Geavanceerde opsporing met Microsoft Sentinel gegevens in Microsoft Defender portal
Met geavanceerde opsporing kunt u alle beschikbare gegevensbronnen in de geïntegreerde Microsoft Defender-portal bekijken en er query's op uitvoeren. De gegevensbronnen kunnen Microsoft Defender XDR en verschillende Microsoft-beveiligingsservices bevatten. Als u Microsoft Sentinel naar de Defender-portal onboardt, opent en gebruikt u al uw bestaande Microsoft Sentinel werkruimte-inhoud, inclusief query's en functies.
Als u vanuit één portal query's uitvoert op verschillende gegevenssets, wordt de opsporing efficiënter en hoeft u niet van context te schakelen.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.
Toegang krijgen tot
Vereiste rollen en machtigingen
U kunt query's uitvoeren op gegevens in elke workload waartoe u momenteel toegang hebt op basis van uw rollen en machtigingen.
Als u query's wilt uitvoeren op Microsoft Sentinel en Microsoft Defender XDR gegevens op de geïntegreerde pagina voor geavanceerde opsporing, hebt u ook ten minste de rol Microsoft Sentinel Lezer nodig. Zie Microsoft Sentinel-specifieke rollen voor meer informatie.
Een werkruimte verbinden
In Microsoft Defender kunt u werkruimten verbinden door Een werkruimte verbinden te selecteren in de bovenste banner. Deze knop wordt weergegeven als u in aanmerking komt voor het onboarden van een Microsoft Sentinel werkruimte in de geïntegreerde Microsoft Defender-portal. Volg de stappen in: Een werkruimte onboarden.
Nadat u uw Microsoft Sentinel werkruimte hebt verbonden met Microsoft Defender XDR geavanceerde opsporingsgegevens, kunt u beginnen met het opvragen van Microsoft Sentinel gegevens vanaf de geavanceerde opsporingspagina. Lees Proactief zoeken naar bedreigingen met geavanceerde opsporing voor een overzicht van geavanceerde opsporingsfuncties.
Wat u kunt verwachten voor Defender XDR tabellen die naar Microsoft Sentinel zijn gestreamd
- Tabellen gebruiken met een langere bewaarperiode voor gegevens in query's: geavanceerde opsporing volgt de maximale bewaarperiode voor gegevens die is geconfigureerd voor de Defender XDR tabellen (zie Quota begrijpen). Als u Defender XDR tabellen streamt naar Microsoft Sentinel en een gegevensretentieperiode hebt die langer is dan 30 dagen voor deze tabellen, kunt u een query uitvoeren voor de langere periode bij geavanceerde opsporing.
-
Kusto-operators gebruiken die u hebt gebruikt in Microsoft Sentinel: over het algemeen werken query's van Microsoft Sentinel bij geavanceerde opsporing, inclusief query's die gebruikmaken van de
adx()operator. Er kunnen gevallen zijn waarin IntelliSense u waarschuwt dat de operatoren in uw query niet overeenkomen met het schema, maar u kunt de query nog steeds uitvoeren en deze moet nog steeds worden uitgevoerd. - Gebruik de vervolgkeuzelijst tijdfilter in plaats van de tijdsduur in de query in te stellen: als u de opname van Defender XDR tabellen filtert op Sentinel in plaats van de tabellen te streamen zoals deze is, filtert u de tijd in de query niet, omdat dit mogelijk onvolledige resultaten oplevert. Als u de tijd in de query instelt, worden de gestreamde, gefilterde gegevens uit Sentinel gebruikt omdat deze meestal de langere bewaarperiode hebben. Als u er zeker van wilt zijn dat u maximaal 30 dagen een query uitvoert op alle Defender XDR gegevens, gebruikt u de vervolgkeuzelijst tijdfilter in de queryeditor.
-
Weergave
SourceSystemenMachineGroupkolommen voor Defender XDR gegevens die zijn gestreamd vanuit Microsoft Sentinel: aangezien de kolommenSourceSystemMachineGroupworden toegevoegd aan Defender XDR tabellen zodra ze naar Microsoft Sentinel zijn gestreamd, worden ze ook weergegeven in resultaten bij geavanceerde opsporing in Defender. Ze blijven echter leeg voor Defender XDR tabellen die niet zijn gestreamd (tabellen die de standaardperiode van 30 dagen voor gegevensretentie volgen).
