Partilhar via


Criar consultas de caça personalizadas no Microsoft Sentinel

Procure ameaças à segurança nas fontes de dados da sua organização com consultas de caça personalizadas. O Microsoft Sentinel fornece consultas de caça incorporadas para o ajudar a encontrar problemas nos dados que tem na rede. Mas você pode criar suas próprias consultas personalizadas. Para obter mais informações sobre consultas de caça, consulte Caça a ameaças no Microsoft Sentinel.

Criar uma nova consulta

No Microsoft Sentinel, crie uma consulta de caça personalizada a partir da guia Consultas de>caça.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Caça.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Hunting.

  2. Selecione a guia Consultas .

  3. Na barra de comandos, selecione Nova consulta.

  4. Preencha todos os campos em branco.

    1. Crie mapeamentos de entidade selecionando tipos de entidade, identificadores e colunas.

      Captura de tela para mapear tipos de entidade em consultas de caça.

    2. Mapeie as técnicas MITRE ATT&CK para suas consultas de caça, selecionando a tática, técnica e subtécnica (se aplicável).

      Nova consulta

  5. Quando terminar de definir a consulta, selecione Criar.

Clonar uma consulta existente

Clone uma consulta personalizada ou interna e edite-a conforme necessário.

  1. Na guia Consultas de>caça, selecione a consulta de caça que deseja clonar.

  2. Selecione as reticências (...) na linha da consulta que deseja modificar e selecione Clonar.

  3. Edite a consulta e outros campos conforme apropriado.

  4. Selecione Criar.

Editar uma consulta personalizada existente

Apenas as consultas de uma fonte de conteúdo personalizada podem ser editadas. Outras fontes de conteúdo têm de ser editadas nessa fonte.

  1. Na guia Consultas de>caça, selecione a consulta de busca que deseja alterar.

  2. Selecione as reticências (...) na linha da consulta que pretende alterar e selecione Editar.

  3. Atualize o campo Consulta com a consulta atualizada. Você também pode alterar o mapeamento e as técnicas de entidade.

  4. Quando terminar, selecione Salvar.