你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中创建自定义搜寻查询

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用自定义搜寻查询在整个组织的数据源中搜寻安全威胁。 Microsoft Sentinel 提供内置的搜寻查询，可帮助你发现网络上的数据问题。 但可以创建自己的自定义查询。 有关搜寻查询的详细信息，请参阅 Microsoft Sentinel 中的威胁搜寻。

新建查询

在 Microsoft Sentinel 中，从“搜寻”>“查询”选项卡创建自定义搜寻查询。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“搜寻”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“搜寻”。

2. 选择“查询”选项卡。

3. 在命令栏中，选择“新建查询”。

   Azure 门户

   

   Defender 门户

   

4. 填写所有空白字段。

   1. 通过选择实体类型、标识符和列创建实体映射。

      

   2. 通过选择策略、技术和子技术（如果适用）将 MITRE ATT&CK 技术映射到搜寻查询。

      

5. 完成查询定义后，选择“创建”。

克隆现有查询

克隆自定义或内置查询，并根据需要对其进行编辑。

1. 从“搜寻”>“查询”选项卡中，选择要克隆的搜寻查询。

2. 在要修改的查询行中选择省略号 (...)，然后选择“克隆”。

   Azure 门户

   

   Defender 门户

   

3. 根据需要编辑查询和其他字段。

4. 选择创建。

编辑现有自定义查询

只能编辑来自自定义内容源的查询。 其他内容源必须在对应的源那里进行编辑。

1. 从“搜寻”>“查询”选项卡中，选择要更改的搜寻查询。

2. 在要更改的查询行中选择省略号 (...)，然后选择“编辑”。

3. 使用更新的查询更新“查询”字段。 还可以更改实体映射和技术。

4. 完成后，选择“保存”。

相关内容

• KQL 快速参考
• 高级安全信息模型 (ASIM) 分析程序
• Microsoft Sentinel 中的威胁搜寻
• 在 Microsoft Sentinel 中执行端到端主动威胁搜寻