Aracılığıyla paylaş

Microsoft Defender portalında gelişmiş avcılık

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Birleşik portalda gelişmiş avcılık, Microsoft Defender XDR'deki tüm verileri görüntülemenize ve sorgulamanıza olanak tanır. Bu, çeşitli Microsoft güvenlik hizmetlerindeki verileri ve Microsoft dışı ürünlerdeki verileri içeren Microsoft Sentinel'i tek bir platformda içerir. Ayrıca sorgular ve işlevler de dahil olmak üzere mevcut tüm Microsoft Sentinel çalışma alanı içeriğinize erişebilir ve bunları kullanabilirsiniz.

Farklı veri kümelerinde tek bir portaldan sorgulamak, avcılığı daha verimli hale getirir ve bağlam değiştirme gereksinimini ortadan kaldırır.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunulmuştur. Daha fazla bilgi için Bkz. Microsoft Defender portalında Microsoft Sentinel.

Erişim

Gerekli roller ve izinler

Birleşik gelişmiş tehdit avcılığı sayfasında Microsoft Sentinel ve Microsoft Defender XDR verilerini sorgulamak için Microsoft Defender XDR gelişmiş avcılık ( bkz. Gerekli roller ve izinler) ve en azından Microsoft Sentinel Okuyucusu'na (bkz. Microsoft Sentinel'e özgü roller).

Birleştirilmiş portalda, sahip olduğunuz rollere ve izinlere göre şu anda erişebileceğiniz herhangi bir iş yükündeki verileri sorgulayabilirsiniz.

Çalışma alanını bağlama

Microsoft Defender'da üst başlıktaki Çalışma alanına bağlan'ı seçerek çalışma alanlarını bağlayabilirsiniz. Microsoft Sentinel çalışma alanını birleşik Microsoft Defender portalına eklemeye uygunsanız bu düğme görüntülenir. Şu adımları izleyin: Çalışma alanı ekleme.

Microsoft Sentinel çalışma alanınızı ve Microsoft Defender XDR gelişmiş tehdit avcılığı verilerinizi bağladıktan sonra gelişmiş tehdit avcılığı sayfasından Microsoft Sentinel verilerini sorgulamaya başlayabilirsiniz. Gelişmiş avcılık özelliklerine genel bir bakış için gelişmiş avcılık ile tehditleri proaktif olarak avlama bölümünü okuyun.

Microsoft Sentinel'e akışı yapılan Defender XDR tablolarında neler beklenmeli?

  • Sorgularda daha uzun veri saklama süresi olan tabloları kullanma – Gelişmiş avcılık, Defender XDR tabloları için yapılandırılan maksimum veri saklama süresini izler (bkz. Kotaları anlama). Defender XDR tablolarını Microsoft Sentinel'e akışla aktarıyorsanız ve söz edilen tablolar için 30 günden uzun bir veri saklama süresine sahipseniz, gelişmiş avcılıkta daha uzun süre için sorgu yapabilirsiniz.
  • Microsoft Sentinel'de kullandığınız Kusto işleçlerini kullanma – Genel olarak, Microsoft Sentinel'den gelen sorgular, işleci kullanan adx() sorgular da dahil olmak üzere gelişmiş avcılıkta çalışır. IntelliSense'in sorgunuzdaki işleçlerin şemayla eşleşmediği konusunda sizi uyardığı durumlar olabilir, ancak sorguyu yine de çalıştırabilirsiniz ve yine de başarıyla yürütülmelidir.
  • Sorgudaki zaman aralığını ayarlamak yerine zaman filtresi açılan listesini kullanın – Defender XDR tablolarının alımını olduğu gibi akışla akışla göndermek yerine Sentinel'e filtreliyorsanız, sorgudaki zamanı filtrelemeyin çünkü bu işlem tamamlanmamış sonuçlara neden olabilir. Sorguda zamanı ayarlarsanız, sentinel'den akışla aktarılan, filtrelenmiş veriler genellikle daha uzun veri saklama süresine sahip olduğundan kullanılır. Tüm Defender XDR verilerini 30 güne kadar sorguladığınızdan emin olmak istiyorsanız, bunun yerine sorgu düzenleyicisinde sağlanan zaman filtresi açılan listesini kullanın.
  • MachineGroup Microsoft Sentinel'den akışı yapılan Defender XDR verilerini ve sütunlarını görüntüleme SourceSystem – Microsoft SourceSystem Sentinel'e akışla aktarıldıktan ve MachineGroup Defender XDR tablolarına eklendiklerinden, Defender'da gelişmiş avcılık ile sonuç olarak da görünürler. Ancak, akışla aktarılmamış Defender XDR tabloları için boş kalırlar (varsayılan 30 günlük veri saklama süresini izleyen tablolar).

Not

Microsoft Sentinel çalışma alanını bağladıktan sonra Microsoft Sentinel verilerini sorgulayabileceğiniz birleşik portalı kullanmak, Microsoft Sentinel'deyken Defender XDR verilerini de sorgulayabileceğiniz anlamına gelmez. Defender XDR'nin ham veri alımı, bunun gerçekleşmesi için Microsoft Sentinel'de yapılandırılmaya devam etmelidir.

