Dela via

Avancerad jakt med Microsoft Sentinel data i Microsoft Defender portalen

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Med avancerad jakt kan du visa och fråga alla datakällor som är tillgängliga i den enhetliga Microsoft Defender-portalen. Datakällorna kan innehålla Microsoft Defender XDR och olika Microsoft-säkerhetstjänster. Om du registrerar Microsoft Sentinel till Defender-portalen får du åtkomst till och använder allt befintligt Microsoft Sentinel arbetsyteinnehåll, inklusive frågor och funktioner.

Genom att fråga från en enda portal i olika datauppsättningar blir jakten mer effektiv och behovet av kontextväxling försvinner.

Viktigt

Microsoft Sentinel är allmänt tillgängligt på Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Så här kommer du åt

Nödvändiga roller och behörigheter

Du kan köra frågor mot data i alla arbetsbelastningar som du för närvarande kan komma åt baserat på dina roller och behörigheter.

Om du vill fråga över Microsoft Sentinel och Microsoft Defender XDR data på den enhetliga avancerade jaktsidan behöver du också minst rollen Microsoft Sentinel Läsare. Mer information finns i Microsoft Sentinel specifika roller.

Ansluta en arbetsyta

I Microsoft Defender kan du ansluta arbetsytor genom att välja Anslut en arbetsyta i den översta banderollen. Den här knappen visas om du är berättigad att registrera en Microsoft Sentinel arbetsyta på den enhetliga Microsoft Defender-portalen. Följ stegen i: Registrera en arbetsyta.

När du har anslutit din Microsoft Sentinel arbetsyta och Microsoft Defender XDR avancerade jaktdata kan du börja fråga Microsoft Sentinel data från sidan avancerad jakt. En översikt över avancerade jaktfunktioner finns i Proaktiv jakt efter hot med avancerad jakt.

Vad du kan förvänta dig för Defender XDR tabeller som strömmas till Microsoft Sentinel

  • Använd tabeller med längre datakvarhållningsperiod i frågor – Avancerad jakt följer den maximala datakvarhållningsperioden som konfigurerats för de Defender XDR tabellerna (se Förstå kvoter). Om du strömmar Defender XDR tabeller till Microsoft Sentinel och har en datakvarhållningsperiod som är längre än 30 dagar för dessa tabeller kan du fråga efter den längre perioden i avancerad jakt.
  • Använd Kusto-operatorer som du har använt i Microsoft Sentinel – I allmänhet fungerar frågor från Microsoft Sentinel i avancerad jakt, inklusive frågor som använder operatornadx(). Det kan finnas fall där IntelliSense varnar dig om att operatorerna i frågan inte matchar schemat, men du kan fortfarande köra frågan och den bör fortfarande köras korrekt.
  • Använd listrutan för tidsfilter i stället för att ange tidsintervallet i frågan – Om du filtrerar inmatning av Defender XDR tabeller till Sentinel i stället för att strömma tabellerna som de är ska du inte filtrera tiden i frågan eftersom detta kan generera ofullständiga resultat. Om du anger tiden i frågan används strömmade, filtrerade data från Sentinel eftersom den vanligtvis har den längre datakvarhållningsperioden. Om du vill kontrollera att du kör frågor mot alla Defender XDR data i upp till 30 dagar använder du listrutan för tidsfilter som finns i frågeredigeraren i stället.
  • Visa SourceSystem och MachineGroup kolumner för Defender XDR data som har strömmats från Microsoft Sentinel – Eftersom kolumnerna SourceSystem och MachineGroup läggs till i Defender XDR tabeller när de har strömmats till Microsoft Sentinel visas de också i resultat i avancerad jakt i Defender. De är dock fortfarande tomma för Defender XDR tabeller som inte strömmades (tabeller som följer standardperioden för datakvarhållning på 30 dagar).

Obs!

