Erweiterte Suche mit Microsoft Sentinel Daten in Microsoft Defender Portal

• Gilt für::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Mit der erweiterten Suche können Sie alle Datenquellen anzeigen und abfragen, die im einheitlichen Microsoft Defender-Portal verfügbar sind. Die Datenquellen können Microsoft Defender XDR und verschiedene Microsoft-Sicherheitsdienste umfassen. Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, greifen Sie auf alle Vorhandenen Microsoft Sentinel Arbeitsbereichsinhalte zu, einschließlich Abfragen und Funktionen, und verwenden Sie diese.

Das Abfragen über ein einzelnes Portal über verschiedene Datasets hinweg macht die Suche effizienter und macht den Kontextwechsel nicht mehr erforderlich.

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Zugreifen auf

Erforderliche Rollen und Berechtigungen

Sie können Daten in jeder Workload abfragen, auf die Sie derzeit basierend auf Ihren Rollen und Berechtigungen zugreifen können.

Um Microsoft Sentinel- und Microsoft Defender XDR Daten auf der einheitlichen Seite für erweiterte Suche abzufragen, benötigen Sie außerdem mindestens die Rolle Microsoft Sentinel Leser. Weitere Informationen finden Sie unter Microsoft Sentinel-spezifische Rollen.

Verbinden eines Arbeitsbereichs

In Microsoft Defender können Sie Arbeitsbereiche verbinden, indem Sie im oberen Banner Arbeitsbereich verbinden auswählen. Diese Schaltfläche wird angezeigt, wenn Sie berechtigt sind, ein Microsoft Sentinel-Arbeitsbereich in das Einheitliche Microsoft Defender-Portal zu integrieren. Führen Sie die Schritte unter Onboarding a workspace (Integrieren eines Arbeitsbereichs) aus.

Nachdem Sie Ihren Microsoft Sentinel Arbeitsbereich verbunden und erweiterte Suchdaten Microsoft Defender XDR, können Sie mit der Abfrage Microsoft Sentinel Daten auf der Seite für die erweiterte Suche beginnen. Eine Übersicht über erweiterte Huntingfunktionen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Was Sie für Defender XDR Tabellen erwarten können, die an Microsoft Sentinel gestreamt werden

• Verwenden von Tabellen mit längerem Datenaufbewahrungszeitraum in Abfragen: Die erweiterte Suche folgt dem maximalen Datenaufbewahrungszeitraum, der für die Defender XDR Tabellen konfiguriert ist (siehe Grundlegendes zu Kontingenten). Wenn Sie Defender XDR Tabellen an Microsoft Sentinel streamen und eine Datenaufbewahrungsdauer von mehr als 30 Tagen für diese Tabellen haben, können Sie den längeren Zeitraum in der erweiterten Suche abfragen.
• Verwenden Sie Kusto-Operatoren, die Sie in Microsoft Sentinel verwendet haben: Im Allgemeinen funktionieren Abfragen von Microsoft Sentinel bei der erweiterten Suche, einschließlich Abfragen, die den adx() Operator verwenden. Es kann Fälle geben, in denen IntelliSense Sie warnt, dass die Operatoren in Ihrer Abfrage nicht mit dem Schema übereinstimmen. Sie können die Abfrage jedoch trotzdem ausführen, und sie sollte trotzdem erfolgreich ausgeführt werden.
• Verwenden Sie die Dropdownliste Zeitfilter, anstatt die Zeitspanne in der Abfrage festzulegen. Wenn Sie die Erfassung von Defender XDR Tabellen in Sentinel filtern, anstatt die Tabellen unverändert zu streamen, filtern Sie die Zeit in der Abfrage nicht, da dies zu unvollständigen Ergebnissen führen kann. Wenn Sie die Zeit in der Abfrage festlegen, werden die gestreamten, gefilterten Daten aus Sentinel verwendet, da sie normalerweise den längeren Datenaufbewahrungszeitraum aufweisen. Wenn Sie sicherstellen möchten, dass Sie alle Defender XDR Daten bis zu 30 Tage lang abfragen, verwenden Sie stattdessen die Dropdownliste zeitfilter im Abfrage-Editor.
• Ansicht SourceSystem und MachineGroup Spalten für Defender XDR Daten, die aus Microsoft Sentinel gestreamt wurden: Da die Spalten SourceSystem und MachineGroup nach dem Streamen an Microsoft Sentinel zu Defender XDR Tabellen hinzugefügt werden, werden sie auch in den Ergebnissen der erweiterten Suche in Defender angezeigt. Sie bleiben jedoch leer für Defender XDR Tabellen, die nicht gestreamt wurden (Tabellen, die dem standardmäßigen Datenaufbewahrungszeitraum von 30 Tagen folgen).