Microsoft Sentinel verilerinizi nerede bulabilirim?

Microsoft Defender XDR ve Microsoft Sentinel verileri aracılığıyla avlanmak için gelişmiş tehdit avcılığı KQL (Kusto Sorgu Dili) sorgularını kullanabilirsiniz.

Bir çalışma alanını bağladıktan sonra gelişmiş tehdit avcılığı sayfasını ilk kez açtığınızda, şema sekmesinin altında Microsoft Defender XDR tablolarından sonra bu çalışma alanının çözüme göre düzenlenmiş tablolarının çoğunu bulabilirsiniz.

Microsoft Defender portalında Sentinel tablolarının konumunu vurgulayan gelişmiş tehdit avcılığı şeması sekmesinin ekran görüntüsü

Benzer şekilde, Microsoft Sentinel'deki işlevleri İşlevler sekmesinde, Microsoft Sentinel'den paylaşılan ve örnek sorgularınız da Sentinel olarak işaretlenmiş klasörlerin içindeki Sorgular sekmesinde bulunabilir.

Şema bilgilerini görüntüleme

Şema tablosu hakkında daha fazla bilgi edinmek için Şema sekmesinin altındaki herhangi bir şema tablosu adının sağındaki dikey üç noktayı ( kebap simgesi ) ve ardından Şemayıgörüntüle'yi seçin.

Birleşik portalda, şema sütun adlarını ve açıklamalarını görüntülemenin yanı sıra şunları da görüntüleyebilirsiniz:

  • Örnek veriler – Aşağıdaki gibi basit bir sorgu yükleyen Önizleme verilerini gör'e tıklayın TableName | take 5
  • Şema türü – tablonun tam sorgu özelliklerini (gelişmiş tablo) destekleyip desteklemediği (temel günlükler tablosu)
  • Veri saklama süresi – verilerin ne kadar süreyle tutulacağı
  • Etiketler – Sentinel veri tablolarında kullanılabilir

Microsoft Defender portalındaki şema bilgileri bölmesinin ekran görüntüsü

İşlevleri kullanma

Microsoft Sentinel'den bir işlev kullanmak için İşlevler sekmesine gidin ve istediğiniz işlevi bulana kadar kaydırın. İşlevi sorgu düzenleyicisine eklemek için işlev adına çift tıklayın.

Ayrıca, işlevin sağındaki dikey üç noktayı ( kebap simgesi ) seçebilir ve sorgu düzenleyicisindeki bir sorguya işlevi eklemek için Sorguya ekle'yi seçebilirsiniz.

Diğer seçenekler şunlardır:

  • Ayrıntıları görüntüle – ayrıntılarını içeren işlev yan bölmesini açar
  • İşlev kodunu yükle – işlev kodunu içeren yeni bir sekme açar

Düzenlenebilir işlevler için, dikey üç noktayı seçtiğinizde daha fazla seçenek sağlanır:

  • Ayrıntıları düzenle – işlevle ilgili ayrıntıları düzenlemenize olanak sağlamak için işlev yan bölmesini açar (Sentinel işlevleri için klasör adları dışında)
  • Delete – işlevi siler

Kaydedilen sorguları kullanma

Microsoft Sentinel'den kaydedilen bir sorguyu kullanmak için Sorgular sekmesine gidin ve istediğiniz sorguyu bulana kadar kaydırın. Sorgu düzenleyicisinde sorguyu yüklemek için sorgu adına çift tıklayın. Diğer seçenekler için sorgunun sağındaki dikey üç noktayı ( kebap simgesi ) seçin. Buradan aşağıdaki eylemleri gerçekleştirebilirsiniz:

  • Sorguyu çalıştırma – sorguyu sorgu düzenleyicisine yükler ve otomatik olarak çalıştırır

  • Sorgu düzenleyicisinde aç – sorguyu sorgu düzenleyicisine yükler

  • Ayrıntıları görüntüle – Sorguyu inceleyebileceğiniz, sorguyu çalıştırabileceğiniz veya sorguyu düzenleyicide açabileceğiniz sorgu ayrıntıları yan bölmesini açar

    Microsoft Defender portalında kayıtlı sorgularda kullanılabilen seçeneklerin ekran görüntüsü

Düzenlenebilir sorgular için daha fazla seçenek sağlanır:

  • Ayrıntıları düzenle – açıklama (varsa) ve sorgunun kendisi gibi ayrıntıları düzenleme seçeneğiyle sorgu ayrıntıları yan bölmesini açar; Yalnızca Microsoft Sentinel sorgularının klasör adları (konumu) düzenlenemez
  • Sil – sorguyu siler
  • Yeniden adlandır – sorgu adını değiştirmenize olanak tanır

Özel analiz ve algılama kuralları oluşturma

Ortamınızdaki tehditleri ve anormal davranışları keşfetmeye yardımcı olmak için özel algılama ilkeleri oluşturabilirsiniz.

Bağlı Microsoft Sentinel çalışma alanı aracılığıyla alınan verilere uygulanan analiz kuralları için Kuralları > yönet Analiz kuralı oluştur'u seçin.

