Del via

Avansert jakt med Microsoft Sentinel data i Microsoft Defender portal

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Med avansert jakt kan du vise og spørre etter alle datakildene som er tilgjengelige i den enhetlige Microsoft Defender-portalen. Datakildene kan omfatte Microsoft Defender XDR og ulike Microsoft-sikkerhetstjenester. Hvis du tar Microsoft Sentinel til Defender-portalen, kan du få tilgang til og bruke alt eksisterende arbeidsområdeinnhold Microsoft Sentinel, inkludert spørringer og funksjoner.

Spørring fra én enkelt portal på tvers av ulike datasett gjør jakt mer effektivt og fjerner behovet for kontekstbytte.

Viktig

Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. For forhåndsvisning er Microsoft Sentinel tilgjengelig i Defender-portalen uten Microsoft Defender XDR eller en E5-lisens. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender portalen.

Slik får du tilgang til

Obligatoriske roller og tillatelser

Du kan spørre etter data i en hvilken som helst arbeidsbelastning som du for øyeblikket har tilgang til, basert på rollene og tillatelsene dine.

Hvis du vil spørre på tvers av Microsoft Sentinel og Microsoft Defender XDR data på siden for enhetlig avansert jakt, trenger du i det minste rollen Microsoft Sentinel Leser. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel spesifikke roller.

Koble til et arbeidsområde

I Microsoft Defender kan du koble til arbeidsområder ved å velge Koble til et arbeidsområde i det øverste banneret. Denne knappen vises hvis du er kvalifisert til å sette inn et Microsoft Sentinel arbeidsområde i den enhetlige Microsoft Defender-portalen. Følg fremgangsmåten i: Pålasting av et arbeidsområde.

Når du har koblet Microsoft Sentinel arbeidsområdet og Microsoft Defender XDR avanserte jaktdata, kan du begynne å spørre Microsoft Sentinel data fra den avanserte jaktsiden. For en oversikt over avanserte jaktfunksjoner, les Proaktivt jakten på trusler med avansert jakt.

Hva du kan forvente for Defender XDR tabeller strømmet til Microsoft Sentinel

  • Bruk tabeller med lengre dataoppbevaringsperiode i spørringer – Avansert jakt følger den maksimale dataoppbevaringsperioden som er konfigurert for de Defender XDR tabellene (se Forstå kvoter). Hvis du strømmer Defender XDR tabeller til Microsoft Sentinel og har en dataoppbevaringsperiode som er lengre enn 30 dager for nevnte tabeller, kan du spørre etter den lengre perioden i avansert jakt.
  • Bruk Kusto-operatorer du har brukt i Microsoft Sentinel – generelt sett fungerer spørringer fra Microsoft Sentinel i avansert jakt, inkludert spørringer som bruker operatorenadx(). Det kan være tilfeller der IntelliSense advarer deg om at operatorene i spørringen ikke samsvarer med skjemaet, men du kan fortsatt kjøre spørringen og at den fortsatt skal kjøres.
  • Bruk rullegardinlisten for tidsfilter i stedet for å angi tidsperioden i spørringen . Hvis du filtrerer inntak av Defender XDR tabeller for å Sentinel i stedet for å strømme tabellene som de er, må du ikke filtrere tiden i spørringen, da dette kan generere ufullstendige resultater. Hvis du angir klokkeslettet i spørringen, brukes de strømmede, filtrerte dataene fra Sentinel fordi det vanligvis har lengre dataoppbevaringsperiode. Hvis du vil forsikre deg om at du spør etter alle Defender XDR data i opptil 30 dager, bruker du rullegardinlisten for tidsfilter som er angitt i redigeringsprogrammet for spørring i stedet.
  • Visning SourceSystem og MachineGroup kolonner for Defender XDR data som er strømmet fra Microsoft Sentinel – Siden kolonnene og MachineGroup legges SourceSystem til i Defender XDR tabeller når de er strømmet til Microsoft Sentinel, vises de også i resultater i avansert jakt i Defender. De forblir imidlertid tomme for Defender XDR tabeller som ikke ble strømmet (tabeller som følger standard 30-dagers dataoppbevaringsperiode).

Obs!

