Aracılığıyla paylaş


gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender geçirme

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Daha geniş bir veri kümesi kullanarak tehditleri proaktif olarak avlamak için gelişmiş tehdit avcılığı iş akışlarınızı Uç Nokta için Microsoft Defender taşıyın. Microsoft Defender XDR'da, aşağıdakiler dahil olmak üzere diğer Microsoft 365 güvenlik çözümlerinden verilere erişebilirsiniz:

  • Uç Nokta için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Kimlik için Microsoft Defender

Not

çoğu Uç Nokta için Microsoft Defender müşteri Microsoft Defender XDR ek lisans olmadan kullanabilir. Gelişmiş avcılık iş akışlarınızı Uç Nokta için Defender'dan geçiş yapmaya başlamak için Microsoft Defender XDR açın.

Mevcut Uç Nokta için Defender iş akışlarınızı etkilemeden geçiş yapabilirsiniz. Kaydedilen sorgular olduğu gibi kalır ve özel algılama kuralları çalışmaya ve uyarı oluşturmaya devam eder. Ancak bunlar Microsoft Defender XDR görünür olacaktır.

Yalnızca Microsoft Defender XDR'da şema tabloları

Microsoft Defender XDR gelişmiş tehdit avcılığı şeması, çeşitli Microsoft 365 güvenlik çözümlerinden veri içeren ek tablolar sağlar. Aşağıdaki tablolar yalnızca Microsoft Defender XDR kullanılabilir:

Tablo adı Açıklama
AlertEvidence Uyarılarla ilişkili dosyalar, IP adresleri, URL'ler, kullanıcılar veya cihazlar
AlertInfo Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender uyarıları, önem derecesi bilgileri ve tehdit kategorileri dahil
EmailAttachmentInfo E-postalara eklenen dosyalar hakkında bilgi
EmailEvents E-posta teslimi ve engelleyici olaylar da dahil olmak üzere Microsoft 365 e-posta olayları
EmailPostDeliveryEvents Microsoft 365 e-postaları alıcı posta kutusuna teslim ettikten sonra teslim sonrası gerçekleşen güvenlik olayları
EmailUrlInfo E-postalardaki URL'ler hakkında bilgi
IdentityDirectoryEvents Active Directory (AD) çalıştıran bir şirket içi etki alanı denetleyicisini içeren olaylar. Bu tablo, etki alanı denetleyicisindeki kimlikle ilgili olayları ve sistem olaylarını kapsar.
IdentityInfo Microsoft Entra ID dahil olmak üzere çeşitli kaynaklardan gelen hesap bilgileri
IdentityLogonEvents Active Directory ve Microsoft çevrimiçi hizmetler kimlik doğrulama olayları
IdentityQueryEvents Kullanıcılar, gruplar, cihazlar ve etki alanları gibi Active Directory nesneleri için sorgular

Önemli

Yalnızca Microsoft Defender XDR'de kullanılabilen şema tablolarını kullanan sorgular ve özel algılamalar yalnızca Microsoft Defender XDR'de görüntülenebilir.

DeviceAlertEvents tablosunu eşleme

ve tabloları, AlertInfo Uç Nokta için Microsoft Defender şemasındaki tablonun yerini alırDeviceAlertEvents.AlertEvidence Bu iki tablo, cihaz uyarıları hakkındaki verilere ek olarak kimlikler, uygulamalar ve e-postalar için uyarılarla ilgili verileri içerir.

Ve tablolarında sütunların sütunlara nasıl DeviceAlertEvents eşlenip eşlen AlertInfoAlertEvidence olmadığını denetlemek için aşağıdaki tabloyu kullanın.

İpucu

Aşağıdaki tablodaki sütunlara ek olarak, AlertEvidence tablo çeşitli kaynaklardan gelen uyarıların daha bütünsel bir resmini sağlayan birçok başka sütun içerir. Tüm AlertEvidence sütunlarına bakın

DeviceAlertEvents sütunu Microsoft Defender XDR'de aynı verilerin nerede bulunacağı
AlertId AlertInfo ve AlertEvidence tablolar
Timestamp AlertInfo ve AlertEvidence tablolar
DeviceId AlertEvidence masa
DeviceName AlertEvidence masa
Severity AlertInfo masa
Category AlertInfo masa
Title AlertInfo masa
FileName AlertEvidence masa
SHA1 AlertEvidence masa
RemoteUrl AlertEvidence masa
RemoteIP AlertEvidence masa
AttackTechniques AlertInfo masa
ReportId Bu sütun genellikle diğer tablolardaki ilgili kayıtları bulmak için Uç Nokta için Microsoft Defender kullanılır. Microsoft Defender XDR'da, ilişkili verileri doğrudan tablodan AlertEvidence alabilirsiniz.
Table Bu sütun genellikle diğer tablolardaki ek olay bilgileri için Uç Nokta için Microsoft Defender kullanılır. Microsoft Defender XDR'da, ilişkili verileri doğrudan tablodan AlertEvidence alabilirsiniz.

