Jaktfrågor> väljer du den jaktfråga som du vill ändra.

  2. Välj ellipsen (...) i raden för den fråga som du vill ändra och välj Redigera.

  3. Uppdatera fältet Fråga med den uppdaterade frågan. Du kan också ändra entitetsmappning och -tekniker.

  4. När du är klar väljer du Spara.

Relaterat innehåll