Zaawansowane wyszukiwanie zagrożeń przy użyciu danych Microsoft Sentinel w portalu Microsoft Defender

Zaawansowane wyszukiwanie zagrożeń umożliwia wyświetlanie i wykonywanie zapytań dotyczących wszystkich źródeł danych dostępnych w ujednoliconej Microsoft Defender portalu. Źródła danych mogą obejmować Microsoft Defender XDR i różne usługi zabezpieczeń firmy Microsoft. Jeśli dołączasz Microsoft Sentinel do portalu usługi Defender, uzyskaj dostęp do całej istniejącej zawartości obszaru roboczego Microsoft Sentinel, w tym zapytań i funkcji.

Wykonywanie zapytań z jednego portalu w różnych zestawach danych sprawia, że wyszukiwanie zagrożeń jest bardziej wydajne i eliminuje potrzebę przełączania kontekstu.

Jak uzyskać dostęp

Wymagane role i uprawnienia

Możesz wykonywać zapytania dotyczące danych w dowolnym obciążeniu, do którego obecnie można uzyskać dostęp na podstawie ról i uprawnień.

Aby wykonywać zapytania dotyczące Microsoft Sentinel i Microsoft Defender XDR danych na ujednoliconej zaawansowanej stronie wyszukiwania zagrożeń, potrzebna jest również co najmniej rola czytelnika Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz role specyficzne dla Microsoft Sentinel.

Łączenie obszaru roboczego

W Microsoft Defender możesz połączyć obszary robocze, wybierając pozycję Połącz obszar roboczy na górnym banerze. Ten przycisk jest wyświetlany, jeśli kwalifikujesz się do dołączenia obszaru roboczego Microsoft Sentinel do ujednoliconego portalu Microsoft Defender. Wykonaj kroki opisane w temacie: Dołączanie obszaru roboczego.

Po połączeniu obszaru roboczego Microsoft Sentinel i Microsoft Defender XDR zaawansowanych danych wyszukiwania zagrożeń możesz rozpocząć wykonywanie zapytań Microsoft Sentinel danych ze strony zaawansowanego wyszukiwania zagrożeń. Aby zapoznać się z omówieniem zaawansowanych funkcji wyszukiwania zagrożeń, przeczytaj Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń.

Czego można oczekiwać w przypadku tabel Defender XDR przesyłanych strumieniowo do Microsoft Sentinel

• Używanie tabel z dłuższym okresem przechowywania danych w zapytaniach — zaawansowane wyszukiwanie zagrożeń jest zgodne z maksymalnym okresem przechowywania danych skonfigurowanym dla tabel Defender XDR (zobacz Omówienie limitów przydziału). Jeśli przesyłasz strumieniowo tabele Defender XDR do Microsoft Sentinel i okres przechowywania danych dłuższy niż 30 dni dla tych tabel, możesz wykonać zapytanie dotyczące dłuższego okresu zaawansowanego wyszukiwania zagrożeń.
• Używaj operatorów Kusto używanych w Microsoft Sentinel — ogólnie zapytania z Microsoft Sentinel działają w zaawansowanym wyszukiwaniu, w tym zapytaniach korzystających adx() z operatora. Mogą wystąpić przypadki, w których funkcja IntelliSense ostrzega, że operatory w zapytaniu nie są zgodne ze schematem, jednak nadal można uruchomić zapytanie i nadal powinno zostać wykonane pomyślnie.
• Użyj listy rozwijanej filtru czasu, zamiast ustawiać przedział czasu w zapytaniu — jeśli filtrujesz pozyskiwanie tabel Defender XDR, aby Sentinel zamiast przesyłać strumieniowo tabele w takim stanie, w jakim jest, nie filtruj czasu w zapytaniu, ponieważ może to generować niekompletne wyniki. Jeśli ustawisz czas w zapytaniu, przesyłane strumieniowo, filtrowane dane z Sentinel są używane, ponieważ zwykle mają dłuższy okres przechowywania danych. Jeśli chcesz się upewnić, że wykonujesz zapytania dotyczące wszystkich Defender XDR danych przez maksymalnie 30 dni, użyj listy rozwijanej filtru czasu udostępnionej w edytorze zapytań.
• Wyświetlanie SourceSystem kolumn i MachineGroup Defender XDR danych przesyłanych strumieniowo z Microsoft Sentinel — ponieważ kolumny SourceSystem i MachineGroup są dodawane do tabel Defender XDR po ich przesyłaniu strumieniowo do Microsoft Sentinel, pojawiają się one również w wynikach zaawansowanego wyszukiwania zagrożeń w usłudze Defender. Pozostają one jednak puste dla tabel Defender XDR, które nie były przesyłane strumieniowo (tabele, które są zgodne z domyślnym 30-dniowym okresem przechowywania danych).