Opmerking
Als u de geïntegreerde portal gebruikt, waar u een query kunt uitvoeren op Microsoft Sentinel gegevens nadat u verbinding hebt gemaakt met een Microsoft Sentinel werkruimte, betekent dit niet automatisch dat u ook Defender XDR gegevens kunt opvragen in Microsoft Sentinel. Opname van onbewerkte gegevens van Defender XDR moet hiervoor nog steeds worden geconfigureerd in Microsoft Sentinel.
Waar vindt u uw Microsoft Sentinel gegevens
U kunt geavanceerde KQL-query's (Kusto-querytaal) voor opsporing gebruiken om Microsoft Defender XDR en Microsoft Sentinel gegevens te doorzoeken.
Wanneer u de pagina geavanceerde opsporing voor het eerst opent nadat u verbinding hebt gemaakt met een werkruimte, kunt u veel van de tabellen van die werkruimte vinden die op oplossing zijn geordend na de Microsoft Defender XDR tabellen op het tabblad Schema.
Op dezelfde manier vindt u de functies uit Microsoft Sentinel op het tabblad Functies. Uw gedeelde query's en voorbeeldquery's van Microsoft Sentinel vindt u op het tabblad Query's in mappen die zijn gemarkeerd als Sentinel.
Schemagegevens weergeven
Als u meer wilt weten over een schematabel, selecteert u het verticale beletselteken ( 
) rechts van de naam van een schematabel op het tabblad Schema en selecteert u Schema weergeven.
In de geïntegreerde portal kunt u niet alleen de namen en beschrijvingen van de schemakolommen weergeven, maar ook het volgende bekijken:
- Voorbeeldgegevens: selecteer Voorbeeldgegevens weergeven, waarmee een eenvoudige query wordt geladen, zoals
TableName | take 5 - Schematype : of de tabel volledige querymogelijkheden ondersteunt (geavanceerde tabel) of niet (tabel met basislogboeken)
- Bewaarperiode van gegevens : hoe lang de gegevens zijn ingesteld om te worden bewaard
- Tags : beschikbaar voor Sentinel gegevenstabellen
Bekende problemen
- De
IdentityInfo tablevan Microsoft Sentinel is niet beschikbaar, omdat deIdentityInfotabel ongewijzigd blijft in Defender XDR. Microsoft Sentinel functies, zoals analyseregels die een query uitvoeren op deze tabel, worden niet beïnvloed omdat ze rechtstreeks een query uitvoeren op de Log Analytics-werkruimte. - De tabel Microsoft Sentinel
SecurityAlertwordt vervangen doorAlertInfotabellen enAlertEvidence, die beide alle gegevens over waarschuwingen bevatten. Hoewel SecurityAlert niet beschikbaar is op het tabblad Schema, kunt u het nog steeds gebruiken in query's met behulp van de geavanceerde opsporingseditor. Deze bepaling is zodanig ingesteld dat bestaande query's niet worden verbroken van Microsoft Sentinel die deze tabel gebruiken. - De mogelijkheden voor begeleide opsporing en acties ondernemen worden alleen ondersteund voor Defender XDR gegevens.
- Aangepaste detecties hebben de volgende beperkingen:
- Aangepaste detecties zijn niet beschikbaar voor KQL-query's die geen Defender XDR gegevens bevatten.
- De detectiefrequentie in bijna realtime is niet beschikbaar voor detecties die Microsoft Sentinel gegevens bevatten.
- Aangepaste functies die zijn gemaakt en opgeslagen in Microsoft Sentinel worden niet ondersteund.
- Het definiëren van entiteiten op basis van Sentinel gegevens wordt nog niet ondersteund in aangepaste detecties.
- Bladwijzers worden niet ondersteund in de geavanceerde opsporingservaring. Ze worden ondersteund in de opsporingsfunctie Microsoft Sentinel > Bedreigingsbeheer>.
- Als u Defender XDR tabellen naar Log Analytics streamt, is er mogelijk een verschil tussen de
Timestampkolommen enTimeGenerated. Als de gegevens na 48 uur binnenkomen in Log Analytics, worden ze overschreven bij opname naarnow(). Daarom raden we u aan te vertrouwen op de kolom om de werkelijke tijd op te halen waarop deTimestampgebeurtenis heeft plaatsgevonden. - Wanneer u Copilot for Security vraagt om geavanceerde opsporingsquery's, merkt u mogelijk dat niet alle Microsoft Sentinel tabellen momenteel worden ondersteund. Ondersteuning voor deze tabellen kan echter in de toekomst worden verwacht.