Hinweis

Die Verwendung des einheitlichen Portals, in dem Sie Microsoft Sentinel Daten nach dem Herstellen einer Verbindung mit einem Microsoft Sentinel Arbeitsbereich abfragen können, bedeutet nicht automatisch, dass Sie auch Defender XDR Daten abfragen können, während Sie sich in Microsoft Sentinel befinden. Die Rohdatenerfassung von Defender XDR sollte weiterhin in Microsoft Sentinel konfiguriert werden, damit dies geschieht.

Wo Sie Ihre Microsoft Sentinel Daten finden

Sie können erweiterte KQL-Abfragen (Kusto-Abfragesprache) verwenden, um Microsoft Defender XDR zu durchsuchen und Daten zu Microsoft Sentinel.

Wenn Sie die Seite "Erweiterte Suche" zum ersten Mal öffnen, nachdem Sie einen Arbeitsbereich verbunden haben, finden Sie viele tabellen dieses Arbeitsbereichs nach Lösung nach den Microsoft Defender XDR Tabellen auf der Registerkarte Schema.

Ebenso finden Sie die Funktionen in Microsoft Sentinel auf der Registerkarte Funktionen, und Ihre freigegebenen und Beispielabfragen aus Microsoft Sentinel finden Sie auf der Registerkarte Abfragen in Ordnern, die Sentinel gekennzeichnet sind.

Anzeigen von Schemainformationen

Wenn Sie mehr über eine Schematabelle erfahren möchten, wählen Sie auf der Registerkarte Schema die vertikalen Auslassungspunkte ( ) rechts neben einem beliebigen Schematabellennamen aus, und wählen Sie dann Schema anzeigen aus.

Im einheitlichen Portal können Sie neben den Namen und Beschreibungen der Schemaspalten auch Folgendes anzeigen:

• Beispieldaten– Wählen Sie Vorschaudaten anzeigen aus, wodurch eine einfache Abfrage wie TableName | take 5
• Schematyp : Gibt an, ob die Tabelle vollständige Abfragefunktionen unterstützt (erweiterte Tabelle) oder nicht (Tabelle "Basisprotokolle")
• Datenaufbewahrungszeitraum – Wie lange die Daten aufbewahrt werden sollen
• Tags – verfügbar für Sentinel Datentabellen

Bekannte Probleme

• Der IdentityInfo table aus Microsoft Sentinel ist nicht verfügbar, da die IdentityInfo Tabelle unverändert in Defender XDR bleibt. Microsoft Sentinel Features wie Analyseregeln, die diese Tabelle abfragen, sind nicht betroffen, da sie den Log Analytics-Arbeitsbereich direkt abfragen.
• Die Microsoft Sentinel SecurityAlert Tabelle wird durch AlertInfo die Tabellen und AlertEvidence ersetzt, die beide alle Daten zu Warnungen enthalten. Obwohl SecurityAlert auf der Registerkarte Schema nicht verfügbar ist, können Sie es weiterhin in Abfragen mit dem erweiterten Hunting-Editor verwenden. Diese Bereitstellung erfolgt, um vorhandene Abfragen aus Microsoft Sentinel, die diese Tabelle verwenden, nicht zu unterbrechen.
• Die Funktionen für den Modus "Geführte Suche" und "Aktionen ausführen" werden nur für Defender XDR Daten unterstützt.
• Für benutzerdefinierte Erkennungen gelten die folgenden Einschränkungen:
  • Benutzerdefinierte Erkennungen sind nicht für KQL-Abfragen verfügbar, die keine Defender XDR Daten enthalten.
  • Die Erkennungshäufigkeit nahezu in Echtzeit ist für Erkennungen, die Microsoft Sentinel Daten enthalten, nicht verfügbar.
  • Benutzerdefinierte Funktionen, die in Microsoft Sentinel erstellt und gespeichert wurden, werden nicht unterstützt.
  • Das Definieren von Entitäten aus Sentinel Daten wird in benutzerdefinierten Erkennungen noch nicht unterstützt.
• Lesezeichen werden in der erweiterten Suche nicht unterstützt. Sie werden im Microsoft Sentinel > Threat Management > Hunting-Feature unterstützt.
• Wenn Sie Defender XDR Tabellen an Log Analytics streamen, kann es einen Unterschied zwischen denTimestamp Spalten und TimeGenerated geben. Falls die Daten nach 48 Stunden in Log Analytics eintreffen, werden sie bei der Erfassung in now()überschrieben. Daher wird empfohlen, sich auf die Spalte zu verlassen, um den tatsächlichen Zeitpunkt des Ereignisereignisses Timestamp abzurufen.
• Wenn Sie copilot for Security für erweiterte Huntingabfragen auffordern, stellen Sie möglicherweise fest, dass derzeit nicht alle Microsoft Sentinel Tabellen unterstützt werden. Es ist jedoch zu erwarten, dass diese Tabellen in Zukunft unterstützt werden.

Siehe auch

• Verwenden von erweiterten Huntingfunktionen, gespeicherten Abfragen und benutzerdefinierten Regeln
• Erkunden erweiterter Huntingergebnisse mit Microsoft Sentinel Daten