共用方式為

Microsoft Defender 入口網站中的進階搜捕

  • 發行項
  • 適用於:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

統一入口網站中的進階搜捕可讓您檢視及查詢來自 Microsoft Defender XDR 的所有數據。 這包括來自各種Microsoft安全性服務和 Microsoft Sentinel 的數據,其中包括來自單一平臺中非Microsoft產品的數據。 您也可以存取和使用所有現有的Microsoft Sentinel 工作區內容,包括查詢和函式。

從單一入口網站跨不同數據集進行查詢,可讓搜捕更有效率,並移除內容切換的需求。

重要事項

Microsoft Sentinel 現在已在 Microsoft Defender 入口網站的Microsoft統一安全性作業平臺內正式推出。 如需詳細資訊, 請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

如何存取

必要角色和權限

若要在整合的進階搜捕頁面中查詢 Microsoft Sentinel 和 Microsoft Defender XDR 數據,您必須能夠存取 Microsoft Defender XDR 進階搜捕 (請參閱 ) 所需的角色和 許可權,以及至少Microsoft Sentinel 讀取器 (請 參閱 Microsoft Sentinel 特定角色) 。

在統一入口網站中,您可以根據您擁有的角色和許可權,查詢任何工作負載中目前可存取的任何數據。

線上工作區

在 Microsoft Defender 中,您可以選取頂端橫幅中的 [連線 工作 區] 來連線工作區。 如果您有資格將 Microsoft Sentinel 工作區上線到統一的 Microsoft Defender 入口網站,則會出現此按鈕。 請遵循下列步驟: 將工作區上線。

聯機您的 Microsoft Sentinel 工作區並Microsoft Defender XDR 進階搜捕數據之後,您可以從進階搜捕頁面開始查詢 Microsoft Sentinel 數據。 如需進階搜捕功能的概觀,請參閱 使用進階搜捕主動搜捕威脅

將 Defender XDR 數據表串流至 Microsoft Sentinel 的預期狀況

  • 在查詢中使用具有較長數據保留期限的數據表 – 進階搜捕會遵循為 Defender XDR 數據表設定的最大數據保留期間 (請參閱 瞭解配額) 。 如果您將 Defender XDR 數據表串流至 Microsoft Sentinel,且上述數據表的數據保留期間超過 30 天,您可以在進階搜捕中查詢較長的期間。
  • 使用您在 Microsoft Sentinel 中使用的 Kusto 運算子 – 一般而言,來自 Microsoft Sentinel 的查詢會在進階搜捕中運作,包括使用 運算符的 adx() 查詢。 在某些情況下,IntelliSense 會警告您查詢中的運算符不符合架構,不過,您仍然可以執行查詢,而且仍應成功執行。
  • 使用時間篩選下拉式清單,而不是設定查詢中的時間範圍 – 如果您要篩選將Defender XDR資料表擷取至 Sentinel,而不是依原樣串流數據表,請勿篩選查詢中的時間,因為這可能會產生不完整的結果。 如果您在查詢中設定時間,則會使用 Sentinel 中已串流篩選的數據,因為它通常會有較長的數據保留期間。 如果您想要確定查詢所有 Defender XDR 數據最多 30 天,請改用查詢編輯器中提供的時間篩選下拉式清單。
  • MachineGroup檢視SourceSystem已從 Microsoft Sentinel 串流處理的 Defender XDR 數據和數據行 – 由於SourceSystem數據行和 MachineGroup 數據行在串流至 Microsoft Sentinel 後會新增至 Defender XDR 數據表,因此也會在 Defender 中顯示進階搜捕。 不過,對於未在預設 30 天數據保留期間) (數據表串流處理的 Defender XDR 數據表,這些數據表會保持空白。

注意事項

使用統一入口網站,您可以在連線Microsoft Sentinel 工作區之後查詢 Microsoft Sentinel 數據,這並不自動表示您也可以在 Microsoft Sentinel 中查詢 Defender XDR 數據。 Microsoft Sentinel 中仍應設定 Defender XDR 的原始數據擷取,才能進行此作業。

