Dela via

Avancerad jakt i portalen för Microsoft Defender

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Med avancerad jakt i den enhetliga portalen kan du visa och fråga efter alla data från Microsoft Defender XDR. Detta inkluderar data från olika Microsoft-säkerhetstjänster och Microsoft Sentinel, som innehåller data från produkter som inte kommer från Microsoft, på en enda plattform. Du kan också komma åt och använda allt befintligt innehåll på Microsoft Sentinel-arbetsytan, inklusive frågor och funktioner.

Genom att fråga från en enda portal i olika datauppsättningar blir jakten mer effektiv och behovet av kontextväxling försvinner.

Viktigt

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Så här kommer du åt

Nödvändiga roller och behörigheter

Om du vill köra frågor mot Microsoft Sentinel- och Microsoft Defender XDR-data på sidan för enhetlig avancerad jakt måste du ha åtkomst till avancerad jakt i Microsoft Defender XDR (se Nödvändiga roller och behörigheter) och minst Microsoft Sentinel-läsare (se Microsoft Sentinel-specifika roller).

I den enhetliga portalen kan du fråga efter data i alla arbetsbelastningar som du för närvarande kan komma åt baserat på de roller och behörigheter du har.

Ansluta en arbetsyta

I Microsoft Defender kan du ansluta arbetsytor genom att välja Anslut en arbetsyta i den översta banderollen. Den här knappen visas om du är berättigad att registrera en Microsoft Sentinel-arbetsyta på den enhetliga Microsoft Defender-portalen. Följ stegen i: Registrera en arbetsyta.

När du har anslutit microsoft sentinel-arbetsytan och avancerade jaktdata för Microsoft Defender XDR kan du börja köra frågor mot Microsoft Sentinel-data från sidan avancerad jakt. En översikt över avancerade jaktfunktioner finns i Proaktiv jakt efter hot med avancerad jakt.

Vad du kan förvänta dig för Defender XDR-tabeller som strömmas till Microsoft Sentinel

  • Använda tabeller med längre datakvarhållningsperiod i frågor – Avancerad jakt följer den maximala datakvarhållningsperioden som konfigurerats för Defender XDR-tabellerna (se Förstå kvoter). Om du strömmar Defender XDR-tabeller till Microsoft Sentinel och har en datakvarhållningsperiod som är längre än 30 dagar för dessa tabeller kan du fråga efter den längre perioden i avancerad jakt.
  • Använd Kusto-operatorer som du har använt i Microsoft Sentinel – I allmänhet fungerar frågor från Microsoft Sentinel i avancerad jakt, inklusive frågor som använder operatorn adx() . Det kan finnas fall där IntelliSense varnar dig om att operatorerna i frågan inte matchar schemat, men du kan fortfarande köra frågan och den bör fortfarande köras korrekt.
  • Använd listrutan för tidsfilter i stället för att ange tidsintervallet i frågan – Om du filtrerar inmatning av Defender XDR-tabeller till Sentinel i stället för att strömma tabellerna som de är ska du inte filtrera tiden i frågan eftersom detta kan generera ofullständiga resultat. Om du anger tiden i frågan används strömmade, filtrerade data från Sentinel eftersom de vanligtvis har den längre datakvarhållningsperioden. Om du vill kontrollera att du kör frågor mot alla Defender XDR-data i upp till 30 dagar använder du listrutan för tidsfilter som finns i frågeredigeraren i stället.
  • Visa SourceSystem och MachineGroup kolumner för Defender XDR-data som har strömmats från Microsoft Sentinel – Eftersom kolumnerna SourceSystem och MachineGroup läggs till i Defender XDR-tabeller när de har strömmats till Microsoft Sentinel visas de också i resultat i avancerad jakt i Defender. De är dock fortfarande tomma för Defender XDR-tabeller som inte strömmades (tabeller som följer standardperioden för datakvarhållning på 30 dagar).

Obs!

Att använda den enhetliga portalen, där du kan fråga Microsoft Sentinel-data när du har anslutit en Microsoft Sentinel-arbetsyta, innebär inte automatiskt att du också kan fråga Defender XDR-data i Microsoft Sentinel. Rådatainmatning av Defender XDR bör fortfarande konfigureras i Microsoft Sentinel för att detta ska ske.

