Jaa


Kehittynyt metsästys Microsoft Sentinel tiedoilla Microsoft Defender-portaalissa

Kehittyneen metsästyksen avulla voit tarkastella ja tehdä kyselyjä kaikille unified Microsoft Defender -portaalissa käytettävissä oleviin tietolähteisiin. Tietolähteet voivat sisältää Microsoft Defender XDR ja useita Microsoftin suojauspalveluita. Jos otat Microsoft Sentinel Defender-portaaliin, voit käyttää kaikkea aiemmin luotua Microsoft Sentinel työtilan sisältöä, kyselyt ja funktiot mukaan lukien.

Kyselyn tekeminen yhdestä portaalista eri tietojoukkojen välillä tekee metsästyksestä tehokkaampaa ja poistaa tarpeen kontekstin vaihtamiselle.

Tärkeää

Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.

Käyttö

Pakolliset roolit ja käyttöoikeudet

Voit kysellä tietoja missä tahansa kuormituksessa, jota voit tällä hetkellä käyttää rooliesi ja käyttöoikeuksiesi perusteella.

Jos haluat tehdä kyselyjä Microsoft Sentinel ja Microsoft Defender XDR tietoja yhdistetyllä kehittyneellä metsästyssivulla, tarvitset myös vähintään Microsoft Sentinel Lukija-roolin. Lisätietoja on kohdassa Microsoft Sentinel tietyt roolit.

Yhdistä työtila

Microsoft Defender voit yhdistää työtiloja valitsemalla Yhdistä työtila yläpalkista. Tämä painike tulee näkyviin, jos olet oikeutettu Microsoft Sentinel työtilaan yhdistetyssä Microsoft Defender -portaalissa. Noudata seuraavia ohjeita: Työtilan käyttöönotto.

Kun olet yhdistänyt Microsoft Sentinel työtilan ja Microsoft Defender XDR kehittyneet metsästystiedot, voit alkaa kysellä Microsoft Sentinel tietoja kehittyneeltä metsästyssivulta. Yleiskatsaus kehittyneen metsästyksen ominaisuuksista on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Mitä odottaa Defender XDR taulukoille, jotka on virtautettu Microsoft Sentinel

  • Käytä kyselyissä taulukoita, joilla on pidempi tietojen säilytysaika – Kehittynyt metsästys noudattaa Defender XDR taulukoille määritettyä tietojen enimmäissäilytysaikaa (katso Tutustu kiintiöihin). Jos suoratoistat Defender XDR taulukoita Microsoft Sentinel ja tietojen säilytysaika on yli 30 päivää mainittuja taulukoita varten, voit tehdä kyselyjä pidemmältä ajanjaksolta kehittyneessä metsästyksessä.
  • Käytä Microsoft Sentinel käyttämiäsi Kusto-operaattoreita – yleensä Microsoft Sentinel kyselyt toimivat kehittyneessä metsästyksessä, mukaan lukien operaattoria adx() käyttävät kyselyt. Joissakin tapauksissa IntelliSense varoittaa, että kyselyn operaattorit eivät vastaa rakennetta, mutta voit silti suorittaa kyselyn, ja se on silti suoritettava onnistuneesti.
  • Käytä avattavaa aikasuodatinvalikkoa sen sijaan, että määrittäisit kyselyn aikavälin – Jos suodatat Defender XDR taulukoita Sentinel sen sijaan, että suoratoistaisit taulukoita sellaisenaan, älä suodata kyselyn aikaa, sillä tämä saattaa tuottaa epätäydellisiä tuloksia. Jos määrität kyselyn ajan, käytetään virtautetut, suodatetut tiedot Sentinel, koska sillä on yleensä pidempi tietojen säilytysaika. Jos haluat varmistaa, että teet kyselyn kaikkiin Defender XDR tietoihin enintään 30 päivän ajan, käytä kyselyeditorissa annettua avattavaa aikasuodatinvalikkoa.
  • Näytä SourceSystem ja MachineGroup sarakkeet Defender XDR tiedoille, jotka on suoratoistanut Microsoft Sentinel – Koska sarakkeet SourceSystemMachineGroup on lisätty Defender XDR-taulukoihin, kun ne on virtautettu Microsoft Sentinel, ne näkyvät myös lisämetsästyksen tuloksissa Defenderissä. Ne pysyvät kuitenkin tyhjinä Defender XDR taulukoille, joita ei virtautettu (taulukot, jotka noudattavat oletusarvoista 30 päivän tietojen säilytysjaksoa).

Huomautus

Yhdistetyn portaalin käyttäminen, jossa voit tehdä Microsoft Sentinel tietoja Microsoft Sentinel työtilan yhdistämisen jälkeen, ei automaattisesti tarkoita sitä, että Defender XDR tietoja voidaan kysellä Microsoft Sentinel. Defender XDR raakadatan käsittely tulee silti määrittää Microsoft Sentinel, jotta tämä tapahtuu.

