Kehittynyt metsästys Microsoft Sentinel tiedoilla Microsoft Defender-portaalissa
Kehittyneen metsästyksen avulla voit tarkastella ja tehdä kyselyjä kaikille unified Microsoft Defender -portaalissa käytettävissä oleviin tietolähteisiin. Tietolähteet voivat sisältää Microsoft Defender XDR ja useita Microsoftin suojauspalveluita. Jos otat Microsoft Sentinel Defender-portaaliin, voit käyttää kaikkea aiemmin luotua Microsoft Sentinel työtilan sisältöä, kyselyt ja funktiot mukaan lukien.
Kyselyn tekeminen yhdestä portaalista eri tietojoukkojen välillä tekee metsästyksestä tehokkaampaa ja poistaa tarpeen kontekstin vaihtamiselle.
Tärkeää
Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.
Käyttö
Pakolliset roolit ja käyttöoikeudet
Voit kysellä tietoja missä tahansa kuormituksessa, jota voit tällä hetkellä käyttää rooliesi ja käyttöoikeuksiesi perusteella.
Jos haluat tehdä kyselyjä Microsoft Sentinel ja Microsoft Defender XDR tietoja yhdistetyllä kehittyneellä metsästyssivulla, tarvitset myös vähintään Microsoft Sentinel Lukija-roolin. Lisätietoja on kohdassa Microsoft Sentinel tietyt roolit.
Yhdistä työtila
Microsoft Defender voit yhdistää työtiloja valitsemalla Yhdistä työtila yläpalkista. Tämä painike tulee näkyviin, jos olet oikeutettu Microsoft Sentinel työtilaan yhdistetyssä Microsoft Defender -portaalissa. Noudata seuraavia ohjeita: Työtilan käyttöönotto.
Kun olet yhdistänyt Microsoft Sentinel työtilan ja Microsoft Defender XDR kehittyneet metsästystiedot, voit alkaa kysellä Microsoft Sentinel tietoja kehittyneeltä metsästyssivulta. Yleiskatsaus kehittyneen metsästyksen ominaisuuksista on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.
Mitä odottaa Defender XDR taulukoille, jotka on virtautettu Microsoft Sentinel
- Käytä kyselyissä taulukoita, joilla on pidempi tietojen säilytysaika – Kehittynyt metsästys noudattaa Defender XDR taulukoille määritettyä tietojen enimmäissäilytysaikaa (katso Tutustu kiintiöihin). Jos suoratoistat Defender XDR taulukoita Microsoft Sentinel ja tietojen säilytysaika on yli 30 päivää mainittuja taulukoita varten, voit tehdä kyselyjä pidemmältä ajanjaksolta kehittyneessä metsästyksessä.
-
Käytä Microsoft Sentinel käyttämiäsi Kusto-operaattoreita – yleensä Microsoft Sentinel kyselyt toimivat kehittyneessä metsästyksessä, mukaan lukien operaattoria
adx()
käyttävät kyselyt. Joissakin tapauksissa IntelliSense varoittaa, että kyselyn operaattorit eivät vastaa rakennetta, mutta voit silti suorittaa kyselyn, ja se on silti suoritettava onnistuneesti. - Käytä avattavaa aikasuodatinvalikkoa sen sijaan, että määrittäisit kyselyn aikavälin – Jos suodatat Defender XDR taulukoita Sentinel sen sijaan, että suoratoistaisit taulukoita sellaisenaan, älä suodata kyselyn aikaa, sillä tämä saattaa tuottaa epätäydellisiä tuloksia. Jos määrität kyselyn ajan, käytetään virtautetut, suodatetut tiedot Sentinel, koska sillä on yleensä pidempi tietojen säilytysaika. Jos haluat varmistaa, että teet kyselyn kaikkiin Defender XDR tietoihin enintään 30 päivän ajan, käytä kyselyeditorissa annettua avattavaa aikasuodatinvalikkoa.
-
Näytä
SourceSystem
jaMachineGroup
sarakkeet Defender XDR tiedoille, jotka on suoratoistanut Microsoft Sentinel – Koska sarakkeetSourceSystem
MachineGroup
on lisätty Defender XDR-taulukoihin, kun ne on virtautettu Microsoft Sentinel, ne näkyvät myös lisämetsästyksen tuloksissa Defenderissä. Ne pysyvät kuitenkin tyhjinä Defender XDR taulukoille, joita ei virtautettu (taulukot, jotka noudattavat oletusarvoista 30 päivän tietojen säilytysjaksoa).
