Criar consultas de busca personalizadas no Microsoft Sentinel
Procure ameaças à segurança nas fontes de dados da sua organização com consultas de busca personalizadas. O Microsoft Sentinel fornece consultas de busca internas para ajudá-lo a encontrar problemas nos dados que você tem na sua rede. Mas você pode criar suas próprias consultas personalizadas. Para obter mais informações sobre consultas de busca, consulte Busca de ameaças no Microsoft Sentinel.
Criar uma consulta
No Microsoft Sentinel, crie uma consulta de busca personalizada na guia Busca>Consultas.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Busca.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Busca.Selecione a guia Consultas.
Na barra de comandos, selecione Nova consulta.
Preencha todos os campos em branco.
Crie mapeamentos de entidade selecionando colunas, identificadores e tipos de entidade.
Mapeie as técnicas do MITRE ATT&CK para suas consultas de busca selecionando a tática, a técnica e a subtécnica (se aplicável).
Quando você terminar de definir sua consulta, selecione Criar.
Clonar uma consulta existente
Clone uma consulta personalizada ou interna e edite-a conforme for necessário.
Na guia Busca>Consultas, selecione a consulta de busca que você quer clonar.
Selecione as reticências (...) na linha da consulta que você quer modificar e selecione Clonar.
Editar a consulta e outros campos conforme for apropriado.
Selecione Criar.
Editar uma consulta personalizada existente
Observe que somente as consultas de uma fonte de conteúdo personalizada podem ser editadas. Outras fontes de conteúdo precisam ser editadas nessa origem.
Na guia Busca>Consultas, selecione a consulta de busca que você quer alterar.
Selecione as reticências (...) na linha da consulta que você quer alterar e selecione Editar.
Atualize o campo Consulta com a consulta atualizada. Você também pode alterar o mapeamento e as técnicas de entidade.
Quando terminar, selecione Salvar.