哪裡可以找到您的 Microsoft Sentinel 數據

您可以使用進階搜捕 KQL (Kusto 查詢語言) 查詢來搜捕Microsoft Defender XDR 和Microsoft Sentinel 數據。

當您在連接工作區之後第一次開啟進階搜捕頁面時,您可以在 [架 ] 索引標籤下的 [Microsoft Defender XDR 數據表] 之後,找到許多依解決方案組織的工作區數據表。

Microsoft Defender 入口網站中進階搜捕架構索引標籤的螢幕快照,其中醒目提示 Sentinel 數據表的位置

同樣地,您可以在 [函式] 索引標籤中找到來自 [Microsoft Sentinel] 的函式,而來自 Microsoft Sentinel 的共用和範例查詢可以在標示為 Sentinel 的資料夾內的 [查詢] 索引卷標中找到。

檢視架構資訊

若要深入瞭解架構數據表,請選取 [架構] 索引標籤下任何架構數據表名稱右邊 ) ( kebab 圖示的垂直省略號,然後選取 [檢視架構]

在統一入口網站中,除了檢視架構數據行名稱和描述之外,您也可以檢視:

  • 範例數據 – 選 取 [查看預覽數據],這會載入簡單的查詢,例如 TableName | take 5
  • 架構類型 – 資料表是否支援 (進階數據表) 的完整查詢功能, (基本記錄數據表)
  • 數據保留期間 – 資料設定要保留多久
  • 標籤 – 適用於 Sentinel 數據表

Microsoft Defender 入口網站中架構資訊窗格的螢幕快照

使用函式

若要從 Microsoft Sentinel 使用函式,請移至 [函式] 索引 標籤並 捲動,直到您找到您想要的函式為止。 按兩下函式名稱,在查詢編輯器中插入函式。

您也可以選取函式右邊 ) ( kebab 圖示 的垂直省略號,然後選取 [插入查詢] 將 函式插入查詢編輯器中的查詢。

其他選項包括:

  • 檢視詳細資料 – 開啟包含其詳細數據的函式側邊窗格
  • 載入函式程式碼 – 開啟包含函式程式碼的新索引標籤

針對可編輯的函式,當您選取垂直省略號時,可以使用更多選項:

  • 編輯詳細數據 – 開啟函式側邊窗格,讓您編輯函式 (的詳細數據,但 Sentinel 函式的資料夾名稱除外)
  • 刪除 – 刪除函式

使用已儲存的查詢

若要從 Microsoft Sentinel 使用已儲存的查詢,請移至 [ 查詢 ] 索引標籤並捲動,直到您找到您想要的查詢為止。 按兩下查詢名稱,以在查詢編輯器中載入查詢。 如需更多選項,請選取查詢右側 ) ( kebab圖示 的垂直省略號。 您可以從這裡執行下列動作:

  • 執行查詢 – 在查詢編輯器中載入查詢並自動執行

  • 在查詢編輯器中開 啟 – 在查詢編輯器中載入查詢

  • 檢視詳細資料 – 開啟查詢詳細數據側邊窗格,您可以在其中檢查查詢、執行查詢,或在編輯器中開啟查詢

    Microsoft Defender 入口網站中已儲存查詢中可用選項的螢幕快照

針對可編輯的查詢,有更多選項可供使用:

  • 編輯詳細數據 – 開啟 [查詢詳細數據] 側邊窗格,其中包含可在適用時編輯詳細數據的選項,例如描述 () 和查詢本身;只能編輯 Microsoft Sentinel 查詢 (位置) 的資料夾名稱
  • 刪除 – 刪除查詢
  • 重新命名 – 可讓您修改查詢名稱

