將您的進階搜尋工作流程從 適用於端點的 Microsoft Defender,轉為主動利用更廣泛的資料搜尋威脅。 在 Microsoft Defender 全面偵測回應中,您可以存取來自其他 Microsoft 365 安全解決方案的資料,包括:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於身分識別的 Microsoft Defender
注意事項
大多數 適用於端點的 Microsoft Defender 客戶可在無需額外授權的情況下使用 Microsoft Defender 全面偵測回應。 要開始將進階的狩獵工作流程從 Defender for Endpoint 轉換,請開啟 Microsoft Defender 全面偵測回應。
你可以在不影響現有 Defender for Endpoint 工作流程的情況下轉換。 儲存的查詢會保持完整,自訂偵測規則也會持續執行並產生警示。 不過,這些偵測會在 Microsoft Defender 全面偵測回應中顯示。
僅Microsoft Defender 全面偵測回應結構表
Microsoft Defender 全面偵測回應進階搜尋架構提供包含各種 Microsoft 365 安全解決方案資料的額外資料表。 以下表格僅在 Microsoft Defender 全面偵測回應中提供:
| 表格名稱 | 描述 |
|---|---|
| AlertEvidence | 與警報相關的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自適用於端點的 Microsoft Defender、Microsoft Defender的警示,Office 365、Microsoft Defender for Cloud Apps和適用於身分識別的 Microsoft Defender,包括嚴重性資訊及威脅類別 |
| EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
| EmailPostDeliveryEvents | 在 Microsoft 365 將電子郵件傳遞至收件者信箱之後發生的安全性事件 |
| EmailUrlInfo | 電子郵件 URL 相關資訊 |
| IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
| IdentityInfo | 帳號資訊來自多個來源,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
| IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
重要事項
使用結構表的查詢與自訂偵測,僅在 Microsoft Defender XDR 中提供,只能在 Microsoft Defender 全面偵測回應中查看。
地圖裝置警報事件表
和 AlertInfoAlertEvidence 表格取代了 Microsoft Defender for Endpoint 架構中的表格DeviceAlertEvents,適用於端點的 Microsoft Defender。 除了裝置警報的資料外,這兩個表格還包含身份、應用程式和電子郵件的警報資料。
請使用以下表格檢查欄位如何DeviceAlertEvents映射到 and AlertEvidence 表格中的AlertInfo欄位。
提示
除了下表中的欄位外,該 AlertEvidence 表還包含許多其他欄位,提供來自不同來源的警示更全面圖像。
查看所有 AlertEvidence 專欄
| DeviceAlertEvents 欄位 | 在哪裡可以在 Microsoft Defender 全面偵測回應中找到相同的資料 |
|---|---|
AlertId |
AlertInfo 以及 AlertEvidence 表格 |
Timestamp |
AlertInfo 以及 AlertEvidence 表格 |
DeviceId |
AlertEvidence 表格 |
DeviceName |
AlertEvidence 表格 |
Severity |
AlertInfo 表格 |
Category |
AlertInfo 表格 |
Title |
AlertInfo 表格 |
FileName |
AlertEvidence 表格 |
SHA1 |
AlertEvidence 表格 |
RemoteUrl |
AlertEvidence 表格 |
RemoteIP |
AlertEvidence 表格 |
AttackTechniques |
AlertInfo 表格 |
ReportId |
此欄位通常用於 適用於端點的 Microsoft Defender 中,以定位其他資料表中的相關紀錄。 在 Microsoft Defender 全面偵測回應中,你可以直接從AlertEvidence資料表取得相關資料。 |
Table |
此欄位通常用於 適用於端點的 Microsoft Defender 中,以獲取其他資料表中的額外事件資訊。 在 Microsoft Defender 全面偵測回應中,你可以直接從AlertEvidence資料表取得相關資料。 |
調整現有的 適用於端點的 Microsoft Defender 查詢
適用於端點的 Microsoft Defender 查詢會照現狀運作,除非他們會參考該DeviceAlertEvents表格。 要在 Microsoft Defender 全面偵測回應中使用這些查詢,請套用以下變更:
- 將 替換
DeviceAlertEvents為AlertInfo。 - 將 和
AlertEvidence表格連接AlertInfo起來AlertId,就能得到等效的資料。
原始查詢
以下查詢DeviceAlertEvents用於適用於端點的 Microsoft Defender取得包含 powershell.exe的警示:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
修改查詢
以下查詢已調整以適用於 Microsoft Defender 全面偵測回應。 它不是直接從 DeviceAlertEvents檢查檔名,而是加入 AlertEvidence 並檢查該表中的檔名。
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
遷移自訂偵測規則
當適用於端點的 Microsoft Defender規則在Microsoft Defender 全面偵測回應上編輯時,若查詢只查看裝置資料表,規則仍維持先前功能。
例如,由自訂偵測規則產生的只查詢裝置資料表的警示,依你在 適用於端點的 Microsoft Defender 中的設定,仍會送達你的 SIEM 並產生電子郵件通知。 Defender for Endpoint 中現有的抑制規則也將繼續適用。
一旦你編輯了 Defender for Endpoint 的規則,使其查詢只有 Microsoft Defender 全面偵測回應的身份資料表和電子郵件資料表,該規則就會自動移至 Microsoft Defender 全面偵測回應。
遷移規則產生的警示:
- 在 Defender for Endpoint 入口網站中已不再可見 (Microsoft Defender 資訊安全中心)
- 停止被送達你的 SIEM 或產生電子郵件通知。 為了繞過這項變更,請透過 Microsoft Defender 全面偵測回應來設定通知,以接收警報。 你可以使用 Microsoft Defender 全面偵測回應 API 來接收客戶偵測警示或相關事件的通知。
- 不會被 適用於端點的 Microsoft Defender 抑制規則所抑制。 為防止對特定使用者、裝置或信箱產生警報,請修改相應查詢,明確排除這些實體。
如果你以此方式編輯規則,系統會要求你確認,然後才會套用這些變更。
由 Microsoft Defender 全面偵測回應自訂偵測規則產生的新警報會顯示在一個警示頁面,並提供以下資訊:
- 警示標題與描述
- 受影響的資產
- 對警報所採取的行動
- 觸發警報的查詢結果
- 自訂偵測規則資訊
撰寫不使用 DeviceAlertEvents 的查詢
在 Microsoft Defender 全面偵測回應架構中,AlertInfoAlertEvidence與表格的設置是為了容納來自不同來源的警示所帶來的多元資訊。
要獲得你在 適用於端點的 Microsoft Defender 架構中從資料表取得DeviceAlertEvents相同的警示資訊,請透過篩選AlertInfoServiceSource表,然後將每個唯一 ID AlertEvidence 與提供詳細事件與實體資訊的表連接。
請參考以下範例查詢:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
此查詢產生的欄位數量遠多於 DeviceAlertEvents 適用於端點的 Microsoft Defender 架構。 為了讓結果更易管理,請只 project 選取你感興趣的欄位。 以下範例是你可能感興趣的專案欄位,調查時偵測到 PowerShell 活動:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
如果你想篩選警報中涉及的特定實體,可以透過在中 EntityType 指定實體類型和你想篩選的值來達成。 以下範例尋找特定的 IP 位址:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。