Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender XDR
Flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint för att proaktivt söka efter hot med hjälp av en bredare uppsättning data. I Microsoft Defender XDR får du åtkomst till data från andra Microsoft 365-säkerhetslösningar, inklusive:
- Microsoft Defender för Endpoint
- Microsoft Defender för Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Obs!
De flesta Microsoft Defender för Endpoint kunder kan använda Microsoft Defender XDR utan ytterligare licenser. Starta Microsoft Defender XDR om du vill börja överföra dina avancerade jaktarbetsflöden från Defender för Endpoint.
Du kan gå över utan att påverka dina befintliga Defender för Endpoint-arbetsflöden. Sparade frågor förblir intakta och anpassade identifieringsregler fortsätter att köra och generera aviseringar. De kommer dock att visas i Microsoft Defender XDR.
Endast schematabeller i Microsoft Defender XDR
Det Microsoft Defender XDR avancerade jaktschemat innehåller ytterligare tabeller som innehåller data från olika Microsoft 365-säkerhetslösningar. Följande tabeller är endast tillgängliga i Microsoft Defender XDR:
Tabellnamn | Beskrivning |
---|---|
AlertEvidence | Filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar |
AlertInfo | Aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity, inklusive allvarlighetsgradsinformation och hotkategorier |
EmailAttachmentInfo | Information om filer som är kopplade till e-postmeddelanden |
EmailEvents | E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser |
EmailPostDeliveryEvents | Säkerhetshändelser som inträffar efter leverans, efter att Microsoft 365 har levererat e-postmeddelandena till mottagarens postlåda |
EmailUrlInfo | Information om URL:er för e-postmeddelanden |
IdentityDirectoryEvents | Händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen beskriver en rad identitetsrelaterade händelser och systemhändelser på domänkontrollanten. |
IdentityInfo | Kontoinformation från olika källor, inklusive Microsoft Entra ID |
IdentityLogonEvents | Autentiseringshändelser i Active Directory och Microsoft onlinetjänster |
IdentityQueryEvents | Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner |
Viktigt
Frågor och anpassade identifieringar som använder schematabeller som endast är tillgängliga i Microsoft Defender XDR kan bara visas i Microsoft Defender XDR.
Mappa tabellen DeviceAlertEvents
Tabellerna AlertInfo
och AlertEvidence
ersätter DeviceAlertEvents
tabellen i det Microsoft Defender för Endpoint schemat. Förutom data om enhetsaviseringar innehåller dessa två tabeller data om aviseringar för identiteter, appar och e-postmeddelanden.
Använd följande tabell för att kontrollera hur DeviceAlertEvents
kolumner mappas till kolumner i tabellerna AlertInfo
och AlertEvidence
.
Tips
Förutom kolumnerna i följande tabell AlertEvidence
innehåller tabellen många andra kolumner som ger en mer holistisk bild av aviseringar från olika källor.
Visa alla AlertEvidence-kolumner
Kolumnen DeviceAlertEvents | Var du hittar samma data i Microsoft Defender XDR |
---|---|
AlertId |
AlertInfo och AlertEvidence tabeller |
Timestamp |
AlertInfo och AlertEvidence tabeller |
DeviceId |
AlertEvidence bord |
DeviceName |
AlertEvidence bord |
Severity |
AlertInfo bord |
Category |
AlertInfo bord |
Title |
AlertInfo bord |
FileName |
AlertEvidence bord |
SHA1 |
AlertEvidence bord |
RemoteUrl |
AlertEvidence bord |
RemoteIP |
AlertEvidence bord |
AttackTechniques |
AlertInfo bord |
ReportId |
Den här kolumnen används vanligtvis i Microsoft Defender för Endpoint för att hitta relaterade poster i andra tabeller. I Microsoft Defender XDR kan du hämta relaterade data direkt från AlertEvidence tabellen. |
Table |
Den här kolumnen används vanligtvis i Microsoft Defender för Endpoint för ytterligare händelseinformation i andra tabeller. I Microsoft Defender XDR kan du hämta relaterade data direkt från AlertEvidence tabellen. |
Justera befintliga Microsoft Defender för Endpoint frågor
Microsoft Defender för Endpoint frågor fungerar som de är om de inte refererar till DeviceAlertEvents
tabellen. Tillämpa dessa ändringar om du vill använda dessa frågor i Microsoft Defender XDR:
- Ersätt
DeviceAlertEvents
medAlertInfo
. - Anslut tabellerna
AlertInfo
AlertEvidence
och tillAlertId
för att hämta motsvarande data.