建立自定義分析和偵測規則

若要協助探索環境中的威脅和異常行為,您可以建立自定義偵測原則。

如需適用於透過連線Microsoft Sentinel 工作區內嵌之數據的分析規則,請選取 [管理規則 > ][建立分析規則]

在 Microsoft Defender 入口網站中建立自定義分析或偵測選項的螢幕快照

[ 分析規則精靈] 隨即 出現。 如 分析規則精靈 — 一般索引標籤中所述,填寫所需的詳細數據。

您也可以建立自定義偵測規則,從 Microsoft Sentinel 和 Defender XDR 數據表查詢數據。 選 取 [管理規則 > ][建立自定義偵測]。 如需詳細資訊,請參閱 建立和管理自定義偵測規則

如果您的 Defender XDR 數據內嵌到 Microsoft Sentinel 中,您可以選擇 [ 建立自定義偵測 ] 和 [ 建立分析規則]

探索結果

執行的查詢結果會出現在 [ 結果 ] 索引標籤中。您可以 選取 [匯出],將結果匯出至 CSV 檔案。

進階搜捕結果的螢幕快照,其中包含在 Microsoft Defender 入口網站中展開結果數據列的選項

您也可以使用下列功能來探索結果:

  • 選取每個結果左邊的下拉式箭號來展開結果
  • 如果適用,請選取適用結果數據列左側的下拉式箭號,以展開 JSON 或數位格式結果的詳細數據,以增加可讀性
  • 開啟側邊窗格,以查看記錄的詳細數據 (與展開的數據列並行)

您也可以以滑鼠右鍵按下資料列中的任何結果值,以便使用它來:

  • 將更多篩選條件新增至現有的查詢
  • 複製值以供進一步調查使用
  • 更新查詢以將 JSON 欄位延伸至新數據行

針對 Microsoft Defender XDR 數據,您可以選取每個結果數據列左邊的複選框,以採取進一步的動作。 選 取 [鏈接至事件 ] 將選取的結果連結至事件 (讀取 [將 查詢結果連結至事件) 或 [採取動作 ] 以開啟 [採取動作精靈 (閱讀 ) 對進階搜捕查詢結果採取動作

已知問題

  • 無法 IdentityInfo table 使用來自 Microsoft Sentinel 的 ,因為數據 IdentityInfo 表在 Defender XDR 中維持原樣。 Microsoft查詢此數據表的分析規則之類的 Sentinel 功能不會受到影響,因為它們是直接查詢 Log Analytics 工作區。
  • Microsoft Sentinel SecurityAlert 數據表會由 AlertInfoAlertEvidence 數據表取代,這兩個數據表都包含警示的所有數據。 雖然 [架構] 索引標籤中無法使用 SecurityAlert,但您仍然可以在使用進階搜捕編輯器的查詢中使用它。 這項布建是為了不中斷使用此數據表之 Sentinel Microsoft現有查詢。
  • 只有 Defender XDR 數據支援引導式搜捕模式、事件鏈接和採取動作功能。
  • 自訂偵測有下列限制:
    • 自定義偵測不適用於不包含 Defender XDR 數據的 KQL 查詢。
    • 近即時偵測頻率不適用於包含 sentinel 數據Microsoft偵測。
    • 不支援在 Sentinel 中建立和儲存Microsoft自定義函式。
    • 自定義偵測尚不支援從 Sentinel 資料定義實體。
  • 進階搜捕體驗不支援書籤。 Microsoft Sentinel > 威脅管理 > 搜捕 功能支持這些功能。
  • 如果您要將 Defender XDR 數據表串流至 Log Analytics,則和 資料行之間TimestampTimeGenerated可能會有差異。 如果數據在 48 小時後抵達 Log Analytics,則會在擷取至 時覆寫。now() 因此,若要取得事件發生的實際時間,建議您依賴 數據行 Timestamp
  • 在提示 Copilot for Security 進行 進階搜捕查詢時,您可能會發現目前並非所有Microsoft Sentinel 數據表都受到支援。 不過,未來可能會有這些數據表的支援。