Freigeben über

Verwenden Microsoft Sentinel Funktionen, gespeicherter Abfragen und benutzerdefinierter Regeln

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Verwenden von Funktionen

Um eine Funktion aus Microsoft Sentinel zu verwenden, wechseln Sie zur Registerkarte Funktionen, und scrollen Sie, bis Sie die gewünschte Funktion gefunden haben. Doppelklicken Sie auf den Funktionsnamen, um die Funktion im Abfrage-Editor einzufügen.

Sie können auch die vertikalen Ellipsen ( Kebabsymbol ) rechts neben der Funktion auswählen und Einfügen auswählen, um die Funktion in eine Abfrage im Abfrage-Editor einzufügen.

Weitere Optionen sind:

  • Details anzeigen – öffnet den funktionsseitigen Bereich mit seinen Details.
  • Laden von Funktionscode : Öffnet eine neue Registerkarte, die den Funktionscode enthält.

Für bearbeitbare Funktionen sind weitere Optionen verfügbar, wenn Sie die vertikalen Auslassungspunkte auswählen:

  • Details bearbeiten : Öffnet den seitenseitigen Bereich der Funktion, damit Sie Details zur Funktion bearbeiten können (mit Ausnahme von Ordnernamen für Sentinel Funktionen).
  • Löschen : Löscht die Funktion.

Verwenden des arg()-Operators für Azure Resource Graph-Abfragen (Vorschau)

Der arg()- Operator kann verwendet werden, um bereitgestellte Azure-Ressourcen wie Abonnements, virtuelle Computer, CPU, Speicher usw. abzufragen.

Dieses Feature war bisher nur in Log Analytics in Microsoft Sentinel verfügbar. Im Microsoft Defender-Portal arbeitet der arg() Operator Microsoft Sentinel Daten durch (d. a. Defender XDR Tabellen werden nicht unterstützt). Dadurch können Benutzer den Operator bei der erweiterten Suche verwenden, ohne ein Microsoft Sentinel Fenster manuell öffnen zu müssen.

Weitere Informationen finden Sie unter Abfragen von Daten in Azure Resource Graph mithilfe von arg().

Geben Sie im Abfrage-Editor arg("") ein. gefolgt vom Azure Resource Graph-Tabellennamen.

Zum Beispiel:

Screenshot des Arg-Operators bei der erweiterten Suche.

Sie können instance auch eine Abfrage filtern, die Microsoft Sentinel Daten basierend auf den Ergebnissen einer Azure Resource Graph-Abfrage durchsucht:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Verwenden gespeicherter Abfragen

Um eine gespeicherte Abfrage aus Microsoft Sentinel zu verwenden, wechseln Sie zur Registerkarte Abfragen, und scrollen Sie, bis Sie die gewünschte Abfrage gefunden haben. Doppelklicken Sie auf den Abfragenamen, um die Abfrage im Abfrage-Editor zu laden. Wählen Sie für weitere Optionen die vertikalen Auslassungspunkte ( Kebabsymbol ) rechts neben der Abfrage aus. Von hier aus können Sie die folgenden Aktionen ausführen:

  • Abfrage ausführen : Lädt die Abfrage im Abfrage-Editor und führt sie automatisch aus.

  • Im Abfrage-Editor öffnen – lädt die Abfrage im Abfrage-Editor.

  • Details anzeigen : Öffnet den Seitenbereich mit den Abfragedetails, in dem Sie die Abfrage überprüfen, die Abfrage ausführen oder die Abfrage im Editor öffnen können.

    Screenshot der Optionen, die in gespeicherten Abfragen im Microsoft Defender-Portal verfügbar sind

Für bearbeitbare Abfragen stehen weitere Optionen zur Verfügung:

  • Details bearbeiten : Öffnet den Seitenbereich mit den Abfragedetails mit der Option, die Details wie die Beschreibung (falls zutreffend) und die Abfrage selbst zu bearbeiten. nur die Ordnernamen (Speicherort) von Microsoft Sentinel Abfragen können nicht bearbeitet werden.
  • Löschen : Löscht die Abfrage.
  • Umbenennen : Ermöglicht ihnen das Ändern des Abfragenamens.

Erstellen benutzerdefinierter Analyse- und Erkennungsregeln

Um Bedrohungen und anomales Verhalten in Ihrer Umgebung zu erkennen, können Sie benutzerdefinierte Erkennungsrichtlinien erstellen.

Für Analyseregeln, die für Daten gelten, die über den verbundenen Microsoft Sentinel Arbeitsbereich erfasst werden, wählen Sie Regeln > verwalten Analyseregel erstellen aus.

Screenshot der Optionen zum Erstellen benutzerdefinierter Analysen oder Erkennungen im Microsoft Defender-Portal

Der Analyseregel-Assistent wird angezeigt. Füllen Sie die erforderlichen Details aus, wie unter Analyseregel-Assistent – Registerkarte Allgemein beschrieben.

Sie können auch benutzerdefinierte Erkennungsregeln erstellen, die Daten aus Microsoft Sentinel und Defender XDR Tabellen abfragen. Wählen Sie Regeln > verwalten Benutzerdefinierte Erkennung erstellen aus. Weitere Informationen finden Sie unter Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln .

Wenn Ihre Defender XDR Daten in Microsoft Sentinel erfasst werden, können Sie zwischen benutzerdefinierter Erkennung erstellen und Analyseregel erstellen wählen.