在 Microsoft Sentinel 中建立自定義搜捕查詢

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用自定義搜尋搜尋整個組織數據源的安全性威脅。 Microsoft Sentinel 提供內建搜捕查詢，可協助您在網路上的資料中找到問題。 但您可以建立自己的自訂查詢。 如需搜捕查詢的詳細資訊，請參閱 Microsoft Sentinel 中的威脅搜捕。

建立新的查詢

在 Microsoft Sentinel 中，從 [搜捕查詢] 索引標籤建立自定義搜捕>查詢。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下選取 [搜捕]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>搜捕]。

2. 選取 [查詢] 索引標籤。

3. 從命令行中，選取 [ 新增查詢]。

   Azure 入口網站

   

   Defender 入口網站

   

4. 填入所有空白欄位。

   1. 選取實體類型、標識碼和數據行，以建立實體對應。

      

   2. 藉由選取策略、技術和子技術，將 MITRE ATT&CK 技術對應至您的搜捕查詢（如果適用的話）。

      

5. 當您完成定義查詢時，請選取 [ 建立]。

複製現有的查詢

複製自定義或內建查詢，並視需要加以編輯。

1. 從 [搜捕>查詢] 索引標籤中，選取您要複製的搜捕查詢。

2. 在您要修改的查詢行中選取省略號 （...），然後選取 [ 複製]。

   Azure 入口網站

   

   Defender 入口網站

   

3. 視需要編輯查詢和其他欄位。

4. 選取 建立。

編輯現有的自定義查詢

只能編輯來自自定義內容來源的查詢。 其他內容來源必須在該來源編輯。

1. 從 [搜捕>查詢] 索引標籤中，選取您想要變更的搜捕查詢。

2. 在您要變更的查詢行中選取省略號 （...），然後選取 [ 編輯]。

3. 使用更新的查詢來更新 [ 查詢 ] 欄位。 您也可以變更實體對應和技術。

4. 完成時，請選取 [ 儲存]。

相關內容

• KQL 快速參考
• 進階安全性資訊模型 （ASIM） 剖析器
• Microsoft Sentinel 中的威脅搜捕
• 在 Microsoft Sentinel 中執行端對端主動式威脅搜捕