Var hittar du dina Microsoft Sentinel-data

Du kan använda KQL-frågor för avancerad jakt (Kusto Query Language) för att söka igenom Microsoft Defender XDR- och Microsoft Sentinel-data.

När du öppnar sidan avancerad jakt för första gången efter att du har anslutit en arbetsyta kan du hitta många av arbetsytans tabeller ordnade efter lösning efter Microsoft Defender XDR-tabellerna under fliken Schema .

Skärmbild av fliken avancerat jaktschema i Microsoft Defender-portalen som markerar platsen för Sentinel-tabeller

På samma sätt hittar du funktionerna från Microsoft Sentinel på fliken Funktioner , och dina delade frågor och exempelfrågor från Microsoft Sentinel finns på fliken Frågor i mappar som är markerade med Sentinel.

Visa schemainformation

Om du vill veta mer om en schematabell väljer du de lodräta ellipserna ( kebabikonen ) till höger om valfritt schematabellnamn under fliken Schema och väljer sedan Visa schema.

I den enhetliga portalen kan du, förutom att visa schemakolumnnamnen och beskrivningarna, även visa:

  • Exempeldata – välj Visa förhandsgranskningsdata, som läser in en enkel fråga som TableName | take 5
  • Schematyp – om tabellen stöder fullständiga frågefunktioner (avancerad tabell) eller inte (grundläggande loggtabell)
  • Datakvarhållningsperiod – hur länge data ska sparas
  • Taggar – tillgängliga för Sentinel-datatabeller

Skärmbild av fönstret schemainformation i Microsoft Defender-portalen

Använda funktioner

Om du vill använda en funktion från Microsoft Sentinel går du till fliken Funktioner och bläddrar tills du hittar den funktion som du vill använda. Dubbelklicka på funktionsnamnet för att infoga funktionen i frågeredigeraren.

Du kan också välja de lodräta ellipserna ( kebabikonen ) till höger om funktionen och välja Infoga för att fråga för att infoga funktionen i en fråga i frågeredigeraren.

Andra alternativ är:

  • Visa information – öppnar funktionssidan som innehåller dess information
  • Läsa in funktionskod – öppnar en ny flik som innehåller funktionskoden

För redigerbara funktioner är fler alternativ tillgängliga när du väljer de lodräta ellipserna:

  • Redigera information – öppnar fönstret på funktionssidan så att du kan redigera information om funktionen (förutom mappnamn för Sentinel-funktioner)
  • Ta bort – tar bort funktionen

Använda sparade frågor

Om du vill använda en sparad fråga från Microsoft Sentinel går du till fliken Frågor och bläddrar tills du hittar den fråga du vill ha. Dubbelklicka på frågenamnet för att läsa in frågan i frågeredigeraren. Om du vill ha fler alternativ väljer du de lodräta ellipserna ( kebabikonen ) till höger om frågan. Härifrån kan du utföra följande åtgärder:

  • Kör frågan – läser in frågan i frågeredigeraren och kör den automatiskt

  • Öppna i frågeredigeraren – läser in frågan i frågeredigeraren

  • Visa information – öppnar sidofönstret för frågeinformation där du kan inspektera frågan, köra frågan eller öppna frågan i redigeraren

    Skärmbild av de alternativ som är tillgängliga i sparade frågor i Microsoft Defender-portalen

För redigerbara frågor finns det fler alternativ:

  • Redigera information – öppnar sidofönstret för frågeinformation med alternativet att redigera informationen, till exempel beskrivning (om tillämpligt) och själva frågan. endast mappnamnen (platsen) för Microsoft Sentinel-frågor kan inte redigeras
  • Ta bort – tar bort frågan
  • Byt namn – gör att du kan ändra frågenamnet

Skapa anpassade analys- och identifieringsregler

För att identifiera hot och avvikande beteenden i din miljö kan du skapa anpassade identifieringsprinciper.

För analysregler som gäller för data som matas in via den anslutna Microsoft Sentinel-arbetsytan väljer du Hantera regler > Skapa analysregel.

