分享方式:


在 Microsoft Sentinel 中建立自定義搜捕查詢

使用自定義搜尋搜尋整個組織數據源的安全性威脅。 Microsoft Sentinel 提供內建搜捕查詢,可協助您在網路上的資料中找到問題。 但您可以建立自己的自訂查詢。 如需搜捕查詢的詳細資訊,請參閱 Microsoft Sentinel 中的威脅搜捕。

建立新的查詢

在 Microsoft Sentinel 中,從 [搜捕查詢] 索引標籤建立自定義搜捕>查詢。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下選取 [搜捕]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>搜捕]。

  2. 選取 [查詢] 索引標籤。

  3. 從命令行中,選取 [ 新增查詢]。

  4. 填入所有空白欄位。

    1. 選取實體類型、標識碼和數據行,以建立實體對應。

      在搜捕查詢中對應實體類型的螢幕快照。

    2. 藉由選取策略、技術和子技術,將 MITRE ATT&CK 技術對應至您的搜捕查詢(如果適用的話)。

      新查詢

  5. 當您完成定義查詢時,請選取 [ 建立]。

複製現有的查詢

複製自定義或內建查詢,並視需要加以編輯。

  1. 從 [搜捕>查詢] 索引標籤中,選取您要複製的搜捕查詢。

  2. 在您要修改的查詢行中選取省略號 (...),然後選取 [ 複製]。

  3. 視需要編輯查詢和其他欄位。

  4. 選取 建立

編輯現有的自定義查詢

只能編輯來自自定義內容來源的查詢。 其他內容來源必須在該來源編輯。

  1. 從 [搜捕>查詢] 索引標籤中,選取您想要變更的搜捕查詢。

  2. 在您要變更的查詢行中選取省略號 (...),然後選取 [ 編輯]。

  3. 使用更新的查詢來更新 [ 查詢 ] 欄位。 您也可以變更實體對應和技術。

  4. 完成時,請選取 [ 儲存]。