Huomautus
Yhdistetyn portaalin käyttäminen, jossa voit tehdä Microsoft Sentinel tietoja Microsoft Sentinel työtilan yhdistämisen jälkeen, ei automaattisesti tarkoita sitä, että Defender XDR tietoja voidaan kysellä Microsoft Sentinel. Defender XDR raakadatan käsittely tulee silti määrittää Microsoft Sentinel, jotta tämä tapahtuu.
Microsoft Sentinel tietojen sijainti
Voit käyttää kehittyneen metsästyksen KQL (Kusto Query Language) -kyselyitä Microsoft Defender XDR ja tietojen Microsoft Sentinel.
Kun avaat lisämetsästyssivun ensimmäistä kertaa työtilan yhdistämisen jälkeen, löydät useita työtilan taulukoita, jotka on järjestetty ratkaisun mukaan sen jälkeen, kun Microsoft Defender XDR-taulukoita Rakenne-välilehdessä.
Samoin löydät funktiot Microsoft Sentinel Funktiot-välilehdeltä, ja Microsoft Sentinel jaetut ja mallikyselyt löytyvät Kyselyt-välilehdeltäSentinel merkittyjen kansioiden sisältä.
Näytä rakenteen tiedot
Jos haluat lisätietoja rakennetaulukosta, valitse minkä tahansa rakennetaulukon nimen oikealla puolella oleva pystysuuntainen ellipsikuvake () ja valitse sitten Näytä rakenne.
Yhdistetyssä portaalissa voit rakennesarakkeiden nimien ja kuvausten tarkastelun lisäksi myös tarkastella:
- Mallitiedot – valitse Näytä esikatselutiedot, joka lataa yksinkertaisen kyselyn, kuten
TableName | take 5
- Rakennetyyppi – tukeeko taulukko täydellisiä kyselyominaisuuksia (kehittynyt taulukko) vai ei (peruslokitaulukko)
- Tietojen säilytysaika – kuinka kauan tietoja on määritetty säilytettäväksi
- Tunnisteet – käytettävissä Sentinel tietotaulukoille
Tunnetut ongelmat
- From
IdentityInfo table
Microsoft Sentinel ei ole käytettävissä, koskaIdentityInfo
taulukko pysyy sellaisena kuin se on Defender XDR. Microsoft Sentinel ominaisuuksiin, kuten analytiikkasääntöihin, jotka tekevät kyselyn tähän taulukkoon, ei vaikuta, koska ne tekevät suoraan kyselyjä Log Analytics -työtilassa. - Microsoft Sentinel-taulukko
SecurityAlert
korvataan taulukoillaAlertInfo
jaAlertEvidence
taulukot, jotka molemmat sisältävät kaikki ilmoitusten tiedot. Vaikka SecurityAlert ei ole käytettävissä Rakenne-välilehdessä, voit silti käyttää sitä kyselyissä kehittyneen metsästyseditorin avulla. Tämä säännös tehdään siten, että aiemmin luotuja kyselyitä ei katkaista tätä taulukkoa käyttävistä Microsoft Sentinel. - Ohjattua metsästystilaa ja toimintotoimintoja tuetaan vain Defender XDR tiedoille.
- Mukautetuilla tunnistuksella on seuraavat rajoitukset:
- Mukautetut tunnistuksia eivät ole käytettävissä KQL-kyselyille, jotka eivät sisällä Defender XDR tietoja.
- Lähes reaaliaikainen tunnistustiheys ei ole käytettävissä tunnistuksille, jotka sisältävät Microsoft Sentinel tietoja.
- Mukautettuja funktioita, jotka on luotu ja tallennettu Microsoft Sentinel, ei tueta.
- Mukautettujen tunnistusten ei vielä tueta entiteettien määrittämistä Sentinel tiedoista.
- Kirjanmerkkejä ei tueta kehittyneessä metsästyskokemuksessa. Niitä tuetaan Microsoft Sentinel > Uhkien hallinta > Metsästys -ominaisuudessa. Vaihtoehtoisesti voit linkittää kyselyn tulokset uusiin tai olemassa oleviin tapauksiin Link to Incident -ominaisuuden avulla.
- Jos suoratoistat Defender XDR taulukoita Log Analyticsiin, - ja
TimeGenerated
-sarakkeiden välilläTimestamp
voi olla ero. Jos tiedot saapuvat Log Analyticsiin 48 tunnin kuluttua, ne ohitetaan, kun ne on otettu kohteeseennow()
. Tämän vuoksi suosittelemme, että luotat sarakkeeseenTimestamp
tapahtuman todellisen tapahtuma-ajan saamiseksi. - Kun näyttöön tulee kehote Security Copilot vaativampiin metsästyskyselyihin, kaikkia Microsoft Sentinel taulukoita ei ehkä tueta tällä hetkellä. Näiden taulukoiden tukea voidaan kuitenkin odottaa jatkossa.