Ursprunglig fråga
Följande fråga använder DeviceAlertEvents
i Microsoft Defender för Endpoint för att hämta aviseringarna som involverar powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Ändrad fråga
Följande fråga har justerats för användning i Microsoft Defender XDR. I stället för att kontrollera filnamnet direkt från DeviceAlertEvents
kopplas AlertEvidence
det till och söker efter filnamnet i tabellen.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Migrera anpassade identifieringsregler
När Microsoft Defender för Endpoint regler redigeras på Microsoft Defender XDR fortsätter de att fungera som tidigare om den resulterande frågan endast tittar på enhetstabeller.
Till exempel kommer aviseringar som genereras av anpassade identifieringsregler som endast frågar efter enhetstabeller att levereras till SIEM och genererar e-postaviseringar, beroende på hur du har konfigurerat dessa i Microsoft Defender för Endpoint. Alla befintliga undertryckningsregler i Defender för Endpoint fortsätter också att gälla.
När du har redigerat en Defender för Endpoint-regel så att den frågar identitets- och e-posttabeller, som endast är tillgängliga i Microsoft Defender XDR, flyttas regeln automatiskt till Microsoft Defender XDR.
Aviseringar som genereras av den migrerade regeln:
- Visas inte längre i Defender för Endpoint-portalen (Microsoft Defender Säkerhetscenter)
- Sluta att levereras till SIEM eller generera e-postaviseringar. Du kan kringgå den här ändringen genom att konfigurera meddelanden via Microsoft Defender XDR för att få aviseringarna. Du kan använda Microsoft Defender XDR API för att ta emot meddelanden om kundidentifieringsaviseringar eller relaterade incidenter.
- Undertrycks inte av Microsoft Defender för Endpoint undertryckningsregler. Om du vill förhindra att aviseringar genereras för vissa användare, enheter eller postlådor ändrar du motsvarande frågor för att uttryckligen undanta dessa entiteter.
Om du redigerar en regel på det här sättet uppmanas du att bekräfta innan sådana ändringar tillämpas.
Nya aviseringar som genereras av anpassade identifieringsregler i Microsoft Defender XDR visas på en aviseringssida som innehåller följande information:
- Aviseringsrubrik och beskrivning
- Påverkade tillgångar
- Åtgärder som vidtas som svar på aviseringen
- Frågeresultat som utlöste aviseringen
- Information om den anpassade identifieringsregeln
Skriva frågor utan DeviceAlertEvents
I Microsoft Defender XDR-schemat tillhandahålls tabellerna AlertInfo
och AlertEvidence
för att hantera olika typer av information som medföljer aviseringar från olika källor.
Om du vill få samma aviseringsinformation som du använde för att hämta från DeviceAlertEvents
tabellen i Microsoft Defender för Endpoint-schemat filtrerar AlertInfo
du tabellen ServiceSource
efter och kopplar sedan varje unikt ID till AlertEvidence
tabellen, som innehåller detaljerad information om händelser och entiteter.
Se exempelfrågan nedan:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Den här frågan ger många fler kolumner än DeviceAlertEvents
i Microsoft Defender för Endpoint-schemat. För att hålla resultaten hanterbara använder du project
för att bara hämta de kolumner som du är intresserad av. Exemplet nedan projektkolumner som du kanske är intresserad av när undersökningen upptäckte PowerShell-aktivitet:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Om du vill filtrera efter specifika entiteter som ingår i aviseringarna kan du göra det genom att ange entitetstypen i EntityType
och det värde som du vill filtrera efter. I följande exempel söker vi efter en specifik IP-adress:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
Se även
- Aktivera Microsoft Defender XDR
- Översikt över avancerad jakt
- Förstå schemat
- Avancerad jakt i Microsoft Defender för Endpoint
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.