Hvis du bruker den enhetlige portalen, der du kan spørre etter Microsoft Sentinel data etter å ha koblet til et Microsoft Sentinel arbeidsområde, betyr det ikke automatisk at du også kan spørre Defender XDR data mens du er i Microsoft Sentinel. Rådatainntak av Defender XDR bør fremdeles konfigureres i Microsoft Sentinel for at dette skal skje.

Her finner du Microsoft Sentinel dataene

Du kan bruke KQL-spørringer for avansert jakt (Kusto Query Language) til å lete gjennom Microsoft Defender XDR og Microsoft Sentinel data.

Når du åpner siden for avansert jakt for første gang etter at du har koblet til et arbeidsområde, kan du finne mange av tabellene i arbeidsområdet organisert etter løsning etter at Microsoft Defender XDR tabellene under Skjema-fanen.

Skjermbilde av avansert jaktskjema-fanen i Microsoft Defender-portalen som uthever plasseringen til Sentinel tabeller

På samme måte kan du finne funksjonene fra Microsoft Sentinel i Funksjoner-fanen, og du finner de delte spørringene og eksempelspørringene fra Microsoft Sentinel i Spørringer-fanen i mapper merket Sentinel.

Vis skjemainformasjon

Hvis du vil lære mer om en skjematabell, velger du de loddrette ellipsene (kebabikonet ) til høyre for et skjematabellnavn under skjemafanen , og deretter velger du Vis skjema.

I den enhetlige portalen, i tillegg til å vise skjemakolonnenavnene og -beskrivelsene, kan du også vise:

  • Eksempeldata – velg Se forhåndsvisningsdata, som laster inn en enkel spørring som TableName | take 5
  • Skjematype – om tabellen støtter fullstendige spørringsfunksjoner (avansert tabell) eller ikke (grunnleggende loggtabell)
  • Dataoppbevaringsperiode – hvor lenge dataene er satt til å beholdes
  • Merker – tilgjengelig for Sentinel datatabeller

Skjermbilde av skjemainformasjonsruten i Microsoft Defender-portalen

Kjente problemer

  • Fra-Microsoft SentinelIdentityInfo table er ikke tilgjengelig, ettersom IdentityInfo tabellen forblir som den er i Defender XDR. Microsoft Sentinel funksjoner som analyseregler som spør denne tabellen, påvirkes ikke når de spør direkte i Log Analytics-arbeidsområdet.
  • Tabellen Microsoft Sentinel SecurityAlert erstattes av AlertInfo og AlertEvidence tabeller, som begge inneholder alle dataene i varsler. Selv om SecurityAlert ikke er tilgjengelig i skjemafanen, kan du fortsatt bruke den i spørringer ved hjelp av redigeringsprogrammet for avansert jakt. Denne bestemmelsen gjøres for ikke å bryte eksisterende spørringer fra Microsoft Sentinel som bruker denne tabellen.
  • Veiledet jaktmodus og funksjoner for handlinger støttes bare for Defender XDR data.
  • Egendefinerte gjenkjenninger har følgende begrensninger:
    • Egendefinerte gjenkjenninger er ikke tilgjengelige for KQL-spørringer som ikke inneholder Defender XDR data.
    • Frekvens for nesten sanntidsregistrering er ikke tilgjengelig for gjenkjenninger som inkluderer Microsoft Sentinel data.
    • Egendefinerte funksjoner som ble opprettet og lagret i Microsoft Sentinel, støttes ikke.
    • Definering av enheter fra Sentinel data støttes ennå ikke i egendefinerte gjenkjenninger.
  • Bokmerker støttes ikke i avansert jakt. De støttes i Microsoft Sentinel > threat management > Hunting-funksjonen. Du kan også bruke funksjonen Koble til hendelse til å koble spørringsresultater til nye eller eksisterende hendelser.
  • Hvis du strømmer Defender XDR tabeller til Log Analytics, kan det være en forskjell mellom kolonneneTimestamp og TimeGenerated kolonnene. I tilfelle dataene kommer til Log Analytics etter 48 timer, overstyres de ved inntak til now(). For å få den faktiske tiden hendelsen skjedde, anbefaler vi derfor at Timestamp du bruker kolonnen.
  • Når du ber om Security Copilot for avanserte jaktspørringer, kan det hende at ikke alle Microsoft Sentinel tabeller støttes for øyeblikket. Støtte for disse tabellene kan imidlertid forventes i fremtiden.

Se også