Vytváření vlastních dotazů proaktivního vyhledávání v Microsoft Sentinelu
Vyhledávání bezpečnostních hrozeb napříč zdroji dat vaší organizace pomocí vlastních dotazů proaktivního vyhledávání Microsoft Sentinel poskytuje integrované dotazy proaktivního vyhledávání, které vám pomůžou najít problémy s daty, která máte ve vaší síti. Můžete ale vytvořit vlastní dotazy. Další informace o dotazech proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.
Vytvoření nového dotazu
V Microsoft Sentinelu vytvořte vlastní dotaz proaktivního vyhledávání na kartě Dotazy proaktivního vyhledávání>.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Proaktivní vyhledávání.
Pro Microsoft Sentinel na portálu Defender vyberte Proaktivní vyhledávání pro správu>hrozeb Microsoft Sentinelu>.Vyberte kartu Dotazy.
Na panelu příkazů vyberte Nový dotaz.
Vyplňte všechna prázdná pole.
Vytváření mapování entit výběrem typů entit, identifikátorů a sloupců
Namapujte techniky MITRE ATT&CK na dotazy proaktivního vyhledávání výběrem taktiky, techniky a dílčí techniky (pokud je to možné).
Po dokončení definování dotazu vyberte Vytvořit.
Klonování existujícího dotazu
Naklonujte vlastní nebo předdefinovaný dotaz a podle potřeby ho upravte.
Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete klonovat.
Na řádku dotazu, který chcete upravit, vyberte tři tečky (...) a vyberte Klonovat.
Podle potřeby upravte dotaz a další pole.
Vyberte Vytvořit.
Úprava existujícího vlastního dotazu
Upravovat je možné pouze dotazy z vlastního zdroje obsahu. V daném zdroji musí být upravovány další zdroje obsahu.
Na kartě Dotazy proaktivního vyhledávání>vyberte dotaz proaktivního vyhledávání, který chcete změnit.
Na řádku dotazu, který chcete změnit, vyberte tři tečky (...) a vyberte Upravit.
Aktualizujte pole Dotaz pomocí aktualizovaného dotazu. Můžete také změnit mapování a techniky entit.
Po dokončení vyberte Uložit.