Condividi tramite

Ricerca avanzata con dati Microsoft Sentinel nel portale di Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La ricerca avanzata consente di visualizzare ed eseguire query su tutte le origini dati disponibili nel portale di Microsoft Defender unificato. Le origini dati possono includere Microsoft Defender XDR e vari servizi di sicurezza Microsoft. Se si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, accedere e usare tutto il contenuto dell'area di lavoro Microsoft Sentinel esistente, incluse query e funzioni.

L'esecuzione di query da un singolo portale tra set di dati diversi rende più efficiente la ricerca e rimuove la necessità di cambiare contesto.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Come accedere

Ruoli e autorizzazioni necessari

È possibile eseguire query sui dati in qualsiasi carico di lavoro a cui è attualmente possibile accedere in base ai ruoli e alle autorizzazioni.

Per eseguire query su Microsoft Sentinel e Microsoft Defender XDR dati nella pagina di ricerca avanzata unificata, è necessario anche almeno il ruolo lettore Microsoft Sentinel. Per altre informazioni, vedere ruoli specifici Microsoft Sentinel.

Connettere un'area di lavoro

In Microsoft Defender è possibile connettere le aree di lavoro selezionando Connetti un'area di lavoro nel banner superiore. Questo pulsante viene visualizzato se si è idonei ad eseguire l'onboarding di un'area di lavoro Microsoft Sentinel nel portale di Microsoft Defender unificato. Seguire la procedura descritta in: Onboarding di un'area di lavoro.

Dopo aver connesso l'area di lavoro Microsoft Sentinel e Microsoft Defender XDR dati di ricerca avanzati, è possibile iniziare a eseguire query sui dati Microsoft Sentinel dalla pagina ricerca avanzata. Per una panoramica delle funzionalità di ricerca avanzate, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Cosa aspettarsi per le tabelle Defender XDR trasmesse in streaming a Microsoft Sentinel

  • Usare tabelle con un periodo di conservazione dei dati più lungo nelle query: la ricerca avanzata segue il periodo massimo di conservazione dei dati configurato per le tabelle Defender XDR (vedere Informazioni sulle quote). Se si esegue lo streaming di Defender XDR tabelle a Microsoft Sentinel e si dispone di un periodo di conservazione dei dati superiore a 30 giorni per le tabelle, è possibile eseguire query per il periodo più lungo nella ricerca avanzata.
  • Usare gli operatori Kusto usati in Microsoft Sentinel: in generale, le query provenienti da Microsoft Sentinel funzionano nella ricerca avanzata, incluse le query che usano l'operatore adx() . In alcuni casi IntelliSense avvisa che gli operatori nella query non corrispondono allo schema, ma è comunque possibile eseguire la query e deve comunque essere eseguita correttamente.
  • Usare l'elenco a discesa filtro ora invece di impostare l'intervallo di tempo nella query: se si filtra l'inserimento di tabelle Defender XDR su Sentinel invece di trasmettere le tabelle così come sono, non filtrare l'ora nella query perché ciò potrebbe generare risultati incompleti. Se si imposta l'ora nella query, vengono usati i dati filtrati in streaming da Sentinel perché in genere hanno un periodo di conservazione dei dati più lungo. Se si vuole assicurarsi di eseguire query su tutti i dati Defender XDR per un massimo di 30 giorni, usare invece l'elenco a discesa filtro ora specificato nell'editor di query.
  • Visualizzare SourceSystem e MachineGroup colonne per Defender XDR dati trasmessi da Microsoft Sentinel: poiché le colonne SourceSystem e MachineGroup vengono aggiunte alle tabelle Defender XDR dopo essere state trasmesse a Microsoft Sentinel, vengono visualizzate anche nei risultati della ricerca avanzata in Defender. Rimangono tuttavia vuoti per Defender XDR tabelle che non sono state trasmesse in streaming (tabelle che seguono il periodo di conservazione dei dati predefinito di 30 giorni).

Nota

L'uso del portale unificato, in cui è possibile eseguire query sui dati Microsoft Sentinel dopo la connessione di un'area di lavoro Microsoft Sentinel, non significa automaticamente che è anche possibile eseguire query sui dati Defender XDR mentre si è in Microsoft Sentinel. L'inserimento di dati non elaborati di Defender XDR deve comunque essere configurato in Microsoft Sentinel perché ciò avvenga.