Att använda den enhetliga portalen, där du kan fråga Microsoft Sentinel data när du har anslutit en Microsoft Sentinel arbetsyta, innebär inte automatiskt att du även kan fråga Defender XDR data i Microsoft Sentinel. Rådatainmatning av Defender XDR bör fortfarande konfigureras i Microsoft Sentinel för att detta ska ske.

Var hittar du dina Microsoft Sentinel-data

Du kan använda KQL-frågor för avancerad jakt (Kusto-frågespråk) för att söka igenom Microsoft Defender XDR och Microsoft Sentinel data.

När du öppnar sidan avancerad jakt för första gången när du har anslutit en arbetsyta kan du hitta många av arbetsytans tabeller ordnade efter lösning efter de Microsoft Defender XDR tabellerna under fliken Schema.

Skärmbild av fliken avancerat jaktschema i Microsoft Defender-portalen som markerar platsen för Sentinel tabeller

På samma sätt hittar du funktionerna från Microsoft Sentinel på fliken Funktioner, och dina delade frågor och exempelfrågor från Microsoft Sentinel finns på fliken Frågor i mappar som är markerade Sentinel.

Visa schemainformation

Om du vill veta mer om en schematabell väljer du de lodräta ellipserna ( kebabikonen ) till höger om valfritt schematabellnamn under fliken Schema och väljer sedan Visa schema.

I den enhetliga portalen kan du, förutom att visa schemakolumnnamnen och beskrivningarna, även visa:

  • Exempeldata – välj Visa förhandsgranskningsdata, som läser in en enkel fråga som TableName | take 5
  • Schematyp – om tabellen stöder fullständiga frågefunktioner (avancerad tabell) eller inte (grundläggande loggtabell)
  • Datakvarhållningsperiod – hur länge data ska sparas
  • Taggar – tillgängliga för Sentinel datatabeller

Skärmbild av fönstret schemainformation i Microsoft Defender-portalen

Kända problem

  • Från-Microsoft SentinelIdentityInfo table är inte tillgänglig eftersom IdentityInfo tabellen förblir som den är i Defender XDR. Microsoft Sentinel funktioner som analysregler som frågar den här tabellen påverkas inte eftersom de frågar Log Analytics-arbetsytan direkt.
  • Den Microsoft Sentinel SecurityAlert tabellen ersätts av AlertInfo och AlertEvidence tabeller, som båda innehåller alla data om aviseringar. Även om SecurityAlert inte är tillgängligt på schemafliken kan du fortfarande använda det i frågor med hjälp av avancerad jaktredigerare. Den här etableringen görs för att inte bryta befintliga frågor från Microsoft Sentinel som använder den här tabellen.
  • Funktioner för guidad jakt och åtgärder stöds endast för Defender XDR data.
  • Anpassade identifieringar har följande begränsningar:
    • Anpassade identifieringar är inte tillgängliga för KQL-frågor som inte innehåller Defender XDR data.
    • Identifieringsfrekvens i nära realtid är inte tillgänglig för identifieringar som innehåller Microsoft Sentinel data.
    • Anpassade funktioner som har skapats och sparats i Microsoft Sentinel stöds inte.
    • Det finns ännu inte stöd för att definiera entiteter från Sentinel data i anpassade identifieringar.
  • Bokmärken stöds inte i avancerad jaktupplevelse. De stöds i funktionen Microsoft Sentinel > Hothantering > Jakt. Du kan också använda funktionen Länka till incident för att länka frågeresultat till nya eller befintliga incidenter.
  • Om du strömmar Defender XDR tabeller till Log Analytics kan det finnas en skillnad mellan kolumnernaTimestamp ochTimeGenerated. Om data kommer till Log Analytics efter 48 timmar åsidosätts de vid inmatning till now(). För att få den faktiska tiden som händelsen inträffade rekommenderar vi därför att du förlitar dig på Timestamp kolumnen.
  • När du frågar Security Copilot om avancerade jaktfrågor kan det hända att inte alla Microsoft Sentinel tabeller stöds för närvarande. Stöd för dessa tabeller kan dock förväntas i framtiden.

Se även