進階搜尋功能允許您查看並查詢統一 Microsoft Defender 入口中所有可用的資料來源,包括 Microsoft Defender 全面偵測回應及各種 Microsoft 安全服務。 如果你將 Microsoft Sentinel 導入 Defender 入口網站,你也可以存取並使用所有現有的 Microsoft Sentinel 工作空間內容,包括查詢和功能。
從單一入口網站跨越不同資料集查詢,使搜尋更有效率,並免除上下文切換的需求。
重要事項
Microsoft Sentinel 通常可在 Microsoft Defender 入口網站中取得,無論是否使用 Microsoft Defender 全面偵測回應或 E5 授權。 欲了解更多資訊,請參閱Microsoft Defender入口網站的Microsoft Sentinel。
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。
如果您目前在 Azure 入口網站使用 Microsoft Sentinel,建議您現在就開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。 欲了解更多資訊,請參閱「將您的Microsoft Sentinel環境轉移至Defender入口網站」及「規劃您為所有Microsoft Sentinel客戶遷移至Microsoft Defender入口網站」 (部落格) 。
注意事項
在啟用 Microsoft Sentinel 資料湖後,Microsoft Defender 進階搜尋中不再提供輔助日誌表。 相反地,你可以透過 Defender 入口網站的資料湖探索 KQL 查詢來存取它們。 欲了解更多資訊,請參閱 Microsoft Sentinel 資料湖中的 KQL 查詢。
如何取得
必要角色和權限
你可以根據你的角色和權限查詢目前能存取的任何工作負載的資料。
要在統一的進階狩獵頁面中查詢 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應資料,你至少還需要 Microsoft Sentinel Reader 角色。 欲了解更多資訊,請參閱 Microsoft Sentinel 專屬角色。
連結工作空間
在 Microsoft Defender 中,你可以在上方橫幅選擇「連接工作區」來連接工作區。 如果你有資格將 Microsoft Sentinel 工作空間導入統一的 Microsoft Defender 入口網站,這個按鈕就會出現。 請遵循以下步驟: 導入工作空間。
連接您的 Microsoft Sentinel 工作空間與 Microsoft Defender 全面偵測回應的進階狩獵資料後,您可以開始從進階搜尋頁面查詢 Microsoft Sentinel 資料。 欲了解進階狩獵功能,請參考 「主動獵殺威脅」與進階狩獵。
Defender 全面偵測回應表串流至 Microsoft Sentinel 的預期
- 查詢時使用資料保留期較長的資料表——進階搜尋依據Defender 全面偵測回應資料表設定的最大資料保留期, (參見「了解配額」) 。 如果你將 Defender 全面偵測回應資料表串流到 Microsoft Sentinel,且資料保留期限超過 30 天,你可以在進階搜尋中查詢更長的期限。
-
使用你在 Microsoft Sentinel 中使用過的 Kusto 運算子——一般來說,Microsoft Sentinel 的查詢都適用於進階狩獵,包括使用該
adx()運算元的查詢。 有時 IntelliSense 可能會警告你查詢中的運算子與結構不符,但你仍然可以執行查詢,且應該能成功執行。 - 請使用時間篩選下拉選單,不要在查詢中設定時間範圍——如果你是將 Defender 全面偵測回應表的匯入過濾到 Sentinel,而不是直接串流資料表,就不要在查詢中篩選時間,因為這可能會產生不完整的結果。 如果你在查詢中設定時間,會使用來自 Sentinel 的串流過濾資料,因為它通常有較長的資料保留期。 如果你想確保查詢所有 Defender 全面偵測回應資料長達 30 天,請改用查詢編輯器中提供的時間篩選下拉選單。
- 檢視與欄位,顯示從 Microsoft Sentinel 串流的 Defender 全面偵測回應資料——由於這些欄位 和 在串流至 Microsoft Sentinel 後會加入 Defender 全面偵測回應表,這些欄位也會出現在 Defender 進階搜尋的結果中。
SourceSystemMachineGroupMachineGroupSourceSystem然而,對於未被串流的表格Defender 全面偵測回應 (遵循預設 30 天資料保留期) 的資料表,這些資料仍然是空白的。
注意事項
使用統一入口網站,連接 Microsoft Sentinel 工作空間後可查詢 Microsoft Sentinel 資料,並不代表你也能在 Microsoft Sentinel 中查詢 Defender 全面偵測回應資料。 Defender 全面偵測回應原始資料的擷取仍需在 Microsoft Sentinel 中設定。
在哪裡可以找到你的 Microsoft Sentinel 資料
你可以使用進階的 KQL (Kusto 查詢語言) 查詢來搜尋Microsoft Defender 全面偵測回應和Microsoft Sentinel資料。
當你第一次在連接工作區後打開進階搜尋頁面時,可以在 Schema 標籤下看到許多該工作區的表格依解決方案排列,接著是 Microsoft Defender 全面偵測回應表。
同樣地,你可以在 Functions 標籤中找到 Microsoft Sentinel 的功能,而 Microsoft Sentinel 的共享與範例查詢則可在標示為 Sentinel 的資料夾中的查詢標籤中找到。
查看結構資訊
想進一步了解結構表,請在結構標籤下,選擇 ) ( 任何結構表名稱右側的 
,然後選擇「檢視模式」。
在統一入口網站中,除了查看結構欄位名稱與描述外,你還可以查看:
- 範例資料 – 選擇 「查看預覽資料」,可載入一個簡單的查詢,例如
TableName | take 5 - 架構類型 ——資料表是否支援完整查詢功能 (進階資料表) (基本日誌資料表)
- 資料保留期 ——資料設定要保存多久
- 標籤 – 可用於 Sentinel 資料表
已知問題
- Microsoft Sentinel
SecurityAlert表格被 和AlertEvidence表格取代AlertInfo,兩者都包含所有警示資料。 雖然 SecurityAlert 無法在結構分頁使用,但你仍可透過進階狩獵編輯器在查詢中使用它。 此規定旨在避免破壞使用 此表格的 Microsoft Sentinel 現有查詢。 - 導引狩獵模式與行動執行功能僅支援 Defender 全面偵測回應資料。
- 自訂偵測有以下限制:
- 包含 Microsoft Sentinel 資料的偵測無法提供近即時偵測頻率。
- 在 Microsoft Sentinel 中建立並儲存的自訂函式不被支援。
- 進階狩獵體驗不支援書籤。 這些問題由 Microsoft Sentinel > 威脅管理>狩獵功能所支援。 或者,您也可以使用 「連結到事件 」功能,將查詢結果連結到新的或現有的事件。
- 如果你是將 Defender 全面偵測回應表串流到 Log Analytics,欄位之間可能會有差異
TimestampTimeGenerated。 如果資料在 48 小時後才送達 Log Analytics,則在被now()saves 到 。 因此,要了解事件發生的實際時間,我們建議參考專欄內容Timestamp。 - 當你要求 Security Copilot 進行進階搜尋查詢時,你可能會發現並非所有 Microsoft Sentinel 表格目前都被支援。 不過,未來仍可望支援這些表格。