Rozšířené proaktivní vyhledávání s Microsoft Sentinel daty na portálu Microsoft Defender
Rozšířené proaktivní vyhledávání umožňuje zobrazit a dotazovat se na všechny zdroje dat dostupné na jednotném portálu Microsoft Defender. Mezi zdroje dat můžou patřit Microsoft Defender XDR a různé služby zabezpečení Microsoftu. Pokud nasadíte Microsoft Sentinel na portál Defender, budete přistupovat k veškerému obsahu Microsoft Sentinel pracovního prostoru, včetně dotazů a funkcí, a používat ho.
Dotazování z jednoho portálu napříč různými datovými sadami zefektivňuje vyhledávání a eliminuje potřebu přepínání kontextu.
Důležité
Microsoft Sentinel je obecně k dispozici v rámci sjednocené platformy operací zabezpečení společnosti Microsoft na portálu Microsoft Defender. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Jak získat přístup
Požadované role a oprávnění
Na základě vašich rolí a oprávnění se můžete dotazovat na data v libovolné úloze, ke kterým máte aktuálně přístup.
Pokud chcete dotazovat data Microsoft Sentinel a Microsoft Defender XDR na sjednocené stránce rozšířeného proaktivního vyhledávání, budete také potřebovat alespoň roli čtenáře Microsoft Sentinel. Další informace najdete v tématu role specifické pro Microsoft Sentinel.
Připojení pracovního prostoru
V Microsoft Defender můžete pracovní prostory připojit tak, že v horním banneru vyberete Připojit pracovní prostor. Toto tlačítko se zobrazí, pokud máte nárok na onboarding pracovního prostoru Microsoft Sentinel na sjednocený portál Microsoft Defender. Postupujte podle kroků v tématu Onboarding a workspace (Onboarding a workspace).
Po připojení pracovního prostoru Microsoft Sentinel a Microsoft Defender XDR pokročilých dat proaktivního vyhledávání můžete začít dotazovat Microsoft Sentinel data ze stránky rozšířeného proaktivního vyhledávání. Přehled pokročilých funkcí proaktivního vyhledávání najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního proaktivního vyhledávání.
Co očekávat od Defender XDR tabulek streamovaných do Microsoft Sentinel
- Použití tabulek s delší dobou uchovávání dat v dotazech – Rozšířené proaktivní vyhledávání se řídí maximální dobou uchovávání dat nakonfigurovanou pro tabulky Defender XDR (viz Vysvětlení kvót). Pokud streamujete Defender XDR tabulky do Microsoft Sentinel a u uvedených tabulek máte dobu uchovávání dat delší než 30 dnů, můžete se na delší období dotazovat v rozšířeném vyhledávání.
-
Použití operátorů Kusto, které jste použili v Microsoft Sentinel – Obecně platí, že dotazy z Microsoft Sentinel fungují v rozšířeném proaktivního vyhledávání, včetně dotazů, které používají
adx()
operátor. Můžou nastat případy, kdy vás IntelliSense upozorní, že se operátory v dotazu neshodují se schématem, ale přesto můžete dotaz spustit a měl by se úspěšně spustit. - Místo nastavení časového rozsahu v dotazu použijte rozevírací seznam filtru času – pokud filtrujete příjem Defender XDR tabulky tak, aby Sentinel místo streamování tabulek tak, jak jsou, nefiltrujte v dotazu čas, protože by to mohlo generovat neúplné výsledky. Pokud v dotazu nastavíte čas, použijí se streamovaná filtrovaná data z Sentinel, protože obvykle mají delší dobu uchovávání dat. Pokud chcete mít jistotu, že dotazujete všechna Defender XDR data po dobu až 30 dnů, použijte místo toho rozevírací seznam časových filtrů, který je k dispozici v editoru dotazů.
-
Zobrazení
SourceSystem
aMachineGroup
sloupce pro Defender XDR data streamovaná z Microsoft Sentinel – Vzhledem k tomu, že se sloupceSourceSystem
aMachineGroup
přidají do Defender XDR tabulek, jakmile se streamují do Microsoft Sentinel, zobrazují se také ve výsledcích rozšířeného proaktivního vyhledávání v Defenderu. U Defender XDR tabulek, které nebyly streamovány (tabulky, které dodržují výchozí 30denní dobu uchovávání dat), ale zůstanou prázdné.