Microsoft Defender portalında özel analiz veya algılama oluşturma seçeneklerinin ekran görüntüsü

Analiz kuralı sihirbazı görüntülenir. Analiz kuralı sihirbazında açıklandığı gibi gerekli ayrıntıları doldurun— Genel sekmesi.

Ayrıca hem Microsoft Sentinel hem de Defender XDR tablolarındaki verileri sorgulayan özel algılama kuralları oluşturabilirsiniz. Kuralları > yönet Özel algılama oluştur'u seçin. Daha fazla bilgi için Özel algılama kuralları oluşturma ve yönetme makalesini okuyun.

Defender XDR verileriniz Microsoft Sentinel'e alınırsa Özel algılama oluştur ile Analiz kuralı oluşturma arasında seçim yapma seçeneğiniz vardır.

Sonuçları keşfetme

Çalıştırılan sorguların sonuçları Sonuçlar sekmesinde görünür. Dışarı Aktar'ı seçerek sonuçları csv dosyasına aktarabilirsiniz.

Microsoft Defender portalında sonuç satırlarını genişletme seçenekleriyle gelişmiş tehdit avcılığı sonuçlarının ekran görüntüsü

Sonuçları aşağıdaki özelliklerle uyumlu olarak da inceleyebilirsiniz:

  • Her sonucun sol tarafındaki açılan oku seçerek sonucu genişletme
  • Uygun olduğunda, ek okunabilirlik için geçerli sonuç satırının sol tarafındaki açılan oku seçerek JSON veya dizi biçimindeki sonuçların ayrıntılarını genişletin
  • Bir kaydın ayrıntılarını görmek için yan bölmeyi açma (genişletilmiş satırlarla eşzamanlı)

Ayrıca, satırdaki herhangi bir sonuç değerine sağ tıklayarak da bunu kullanarak şunları yapabilirsiniz:

  • Mevcut sorguya daha fazla filtre ekleme
  • Daha fazla araştırmada kullanılacak değeri kopyalayın
  • JSON alanını yeni bir sütuna genişletmek için sorguyu güncelleştirme

Microsoft Defender XDR verileri için, her sonuç satırının solundaki onay kutularını seçerek daha fazla işlem yapabilirsiniz. Seçilen sonuçları bir olaya bağlamak için Olaya bağla'ya tıklayın ( sorgu sonuçlarını olaya bağlama bölümünü okuyun) veya Eylem gerçekleştirme sihirbazını açmak için Eylemler gerçekleştirme 'yi seçin ( gelişmiş tehdit avcılığı sorgu sonuçlarında eylem gerçekleştirme bölümünü okuyun).

Bilinen sorunlar

  • IdentityInfo table Tablo Defender XDR'de olduğu gibi kaldığından IdentityInfoMicrosoft Sentinel'den gelen seçeneği kullanılamaz. Bu tabloyu sorgulayan analiz kuralları gibi Microsoft Sentinel özellikleri, Log Analytics çalışma alanını doğrudan sorgularken etkilenmez.
  • Microsoft Sentinel SecurityAlert tablosunun yerini AlertInfo ve AlertEvidence her ikisi de uyarılardaki tüm verileri içeren tablolar alır. SecurityAlert şema sekmesinde kullanılamasa da, gelişmiş tehdit avcılığı düzenleyicisini kullanarak sorgularda bunu kullanmaya devam edebilirsiniz. Bu sağlama, Microsoft Sentinel'den bu tabloyu kullanan mevcut sorguları kesmemek için yapılır.
  • Kılavuzlu avlanma modu, olaylara bağlantılar ve eylem gerçekleştirme özellikleri yalnızca Defender XDR verileri için desteklenir.
  • Özel algılamalar aşağıdaki sınırlamalara sahiptir:
    • Defender XDR verilerini içermeyen KQL sorgularında özel algılamalar kullanılamaz.
    • Microsoft Sentinel verilerini içeren algılamalar için neredeyse gerçek zamanlı algılama sıklığı kullanılamaz.
    • Microsoft Sentinel'de oluşturulan ve kaydedilen özel işlevler desteklenmez.
    • Sentinel verilerinden varlıkların tanımlanması henüz özel algılamalarda desteklenmemektedir.
  • Yer işaretleri gelişmiş tehdit avcılığı deneyiminde desteklenmez. Bunlar Microsoft Sentinel > Tehdit yönetimi > Tehdit Avcılığı özelliğinde desteklenir.
  • Defender XDR tablolarını Log Analytics'e akışla aktarıyorsanız ve TimeGenerated sütunları arasındaTimestamp bir fark olabilir. Verilerin 48 saat sonra Log Analytics'e ulaşması durumunda, veri alımında now()geçersiz kılınır. Bu nedenle, olayın gerçek zamanını elde etmek için sütuna Timestamp güvenmenizi öneririz.
  • Gelişmiş tehdit avcılığı sorguları için Copilot for Security sorulurken, şu anda tüm Microsoft Sentinel tablolarının desteklenmediğini fark edebilirsiniz. Ancak, gelecekte bu tablolar için destek beklenebilir.