Поделиться через

Использование функций Microsoft Sentinel, сохраненных запросов и пользовательских правил

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Использование функций

Чтобы использовать функцию из Microsoft Sentinel, перейдите на вкладку Функции и прокрутите страницу, пока не найдете нужную функцию. Дважды щелкните имя функции, чтобы вставить функцию в редактор запросов.

Можно также выбрать вертикальные многоточия ( значок шашлыка ) справа от функции и выбрать команду Вставить, чтобы запросить , чтобы вставить функцию в запрос в редакторе запросов.

Другие доступные варианты:

  • Просмотр сведений — открывается боковая панель функции, содержащая сведения о ней.
  • Загрузка кода функции — открывает новую вкладку, содержащую код функции.

Для редактируемых функций при выборе вертикального многоточия доступны дополнительные параметры:

  • Изменение сведений — открывает боковую панель функции, чтобы можно было изменять сведения о функции (за исключением имен папок для Sentinel функций).
  • Delete — удаляет функцию.

Использование оператора arg() для запросов azure Resource Graph

Оператор arg() можно использовать для запросов к развернутым ресурсам Azure, таким как подписки, виртуальные машины, ЦП, хранилище и т. д.

Эта функция ранее была доступна только в log Analytics в Microsoft Sentinel. На портале arg() Microsoft Defender оператор работает над Microsoft Sentinel данными (то есть Defender XDR таблицы не поддерживаются). Это позволяет пользователям использовать оператор в расширенной охоте без необходимости вручную открывать окно Microsoft Sentinel.

Обратите внимание, что запросы с помощью arg() оператора возвращают только первые 1000 записей. Дополнительные сведения см. в статье Запрос данных в Azure Resource Graph с помощью arg().

В редакторе запросов введите arg(""). за которым следует имя таблицы Resource Graph Azure.

Например:

Снимок экрана: оператор arg в расширенной охоте.

Например, можно также отфильтровать запрос, который выполняет поиск по Microsoft Sentinel данным на основе результатов запроса azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Использование сохраненных запросов

Чтобы использовать сохраненный запрос из Microsoft Sentinel, перейдите на вкладку Запросы и прокрутите страницу, пока не найдете нужный запрос. Дважды щелкните имя запроса, чтобы загрузить запрос в редакторе запросов. Для получения дополнительных параметров выберите вертикальный многоточие ( значок шашлыка ) справа от запроса. Здесь можно выполнить следующие действия:

  • Выполнение запроса — загружает запрос в редакторе запросов и выполняет его автоматически.

  • Откройте в редакторе запросов — загружает запрос в редакторе запросов.

  • Просмотр сведений — открывает боковую область сведений о запросе, где можно проверить запрос, выполнить запрос или открыть запрос в редакторе.

    Снимок экрана: параметры, доступные в сохраненных запросах на портале Microsoft Defender

Для редактируемых запросов доступны дополнительные параметры:

  • Изменение сведений — открывает боковую область сведений о запросе с возможностью изменения таких сведений, как описание (если применимо) и сам запрос; Невозможно изменить только имена папок (расположение) Microsoft Sentinel запросов
  • Delete — удаляет запрос.
  • Переименование — позволяет изменить имя запроса.

Создание пользовательских правил аналитики и обнаружения

Чтобы помочь обнаруживать угрозы и аномальное поведение в вашей среде, можно создать настраиваемые политики обнаружения.

Для правил аналитики, которые применяются к данным, которые передаются через подключенную рабочую область Microsoft Sentinel, выберите Управление правилами > Создать правило аналитики.

Снимок экрана: параметры для создания пользовательской аналитики или обнаружения на портале Microsoft Defender

Откроется мастер правил аналитики . Заполните необходимые сведения, как описано в разделе Мастер правил аналитики — вкладка Общие.

Можно также создать настраиваемые правила обнаружения, которые запрашивают данные как из Microsoft Sentinel, так и из таблиц Defender XDR. Выберите Управление правилами > Создать пользовательское обнаружение. Дополнительные сведения см. в статье Создание настраиваемых правил обнаружения и управление ими .

Если данные Defender XDR попадают в Microsoft Sentinel, вы можете выбрать между вариантами Создать пользовательское обнаружение и Создать правило аналитики.