Microsoft Sentinel tietojen sijainti

Voit käyttää kehittyneen metsästyksen KQL (Kusto Query Language) -kyselyitä Microsoft Defender XDR ja tietojen Microsoft Sentinel.

Kun avaat lisämetsästyssivun ensimmäistä kertaa työtilan yhdistämisen jälkeen, löydät useita työtilan taulukoita, jotka on järjestetty ratkaisun mukaan sen jälkeen, kun Microsoft Defender XDR-taulukoita Rakenne-välilehdessä.

Näyttökuva Microsoft Defender portaalin kehittyneen metsästyksen rakenteen välilehdestä, jossa näkyy Sentinel taulukoiden korostussijainti

Samoin löydät funktiot Microsoft Sentinel Funktiot-välilehdeltä, ja Microsoft Sentinel jaetut ja mallikyselyt löytyvät Kyselyt-välilehdeltäSentinel merkittyjen kansioiden sisältä.

Näytä rakenteen tiedot

Jos haluat lisätietoja rakennetaulukosta, valitse minkä tahansa rakennetaulukon nimen oikealla puolella oleva pystysuuntainen ellipsikuvake (kebab-kuvake) ja valitse sitten Näytä rakenne.

Yhdistetyssä portaalissa voit rakennesarakkeiden nimien ja kuvausten tarkastelun lisäksi myös tarkastella:

  • Mallitiedot – valitse Näytä esikatselutiedot, joka lataa yksinkertaisen kyselyn, kuten TableName | take 5
  • Rakennetyyppi – tukeeko taulukko täydellisiä kyselyominaisuuksia (kehittynyt taulukko) vai ei (peruslokitaulukko)
  • Tietojen säilytysaika – kuinka kauan tietoja on määritetty säilytettäväksi
  • Tunnisteet – käytettävissä Sentinel tietotaulukoille

Näyttökuva Microsoft Defender portaalin rakennetietoruudusta

Tunnetut ongelmat

  • From IdentityInfo tableMicrosoft Sentinel ei ole käytettävissä, koska IdentityInfo taulukko pysyy sellaisena kuin se on Defender XDR. Microsoft Sentinel ominaisuuksiin, kuten analytiikkasääntöihin, jotka tekevät kyselyn tähän taulukkoon, ei vaikuta, koska ne tekevät suoraan kyselyjä Log Analytics -työtilassa.
  • Microsoft Sentinel-taulukko SecurityAlert korvataan taulukoilla AlertInfo ja AlertEvidence taulukot, jotka molemmat sisältävät kaikki ilmoitusten tiedot. Vaikka SecurityAlert ei ole käytettävissä Rakenne-välilehdessä, voit silti käyttää sitä kyselyissä kehittyneen metsästyseditorin avulla. Tämä säännös tehdään siten, että aiemmin luotuja kyselyitä ei katkaista tätä taulukkoa käyttävistä Microsoft Sentinel.
  • Ohjattua metsästystilaa ja toimintotoimintoja tuetaan vain Defender XDR tiedoille.
  • Mukautetuilla tunnistuksella on seuraavat rajoitukset:
    • Mukautetut tunnistuksia eivät ole käytettävissä KQL-kyselyille, jotka eivät sisällä Defender XDR tietoja.
    • Lähes reaaliaikainen tunnistustiheys ei ole käytettävissä tunnistuksille, jotka sisältävät Microsoft Sentinel tietoja.
    • Mukautettuja funktioita, jotka on luotu ja tallennettu Microsoft Sentinel, ei tueta.
    • Mukautettujen tunnistusten ei vielä tueta entiteettien määrittämistä Sentinel tiedoista.
  • Kirjanmerkkejä ei tueta kehittyneessä metsästyskokemuksessa. Niitä tuetaan Microsoft Sentinel > Uhkien hallinta > Metsästys -ominaisuudessa. Vaihtoehtoisesti voit linkittää kyselyn tulokset uusiin tai olemassa oleviin tapauksiin Link to Incident -ominaisuuden avulla.
  • Jos suoratoistat Defender XDR taulukoita Log Analyticsiin, - ja TimeGenerated -sarakkeiden välilläTimestamp voi olla ero. Jos tiedot saapuvat Log Analyticsiin 48 tunnin kuluttua, ne ohitetaan, kun ne on otettu kohteeseen now(). Tämän vuoksi suosittelemme, että luotat sarakkeeseen Timestamp tapahtuman todellisen tapahtuma-ajan saamiseksi.
  • Kun näyttöön tulee kehote Security Copilot vaativampiin metsästyskyselyihin, kaikkia Microsoft Sentinel taulukoita ei ehkä tueta tällä hetkellä. Näiden taulukoiden tukea voidaan kuitenkin odottaa jatkossa.

Tutustu myös seuraaviin ohjeartikkeleihin: