Del via

Brug Microsoft Sentinel funktioner, gemte forespørgsler og brugerdefinerede regler

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Brug funktioner

Hvis du vil bruge en funktion fra Microsoft Sentinel, skal du gå til fanen Funktioner og rulle, indtil du finder den ønskede funktion. Dobbeltklik på funktionsnavnet for at indsætte funktionen i forespørgselseditoren.

Du kan også vælge de lodrette ellipser ( kebabikon ) til højre for funktionen og vælge Indsæt for at forespørge for at indsætte funktionen i en forespørgsel i forespørgselseditoren.

Andre indstillinger omfatter:

  • Vis detaljer – åbner den funktionssiderude, der indeholder detaljerne
  • Indlæs funktionskode – åbner en ny fane, der indeholder funktionskoden

Der er flere tilgængelige indstillinger for redigerbare funktioner, når du vælger de lodrette ellipser:

  • Rediger detaljer – åbner funktionssideruden, så du kan redigere detaljer om funktionen (undtagen mappenavne til Sentinel funktioner)
  • Delete – sletter funktionen

Brug adx()-operator til Azure Data Explorer-forespørgsler (prøveversion)

Brug operatoren adx() til at forespørge om tabeller, der er gemt i Azure Data Explorer. Læs Hvad er Azure Data Explorer? for at få flere oplysninger.

Denne funktion var tidligere kun tilgængelig i loganalyse i Microsoft Sentinel. Brugerne kan nu bruge operatoren i avanceret jagt på unified Microsoft Defender portalen uden at skulle åbne et Microsoft Sentinel vindue manuelt.

Angiv forespørgslen i følgende format i forespørgselseditoren:

adx('<Cluster URI>/<Database Name>').<Table Name>

Hvis du f.eks. vil hente de første 10 rækker med data fra tabellen StormEvents , der er gemt i en bestemt URI:

Skærmbillede af adx-operator i avanceret jagt.

Brug arg()-operator til Azure Resource Graph-forespørgsler

Operatoren arg() kan bruges til at forespørge på tværs af udrullede Azure-ressourcer, f.eks. abonnementer, virtuelle maskiner, CPU, lager og lignende.

Denne funktion var tidligere kun tilgængelig i loganalyse i Microsoft Sentinel. I Microsoft Defender-portalen arbejder operatoren arg() over Microsoft Sentinel data , dvs. at Defender XDR tabeller ikke understøttes). Dette giver brugerne mulighed for at bruge operatøren i avanceret jagt uden at skulle åbne et Microsoft Sentinel vindue manuelt.

Bemærk, at forespørgsler, der bruger operatoren arg() , kun returnerer de første 1.000 poster. Læs Forespørg om data i Azure Resource Graph ved hjælp af arg() for at få flere oplysninger.

Angiv arg(""). i forespørgselseditoren. efterfulgt af navnet på Azure Resource Graph-tabellen.

Det kan f.eks. være:

Skærmbillede af arg-operator i avanceret jagt.

Du kan f.eks. også filtrere en forespørgsel, der søger i Microsoft Sentinel data baseret på resultaterne af en Azure Resource Graph-forespørgsel:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Brug gemte forespørgsler

Hvis du vil bruge en gemt forespørgsel fra Microsoft Sentinel, skal du gå til fanen Forespørgsler og rulle, indtil du finder den ønskede forespørgsel. Dobbeltklik på forespørgselsnavnet for at indlæse forespørgslen i forespørgselseditoren. Du kan få flere indstillinger ved at vælge de lodrette ellipser ( kebabikon ) til højre for forespørgslen. Herfra kan du udføre følgende handlinger:

  • Kør forespørgsel – indlæser forespørgslen i forespørgselseditoren og kører den automatisk

  • Åbn i forespørgselseditoren – indlæser forespørgslen i forespørgselseditoren

  • Vis detaljer – åbner sideruden med forespørgselsoplysninger, hvor du kan undersøge forespørgslen, køre forespørgslen eller åbne forespørgslen i editoren

    Skærmbillede af de indstillinger, der er tilgængelige i gemte forespørgsler på Microsoft Defender-portalen

Der er flere tilgængelige indstillinger for redigerbare forespørgsler:

  • Rediger detaljer – åbner sideruden med forespørgselsdetaljer med mulighed for at redigere detaljerne, f.eks. beskrivelsen (hvis relevant) og selve forespørgslen. Kun mappenavnene (placeringen) for Microsoft Sentinel forespørgsler kan ikke redigeres
  • Slet – sletter forespørgslen
  • Rename – giver dig mulighed for at ændre forespørgselsnavnet

Opret brugerdefinerede regler for analyse og registrering

Du kan hjælpe med at finde trusler og uregelmæssigheder i dit miljø ved at oprette brugerdefinerede politikker for registrering.

For de analyseregler, der gælder for data, der indtages via det forbundne Microsoft Sentinel arbejdsområde, skal du vælge Administrer regler > Opret analyseregel.

Skærmbillede af indstillingerne til oprettelse af brugerdefinerede analyser eller registreringer på Microsoft Defender-portalen

Guiden Analyseregel vises. Udfyld de påkrævede oplysninger, som beskrevet i guiden Analytics-regel – fanen Generelt.

Du kan også oprette brugerdefinerede registreringsregler, der forespørger data fra både Microsoft Sentinel og Defender XDR tabeller. Vælg Administrer regler > Opret brugerdefineret registrering. Læs Opret og administrer regler for brugerdefineret registrering for at få flere oplysninger.

Hvis dine Defender XDR data indtages i Microsoft Sentinel, kan du vælge mellem Opret brugerdefineret registrering og Opret analyseregel.