Compartilhar via

Utilizar funções Microsoft Sentinel, consultas guardadas e regras personalizadas

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Utilizar funções

Para utilizar uma função de Microsoft Sentinel, aceda ao separador Funções e desloque-se até encontrar a função pretendida. Faça duplo clique no nome da função para inserir a função no editor de consultas.

Também pode selecionar as reticências verticais ( ícone de clique ) à direita da função e selecionar Inserir para consultar para inserir a função numa consulta no editor de consultas.

Outras opções incluem:

  • Ver detalhes – abre o painel do lado da função que contém os respetivos detalhes
  • Carregar código da função – abre um novo separador que contém o código da função

Para funções editáveis, estão disponíveis mais opções quando seleciona as reticências verticais:

  • Editar detalhes – abre o painel do lado da função para lhe permitir editar detalhes sobre a função (exceto os nomes das pastas para Sentinel funções)
  • Eliminar – elimina a função

Utilizar o operador adx() para consultas do Azure Data Explorer (Pré-visualização)

Utilize o adx() operador para consultar tabelas armazenadas no Azure Data Explorer. Leia O que é o Azure Data Explorer? para obter mais detalhes.

Anteriormente, esta funcionalidade só estava disponível na análise de registos no Microsoft Sentinel. Os utilizadores podem agora utilizar o operador na investigação avançada no portal de Microsoft Defender unificado sem precisarem de abrir manualmente uma janela de Microsoft Sentinel.

No editor de consultas, introduza a consulta no seguinte formato:

adx('<Cluster URI>/<Database Name>').<Table Name>

Por exemplo, para obter as primeiras 10 linhas de dados da StormEvents tabela armazenadas num determinado URI:

Captura de ecrã do operador adx na investigação avançada.

Utilizar o operador arg() para consultas do Azure Resource Graph

O arg() operador pode ser utilizado para consultar recursos do Azure implementados, como subscrições, máquinas virtuais, CPU, armazenamento e similares.

Anteriormente, esta funcionalidade só estava disponível na análise de registos no Microsoft Sentinel. No portal Microsoft Defender, o arg() operador trabalha em Microsoft Sentinel dados (ou seja, Defender XDR tabelas não são suportadas). Isto permite que os utilizadores utilizem o operador na investigação avançada sem precisarem de abrir manualmente uma janela de Microsoft Sentinel.

Tenha em atenção que as consultas que utilizam o arg() operador devolvem apenas os primeiros 1000 registos. Leia Query data in Azure Resource Graph by using arg() (Consultar dados no Azure Resource Graph com arg() para obter mais detalhes.

No editor de consultas, introduza arg(""). seguido do nome da tabela Resource Graph do Azure.

Por exemplo:

Captura de ecrã do operador arg na investigação avançada.

Também pode, por exemplo, filtrar uma consulta que pesquisa Microsoft Sentinel dados com base nos resultados de uma consulta do Azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Utilizar consultas guardadas

Para utilizar uma consulta guardada de Microsoft Sentinel, aceda ao separador Consultas e desloque-se até encontrar a consulta pretendida. Faça duplo clique no nome da consulta para carregar a consulta no editor de consultas. Para obter mais opções, selecione as reticências verticais ( ícone de clique ) à direita da consulta. A partir daqui, pode efetuar as seguintes ações:

  • Executar consulta – carrega a consulta no editor de consultas e executa-a automaticamente

  • Abrir no editor de consultas – carrega a consulta no editor de consultas

  • Ver detalhes – abre o painel lateral dos detalhes da consulta onde pode inspecionar a consulta, executar a consulta ou abrir a consulta no editor

    Captura de ecrã das opções disponíveis em consultas guardadas no portal do Microsoft Defender

Para consultas editáveis, estão disponíveis mais opções:

  • Editar detalhes – abre o painel lateral dos detalhes da consulta com a opção de editar os detalhes, como a descrição (se aplicável) e a própria consulta; apenas os nomes das pastas (localização) das consultas Microsoft Sentinel não podem ser editados
  • Eliminar – elimina a consulta
  • Mudar o nome – permite-lhe modificar o nome da consulta

Criar regras de análise e deteção personalizadas

Para ajudar a detetar ameaças e comportamentos anómalos no seu ambiente, pode criar políticas de deteção personalizadas.

Para regras de análise aplicáveis aos dados ingeridos através da área de trabalho Microsoft Sentinel ligada, selecione Gerir regras > Criar regra de análise.

Captura de ecrã das opções para criar análises ou deteções personalizadas no portal do Microsoft Defender

É apresentado o assistente de regras de Análise. Preencha os detalhes necessários, conforme descrito no Assistente de regras de análise — separador Geral.

Também pode criar regras de deteção personalizadas que consultam dados de tabelas Microsoft Sentinel e Defender XDR. Selecione Gerir regras > Criar deteção personalizada. Leia Criar e gerir regras de deteção personalizadas para obter mais informações.

Se os dados Defender XDR forem ingeridos no Microsoft Sentinel, tem a opção de escolher entre Criar deteção personalizada e Criar regra de análise.