Skärmbild av alternativen för att skapa anpassade analyser eller identifieringar i Microsoft Defender-portalen

Guiden Analysregel visas. Fyll i den information som krävs enligt beskrivningen i guiden Analysregel – fliken Allmänt.

Du kan också skapa anpassade identifieringsregler som frågar efter data från både Microsoft Sentinel- och Defender XDR-tabeller. Välj Hantera regler > Skapa anpassad identifiering. Mer information finns i Skapa och hantera anpassade identifieringsregler .

Om dina Defender XDR-data matas in i Microsoft Sentinel kan du välja mellan Skapa anpassad identifiering och Skapa analysregel.

Utforska resultat

Resultatet av de frågor som kördes visas på fliken Resultat . Du kan exportera resultatet till en CSV-fil genom att välja Exportera.

Skärmbild av avancerade jaktresultat med alternativ för att expandera resultatrader i Microsoft Defender-portalen

Du kan också utforska resultaten i linje med följande funktioner:

  • Expandera ett resultat genom att välja listrutepilen till vänster om varje resultat
  • Om tillämpligt expanderar du information för resultat som är i JSON- eller matrisformat genom att välja listrutepilen till vänster om tillämplig resultatrad för ökad läsbarhet
  • Öppna sidofönstret om du vill se information om en post (samtidigt med expanderade rader)

Du kan också högerklicka på valfritt resultatvärde på en rad så att du kan använda det för att:

  • Lägga till fler filter i den befintliga frågan
  • Kopiera värdet för användning i ytterligare undersökning
  • Uppdatera frågan för att utöka ett JSON-fält till en ny kolumn

För Microsoft Defender XDR-data kan du vidta ytterligare åtgärder genom att markera kryssrutorna till vänster om varje resultatrad. Välj Länka till incident för att länka de valda resultaten till en incident (läs Länka frågeresultat till en incident) eller Vidta åtgärder för att öppna guiden Vidta åtgärder (läs Vidta åtgärd för avancerade jaktfrågeresultat).

Kända problem

  • IdentityInfo table Från Microsoft Sentinel är inte tillgängligt eftersom tabellen förblir som den IdentityInfo är i Defender XDR. Microsoft Sentinel-funktioner som analysregler som kör frågor mot den här tabellen påverkas inte eftersom de frågar Log Analytics-arbetsytan direkt.
  • Tabellen Microsoft Sentinel SecurityAlert ersätts av AlertInfo tabellerna och AlertEvidence som båda innehåller alla data om aviseringar. Även om SecurityAlert inte är tillgängligt på schemafliken kan du fortfarande använda det i frågor med hjälp av avancerad jaktredigerare. Den här etableringen görs för att inte bryta befintliga frågor från Microsoft Sentinel som använder den här tabellen.
  • Guidat jaktläge, länkar till incidenter och åtgärder stöds endast för Defender XDR-data.
  • Anpassade identifieringar har följande begränsningar:
    • Anpassade identifieringar är inte tillgängliga för KQL-frågor som inte innehåller Defender XDR-data.
    • Identifieringsfrekvens i nära realtid är inte tillgängligt för identifieringar som innehåller Microsoft Sentinel-data.
    • Anpassade funktioner som har skapats och sparats i Microsoft Sentinel stöds inte.
    • Det finns ännu inte stöd för att definiera entiteter från Sentinel-data i anpassade identifieringar.
  • Bokmärken stöds inte i avancerad jaktupplevelse. De stöds i hothanteringsfunktionen > i Microsoft Sentinel>.
  • Om du strömmar Defender XDR-tabeller till Log Analytics kan det finnas en skillnad mellan kolumnernaTimestamp och TimeGenerated . Om data kommer till Log Analytics efter 48 timmar åsidosätts de vid inmatning till now(). För att få den faktiska tiden som händelsen inträffade rekommenderar vi därför att du förlitar dig på Timestamp kolumnen.
  • När du frågar Copilot for Security om avancerade jaktfrågor kan det hända att inte alla Microsoft Sentinel-tabeller stöds för närvarande. Stöd för dessa tabeller kan dock förväntas i framtiden.