Dove trovare i dati Microsoft Sentinel

È possibile usare query KQL (Linguaggio di query Kusto) di ricerca avanzata per individuare Microsoft Defender XDR e Microsoft Sentinel dati.

Quando si apre la pagina ricerca avanzata per la prima volta dopo la connessione di un'area di lavoro, è possibile trovare molte delle tabelle dell'area di lavoro organizzate per soluzione dopo la Microsoft Defender XDR tabelle nella scheda Schema.

Screenshot della scheda schema di ricerca avanzata nel portale di Microsoft Defender che evidenzia la posizione delle tabelle Sentinel

Analogamente, è possibile trovare le funzioni da Microsoft Sentinel nella scheda Funzioni e le query condivise e di esempio da Microsoft Sentinel sono disponibili nella scheda Query all'interno di cartelle contrassegnate Sentinel.

Visualizzare le informazioni sullo schema

Per altre informazioni su una tabella dello schema, selezionare i puntini di sospensione verticali ( icona kebab ) a destra di qualsiasi nome di tabella dello schema nella scheda Schema e quindi selezionare Visualizza schema.

Nel portale unificato, oltre a visualizzare i nomi e le descrizioni delle colonne dello schema, è anche possibile visualizzare:

  • Dati di esempio: selezionare Visualizza i dati di anteprima, che carica una query semplice, ad esempio TableName | take 5
  • Tipo di schema : se la tabella supporta o meno le funzionalità di query complete (tabella avanzata) (tabella dei log di base)
  • Periodo di conservazione dei dati : per quanto tempo i dati vengono impostati per la conservazione
  • Tag: disponibili per le tabelle dati Sentinel

Screenshot del riquadro delle informazioni sullo schema nel portale di Microsoft Defender

Problemi noti

  • L'oggetto IdentityInfo table da Microsoft Sentinel non è disponibile, poiché la IdentityInfo tabella rimane così come è in Defender XDR. Microsoft Sentinel funzionalità come le regole di analisi che eseguono query su questa tabella non sono interessate perché eseguono direttamente query sull'area di lavoro Log Analytics.
  • La tabella Microsoft Sentinel SecurityAlert viene sostituita dalle AlertInfo tabelle e AlertEvidence , che contengono entrambi tutti i dati sugli avvisi. Anche se SecurityAlert non è disponibile nella scheda schema, è comunque possibile usarlo nelle query usando l'editor di ricerca avanzato. Questo provisioning viene eseguito in modo da non interrompere le query esistenti da Microsoft Sentinel che usano questa tabella.
  • La modalità di ricerca guidata e le funzionalità di esecuzione delle azioni sono supportate solo per i dati Defender XDR.
  • I rilevamenti personalizzati presentano le limitazioni seguenti:
    • I rilevamenti personalizzati non sono disponibili per le query KQL che non includono dati Defender XDR.
    • La frequenza di rilevamento quasi in tempo reale non è disponibile per i rilevamenti che includono dati Microsoft Sentinel.
    • Le funzioni personalizzate create e salvate in Microsoft Sentinel non sono supportate.
    • La definizione di entità da Sentinel dati non è ancora supportata nei rilevamenti personalizzati.
  • I segnalibri non sono supportati nell'esperienza di ricerca avanzata. Sono supportati nella funzionalità di ricerca della gestione > delle minacce Microsoft Sentinel>.
  • Se si esegue lo streaming di tabelle Defender XDR in Log Analytics, potrebbe esserci una differenza tra leTimestamp colonne e TimeGenerated . Se i dati arrivano a Log Analytics dopo 48 ore, vengono sottoposti a override al momento dell'inserimento in now(). Pertanto, per ottenere il tempo effettivo in cui si è verificato l'evento, è consigliabile basarsi sulla Timestamp colonna .
  • Quando si richiede copilot per la sicurezza per le query di ricerca avanzate, è possibile che non tutte le tabelle Microsoft Sentinel siano attualmente supportate. Tuttavia, il supporto per queste tabelle può essere previsto in futuro.

Vedere anche