Sdílet prostřednictvím

Použití Microsoft Sentinel funkcí, uložených dotazů a vlastních pravidel

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Použití funkcí

Pokud chcete použít funkci z Microsoft Sentinel, přejděte na kartu Funkce a posuňte se, dokud nenajdete požadovanou funkci. Poklikáním na název funkce vložte funkci do editoru dotazů.

Můžete také vybrat svislé tři tečky ( ikona kebabu ) napravo od funkce a vybrat Vložit do dotazu a vložit funkci do dotazu v editoru dotazů.

Mezi další možnosti patří:

  • Zobrazit podrobnosti – otevře boční podokno funkce obsahující její podrobnosti.
  • Načtení kódu funkce – otevře novou kartu obsahující kód funkce.

U upravitelných funkcí jsou při výběru svislých teček k dispozici další možnosti:

  • Upravit podrobnosti – otevře boční podokno funkce, abyste mohli upravit podrobnosti o funkci (kromě názvů složek pro Sentinel funkce).
  • Delete – odstraní funkci.

Použití operátoru adx() pro dotazy Azure Data Explorer (Preview)

Operátor použijte adx() k dotazování tabulek uložených v Azure Data Explorer. Další podrobnosti najdete v tématu Co je Azure Data Explorer?.

Tato funkce byla dříve dostupná jenom v log Analytics v Microsoft Sentinel. Uživatelé teď můžou operátor používat v rozšířeném vyhledávání na portálu sjednoceného Microsoft Defender, aniž by museli ručně otevírat okno Microsoft Sentinel.

V editoru dotazů zadejte dotaz v následujícím formátu:

adx('<Cluster URI>/<Database Name>').<Table Name>

Pokud například chcete získat prvních 10 řádků dat z StormEvents tabulky uložené v určitém identifikátoru URI:

Snímek obrazovky s operátorem adx v rozšířeném proaktivním vyhledávání

Použití operátoru arg() pro dotazy Azure Resource Graph

Operátor arg() se dá použít k dotazování na nasazené prostředky Azure, jako jsou předplatná, virtuální počítače, procesor, úložiště a podobně.

Tato funkce byla dříve dostupná jenom v log Analytics v Microsoft Sentinel. Na portálu arg() Microsoft Defender pracuje operátor s Microsoft Sentinel daty (to znamená, že Defender XDR tabulky nejsou podporované). To umožňuje uživatelům používat operátor v rozšířeném proaktivním vyhledávání, aniž by museli ručně otevírat okno Microsoft Sentinel.

Všimněte si, že dotazy používající arg() operátor vrátí pouze prvních 1 000 záznamů. Další podrobnosti najdete v tématu Dotazování dat v Azure Resource Graph pomocí arg().

V editoru dotazů zadejte arg(""). následovaný názvem tabulky Azure Resource Graph.

Příklady:

Snímek obrazovky s operátorem arg v rozšířeném proaktivním vyhledávání

Můžete také například filtrovat dotaz, který prohledává Microsoft Sentinel data na základě výsledků dotazu Azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Použití uložených dotazů

Pokud chcete použít uložený dotaz z Microsoft Sentinel, přejděte na kartu Dotazy a posuňte se, dokud nenajdete požadovaný dotaz. Poklikáním na název dotazu načtěte dotaz do editoru dotazů. Pokud potřebujete další možnosti, vyberte svislé tři tečky ( ikona kebabu ) napravo od dotazu. Tady můžete provádět následující akce:

  • Spustit dotaz – načte dotaz v editoru dotazů a spustí ho automaticky.

  • Otevřít v editoru dotazů – načte dotaz v editoru dotazů.

  • Zobrazení podrobností – otevře boční podokno podrobností dotazu, kde můžete dotaz zkontrolovat, spustit dotaz nebo ho otevřít v editoru.

    Snímek obrazovky s možnostmi dostupnými v uložených dotazech na portálu Microsoft Defender

Pro upravitelné dotazy jsou k dispozici další možnosti:

  • Upravit podrobnosti – otevře boční podokno podrobností dotazu s možností upravit podrobnosti, jako je popis (pokud je k dispozici) a samotný dotaz. upravovat pouze názvy složek (umístění) Microsoft Sentinel dotazů
  • Delete – odstraní dotaz.
  • Přejmenovat – umožňuje změnit název dotazu.

Vytvoření vlastních analytických a detekčních pravidel

Pokud chcete ve svém prostředí odhalit hrozby a neobvyklé chování, můžete vytvořit vlastní zásady detekce.

V případě analytických pravidel, která se vztahují na data ingestované prostřednictvím připojeného pracovního prostoru Microsoft Sentinel, vyberte Spravovat pravidla > Vytvořit analytické pravidlo.

Snímek obrazovky s možnostmi vytváření vlastních analýz nebo detekcí na portálu Microsoft Defender

Zobrazí se průvodce analytickým pravidlem . Vyplňte požadované podrobnosti, jak je popsáno v průvodci analytickými pravidly – karta Obecné.

Můžete také vytvořit vlastní pravidla detekce, která se dotazuje na data z tabulek Microsoft Sentinel i Defender XDR. Vyberte Spravovat pravidla > Vytvořit vlastní detekci. Další informace najdete v tématu Vytváření a správa vlastních pravidel zjišťování .

Pokud se data Defender XDR ingestují do Microsoft Sentinel, můžete si vybrat mezi vytvořit vlastní detekci a Vytvořit analytické pravidlo.