Poznámka
Použití jednotného portálu, kde se můžete dotazovat na data Microsoft Sentinel po připojení pracovního prostoru Microsoft Sentinel, neznamená automaticky, že můžete také dotazovat Defender XDR data v Microsoft Sentinel. Nezpracovaný příjem dat Defender XDR by měl být pořád nakonfigurovaný v Microsoft Sentinel, aby k tomu došlo.
Kde najít data Microsoft Sentinel
Pomocí dotazů KQL (dotazovací jazyk Kusto) rozšířeného proaktivního vyhledávání můžete proaktivní vyhledávání dat Microsoft Defender XDR a Microsoft Sentinel.
Když po připojení pracovního prostoru poprvé otevřete stránku rozšířeného vyhledávání, najdete mnoho tabulek tohoto pracovního prostoru uspořádaných podle řešení za Microsoft Defender XDR tabulkami na kartě Schéma.
Podobně najdete funkce z Microsoft Sentinel na kartě Funkce a sdílené a ukázkové dotazy z Microsoft Sentinel najdete na kartě Dotazy ve složkách označených Sentinel.
Zobrazení informací o schématu
Další informace o tabulce schématu získáte tak, že vyberete svislé tři tečky ( ) napravo od názvu tabulky schématu na kartě Schéma a pak vyberete Zobrazit schéma.
Na jednotném portálu můžete kromě zobrazení názvů a popisů sloupců schématu také zobrazit:
- Ukázková data – vyberte Zobrazit náhled dat, která načte jednoduchý dotaz, jako je
TableName | take 5
- Typ schématu – jestli tabulka podporuje úplné možnosti dotazů (pokročilá tabulka) nebo ne (základní tabulka protokolů)
- Doba uchovávání dat – doba, po jakou se data mají uchovávat
- Značky – dostupné pro tabulky dat Sentinel
Známé problémy
- Microsoft Sentinel
IdentityInfo table
z není k dispozici, protožeIdentityInfo
tabulka zůstává ve Defender XDR. Microsoft Sentinel funkce, jako jsou analytická pravidla, která se dotazují na tuto tabulku, nejsou ovlivněné, protože se dotazují přímo na pracovní prostor služby Log Analytics. - Tabulka Microsoft Sentinel
SecurityAlert
je nahrazena tabulkamiAlertInfo
a,AlertEvidence
které obsahují všechna data o výstrahách. I když securityAlert není k dispozici na kartě schématu, můžete ho přesto použít v dotazech pomocí editoru rozšířeného proaktivního vyhledávání. Toto zřízení je provedeno tak, aby nedošlo k přerušení existujících dotazů z Microsoft Sentinel, které používají tuto tabulku. - Funkce režimu proaktivního vyhledávání s asistencí a provádění akcí jsou podporovány pouze pro Defender XDR data.
- Vlastní detekce mají následující omezení:
- Vlastní detekce nejsou k dispozici pro dotazy KQL, které neobsahují Defender XDR data.
- Frekvence detekce téměř v reálném čase není k dispozici pro detekce, které zahrnují Microsoft Sentinel data.
- Vlastní funkce vytvořené a uložené v Microsoft Sentinel nejsou podporovány.
- Definování entit z Sentinel dat se zatím ve vlastních detekcích nepodporuje.
- Záložky nejsou v pokročilém prostředí proaktivního vyhledávání podporované. Podporují se ve funkci proaktivního vyhledávání správy > hrozeb Microsoft Sentinel>. Případně můžete použít funkci Odkaz na incident a propojit výsledky dotazu s novými nebo existujícími incidenty.
- Pokud streamujete tabulky Defender XDR do Log Analytics, může být mezi sloupci
Timestamp
aTimeGenerated
rozdíl. Pokud data dorazí do Log Analytics po 48 hodinách, přepíšou se při příjmu dat donow()
. Pokud chcete zjistit skutečný čas, kdy k události došlo, doporučujeme spoléhat se naTimestamp
sloupec . - Při zobrazení výzvy Security Copilot pro pokročilé proaktivní dotazy můžete zjistit, že se v současné době nepodporují všechny Microsoft Sentinel tabulky. Podporu těchto tabulek ale můžete očekávat i v budoucnu.