Mevcut Uç Nokta için Microsoft Defender sorgularını ayarlama

Uç Nokta için Microsoft Defender sorgular tabloya DeviceAlertEvents başvurmadıkları sürece olduğu gibi çalışır. Bu sorguları Microsoft Defender XDR kullanmak için şu değişiklikleri uygulayın:

  • değerini ile AlertInfodeğiştirinDeviceAlertEvents.
  • AlertInfo Eşdeğer verileri almak için ve AlertEvidence tablolarını AlertId birleştirin.

Özgün sorgu

Aşağıdaki sorgu,powershell.exeiçeren uyarıları almak için Uç Nokta için Microsoft Defender kullanırDeviceAlertEvents:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Değiştirilen sorgu

Aşağıdaki sorgu Microsoft Defender XDR'da kullanılmak üzere ayarlandı. Dosya adını doğrudan içinden DeviceAlertEventsdenetlemek yerine, bu tablodaki dosya adını birleştirir AlertEvidence ve denetler.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Özel algılama kurallarını geçirme

Uç Nokta için Microsoft Defender kuralları Microsoft Defender XDR düzenlendiğinde, sonuçta elde edilen sorgu yalnızca cihaz tablolarına bakıyorsa önceki gibi çalışmaya devam ederler.

Örneğin, yalnızca cihaz tablolarını sorgulayan özel algılama kuralları tarafından oluşturulan uyarılar, bunları Uç Nokta için Microsoft Defender'de nasıl yapılandırdığınıza bağlı olarak SIEM'inize teslim edilmeye ve e-posta bildirimleri oluşturmaya devam eder. Uç Nokta için Defender'daki mevcut engelleme kuralları da uygulanmaya devam eder.

Yalnızca Microsoft Defender XDR'da kullanılabilen kimlik ve e-posta tablolarını sorgulayan bir Uç Nokta için Defender kuralını düzenledikten sonra, kural otomatik olarak Microsoft Defender XDR taşınır.

Geçirilen kural tarafından oluşturulan uyarılar:

  • Uç Nokta için Defender portalında (Microsoft Defender Güvenlik Merkezi) artık görünmüyor
  • SIEM'inize teslim edilmeyi durdurun veya e-posta bildirimleri oluşturun. Bu değişikliği geçici olarak çözmek için Microsoft Defender XDR aracılığıyla bildirimleri yapılandırarak uyarıları alın. Microsoft Defender XDR API'sini kullanarak müşteri algılama uyarılarına veya ilgili olaylara yönelik bildirimler alabilirsiniz.
  • Uç Nokta için Microsoft Defender gizleme kuralları tarafından gizlenmeyecek. Belirli kullanıcılar, cihazlar veya posta kutuları için uyarıların oluşturulmasını önlemek için ilgili sorguları bu varlıkları açıkça dışlamak üzere değiştirin.

Bir kuralı bu şekilde düzenlerseniz, bu tür değişiklikler uygulanmadan önce sizden onay istenir.

Microsoft Defender XDR özel algılama kuralları tarafından oluşturulan yeni uyarılar, aşağıdaki bilgileri sağlayan bir uyarı sayfasında görüntülenir:

  • Uyarı başlığı ve açıklaması
  • Etkilenen varlıklar
  • Uyarıya yanıt olarak gerçekleştirilen eylemler
  • Uyarıyı tetikleyen sorgu sonuçları
  • Özel algılama kuralıyla ilgili bilgiler

DeviceAlertEvents olmadan sorgu yazma

Microsoft Defender XDR şemasında AlertInfo ve AlertEvidence tabloları, çeşitli kaynaklardan gelen uyarılara eşlik eden çeşitli bilgi kümelerini barındırmak için sağlanır.

Uç Nokta için Microsoft Defender şemasındaki tablodan DeviceAlertEvents almak için kullandığınız uyarı bilgilerini almak için, tabloyu ölçütüne göre ServiceSource filtreleyin AlertInfo ve ardından her benzersiz kimliği ayrıntılı olay ve varlık bilgilerini sağlayan tabloyla birleştirinAlertEvidence.

Aşağıdaki örnek sorguya bakın:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Bu sorgu, Uç Nokta için Microsoft Defender şemasından çok daha fazla sütun DeviceAlertEvents döndürür. Sonuçları yönetilebilir tutmak için yalnızca ilgilendiğiniz sütunları almak için kullanın project . Aşağıdaki örnek, araştırma PowerShell etkinliğini algıladığında ilginizi çekebilecek proje sütunlarıdır:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Uyarılarda yer alan belirli varlıkları filtrelemek isterseniz, içindeki varlık türünü EntityType ve filtrelemek istediğiniz değeri belirterek bunu yapabilirsiniz. Aşağıdaki örnek belirli bir IP adresini arar:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.