Dela via

Använda Microsoft Sentinel funktioner, sparade frågor och anpassade regler

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Använda funktioner

Om du vill använda en funktion från Microsoft Sentinel går du till fliken Funktioner och bläddrar tills du hittar den funktion som du vill använda. Dubbelklicka på funktionsnamnet för att infoga funktionen i frågeredigeraren.

Du kan också välja de lodräta ellipserna ( kebabikonen ) till höger om funktionen och välja Infoga för att fråga för att infoga funktionen i en fråga i frågeredigeraren.

Andra alternativ är:

  • Visa information – öppnar funktionssidan som innehåller dess information
  • Läsa in funktionskod – öppnar en ny flik som innehåller funktionskoden

För redigerbara funktioner är fler alternativ tillgängliga när du väljer de lodräta ellipserna:

  • Redigera information – öppnar funktionssidan så att du kan redigera information om funktionen (förutom mappnamn för Sentinel funktioner)
  • Ta bort – tar bort funktionen

Använda adx()-operatorn för Azure Data Explorer-frågor (förhandsversion)

Använd operatorn adx() för att fråga efter tabeller som lagras i Azure Data Explorer. Läs Vad är Azure Data Explorer? för mer information.

Den här funktionen var tidigare endast tillgänglig i Log Analytics i Microsoft Sentinel. Användare kan nu använda operatorn för avancerad jakt i den enhetliga Microsoft Defender-portalen utan att behöva öppna ett Microsoft Sentinel fönster manuellt.

I frågeredigeraren anger du frågan i följande format:

adx('<Cluster URI>/<Database Name>').<Table Name>

Om du till exempel vill hämta de första 10 raderna med data från tabellen StormEvents som lagras i en viss URI:

Skärmbild av adx-operatorn i avancerad jakt.

Använda arg()-operator för Azure Resource Graph-frågor

Operatorn arg() kan användas för att fråga över distribuerade Azure-resurser som prenumerationer, virtuella datorer, CPU, lagring och liknande.

Den här funktionen var tidigare endast tillgänglig i Log Analytics i Microsoft Sentinel. I Microsoft Defender-portalen arbetar operatören arg() över Microsoft Sentinel data (Defender XDR tabeller stöds inte). På så sätt kan användarna använda operatorn i avancerad jakt utan att behöva öppna ett Microsoft Sentinel fönster manuellt.

Observera att frågor som använder operatorn arg() endast returnerar de första 1 000 posterna. Mer information finns i Fråga efter data i Azure Resource Graph med hjälp av arg().

I frågeredigeraren anger du arg(""). följt av tabellnamnet för Azure Resource Graph.

Till exempel:

Skärmbild av argoperator i avancerad jakt.

Du kan till exempel filtrera en fråga som söker över Microsoft Sentinel data baserat på resultatet av en Azure-Resource Graph fråga:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Använda sparade frågor

Om du vill använda en sparad fråga från Microsoft Sentinel går du till fliken Frågor och bläddrar tills du hittar den fråga du vill ha. Dubbelklicka på frågenamnet för att läsa in frågan i frågeredigeraren. Om du vill ha fler alternativ väljer du de lodräta ellipserna ( kebabikonen ) till höger om frågan. Härifrån kan du utföra följande åtgärder:

  • Kör frågan – läser in frågan i frågeredigeraren och kör den automatiskt

  • Öppna i frågeredigeraren – läser in frågan i frågeredigeraren

  • Visa information – öppnar sidofönstret för frågeinformation där du kan inspektera frågan, köra frågan eller öppna frågan i redigeraren

    Skärmbild av de alternativ som är tillgängliga i sparade frågor i Microsoft Defender-portalen

För redigerbara frågor finns det fler alternativ:

  • Redigera information – öppnar sidofönstret för frågeinformation med alternativet att redigera informationen, till exempel beskrivning (om tillämpligt) och själva frågan. endast mappnamnen (platsen) för Microsoft Sentinel frågor inte kan redigeras
  • Ta bort – tar bort frågan
  • Byt namn – gör att du kan ändra frågenamnet

Skapa anpassade analys- och identifieringsregler

För att identifiera hot och avvikande beteenden i din miljö kan du skapa anpassade identifieringsprinciper.

För analysregler som gäller för data som matas in via den anslutna Microsoft Sentinel arbetsytan väljer du Hantera regler > Skapa analysregel.

Skärmbild av alternativen för att skapa anpassade analyser eller identifieringar i Microsoft Defender-portalen

Guiden Analysregel visas. Fyll i den information som krävs enligt beskrivningen i guiden Analysregel – fliken Allmänt.

Du kan också skapa anpassade identifieringsregler som frågar efter data från både Microsoft Sentinel och Defender XDR tabeller. Välj Hantera regler > Skapa anpassad identifiering. Mer information finns i Skapa och hantera anpassade identifieringsregler .

Om dina Defender XDR data matas in i Microsoft Sentinel kan du välja mellan Skapa anpassad identifiering och Skapa analysregel.