Gdzie można znaleźć dane Microsoft Sentinel

Możesz użyć zaawansowanych zapytań KQL (język zapytań Kusto), aby wyszukiwać dane Microsoft Defender XDR i Microsoft Sentinel.

Po pierwszym otwarciu strony zaawansowanego wyszukiwania zagrożeń po połączeniu z obszarem roboczym można znaleźć wiele tabel tego obszaru roboczego uporządkowanych według rozwiązania po tabelach Microsoft Defender XDR na karcie Schemat.

Podobnie funkcje z Microsoft Sentinel można znaleźć na karcie Funkcje, a udostępnione i przykładowe zapytania z Microsoft Sentinel można znaleźć na karcie Zapytania wewnątrz folderów oznaczonych Sentinel.

Wyświetlanie informacji o schemacie

Aby dowiedzieć się więcej na temat tabeli schematu, wybierz wielokropek pionowy ( ) po prawej stronie dowolnej nazwy tabeli schematu na karcie Schemat , a następnie wybierz pozycję Wyświetl schemat.

Oprócz wyświetlania nazw i opisów kolumn schematu w ujednoliconym portalu można również wyświetlić następujące elementy:

• Przykładowe dane — wybierz pozycję Zobacz dane w wersji zapoznawczej, która ładuje proste zapytanie, takie jak TableName | take 5
• Typ schematu — czy tabela obsługuje pełne możliwości zapytań (tabela zaawansowana), czy nie (tabela dzienników podstawowych)
• Okres przechowywania danych — czas przechowywania danych
• Tagi — dostępne dla tabel danych Sentinel

Znane problemy

• Element IdentityInfo table z Microsoft Sentinel nie jest dostępny, ponieważ IdentityInfo tabela pozostaje taka, jak w Defender XDR. Microsoft Sentinel funkcje, takie jak reguły analizy, które wysyłają zapytania do tej tabeli, nie mają wpływu, ponieważ bezpośrednio wysyłają zapytania do obszaru roboczego usługi Log Analytics.
• Tabela Microsoft Sentinel SecurityAlert jest zastępowana przez AlertInfo tabele iAlertEvidence, które zawierają wszystkie dane dotyczące alertów. Chociaż usługa SecurityAlert nie jest dostępna na karcie schematu, nadal można jej używać w zapytaniach przy użyciu zaawansowanego edytora wyszukiwania zagrożeń. Ten aprowizacja jest wykonywana tak, aby nie przerywać istniejących zapytań z Microsoft Sentinel korzystających z tej tabeli.
• Tryb wyszukiwania zagrożeń z przewodnikiem i możliwości podejmowania akcji są obsługiwane tylko w przypadku Defender XDR danych.
• Wykrywanie niestandardowe ma następujące ograniczenia:
  • Wykrywanie niestandardowe nie jest dostępne dla zapytań KQL, które nie zawierają Defender XDR danych.
  • Częstotliwość wykrywania niemal w czasie rzeczywistym nie jest dostępna w przypadku wykrywania, które obejmują Microsoft Sentinel danych.
  • Funkcje niestandardowe, które zostały utworzone i zapisane w Microsoft Sentinel, nie są obsługiwane.
  • Definiowanie jednostek na podstawie danych Sentinel nie jest jeszcze obsługiwane w przypadku wykrywania niestandardowego.
• Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń. Są one obsługiwane w funkcji wyszukiwania zagrożeń > w Microsoft Sentinel>. Alternatywnie możesz użyć funkcji Łącze do zdarzenia , aby połączyć wyniki zapytania z nowymi lub istniejącymi zdarzeniami.
• Jeśli przesyłasz strumieniowo tabele Defender XDR do usługi Log Analytics, może istnieć różnica między kolumnamiTimestamp iTimeGenerated. W przypadku, gdy dane zostaną dostarczone do usługi Log Analytics po 48 godzinach, są zastępowane po pozyskaniu do now()usługi . W związku z tym, aby uzyskać rzeczywisty czas wystąpienia zdarzenia, zalecamy poleganie na kolumnie Timestamp .
• Podczas monitowania Security Copilot dla zaawansowanych zapytań wyszukiwania zagrożeń może się okazać, że nie wszystkie tabele Microsoft Sentinel są obecnie obsługiwane. Jednak w przyszłości można oczekiwać obsługi tych tabel.

Zobacz też

• Korzystanie z zaawansowanych funkcji wyszukiwania zagrożeń, zapisanych zapytań i reguł niestandardowych
• Praca z wynikami zawierającymi dane Microsoft Sentinel