Tworzenie niestandardowych zapytań wyszukiwania zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wyszukiwanie zagrożeń bezpieczeństwa w źródłach danych organizacji za pomocą niestandardowych zapytań wyszukiwania zagrożeń. Usługa Microsoft Sentinel udostępnia wbudowane zapytania wyszukiwania zagrożeń, które ułatwiają znajdowanie problemów w danych, które znajdują się w sieci. Możesz jednak utworzyć własne zapytania niestandardowe. Aby uzyskać więcej informacji na temat zapytań dotyczących wyszukiwania zagrożeń, zobacz Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel.

Tworzenie nowego zapytania

W usłudze Microsoft Sentinel utwórz niestandardowe zapytanie wyszukiwania zagrożeń na karcie Zapytania wyszukiwania zagrożeń>.

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie zagrożeń> w usłudze Microsoft Sentinel.>

2. Wybierz kartę Zapytania .

3. Na pasku poleceń wybierz pozycję Nowe zapytanie.

   Witryna Azure Portal

   

   Portal usługi Defender

   

4. Wypełnij wszystkie puste pola.

   1. Utwórz mapowania jednostek, wybierając typy jednostek, identyfikatory i kolumny.

      

   2. Zamapuj techniki MITRE ATT&CK na zapytania wyszukiwania zagrożeń, wybierając taktykę, technikę i technikę podrzędną (jeśli ma to zastosowanie).

      

5. Po zakończeniu definiowania zapytania wybierz pozycję Utwórz.

Klonowanie istniejącego zapytania

Sklonuj zapytanie niestandardowe lub wbudowane i zmodyfikuj je zgodnie z potrzebami.

1. Na karcie Zapytania wyszukiwania zagrożeń> wybierz zapytanie wyszukiwania zagrożeń, które chcesz sklonować.

2. Wybierz wielokropek (...) w wierszu zapytania, które chcesz zmodyfikować, a następnie wybierz pozycję Klonuj.

   Witryna Azure Portal

   

   Portal usługi Defender

   

3. Zmodyfikuj zapytanie i inne pola odpowiednio.

4. Wybierz pozycję Utwórz.

Edytowanie istniejącego zapytania niestandardowego

Można edytować tylko zapytania pochodzące z niestandardowego źródła zawartości. Inne źródła zawartości muszą być edytowane w tym źródle.

1. Na karcie Zapytania wyszukiwania zagrożeń> wybierz zapytanie wyszukiwania zagrożeń, które chcesz zmienić.

2. Wybierz wielokropek (...) w wierszu zapytania, które chcesz zmienić, a następnie wybierz pozycję Edytuj.

3. Zaktualizuj pole Zapytanie za pomocą zaktualizowanego zapytania. Można również zmienić mapowanie i techniki jednostek.

4. Po zakończeniu wybierz pozycję Zapisz.

Powiązana zawartość

• Krótki przewodnik dla języka KQL
• Analizator zaawansowanego modelu informacji o zabezpieczeniach (ASIM)
• Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel
• Przeprowadzanie kompleksowego proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel