使用Microsoft Sentinel函数、保存的查询和自定义规则

使用函数

若要使用Microsoft Sentinel中的函数,请转到“函数”选项卡并滚动,直到找到所需的函数。 双击函数名称以在查询编辑器中插入函数。

还可以选择函数右侧的垂直省略号 ( kebab 图标 ) ,然后选择“ 插入查询 ”,在查询编辑器中将函数插入到查询中。

其他选项包括:

  • 查看详细信息 - 打开包含其详细信息的函数侧窗格
  • 加载函数代码 - 打开包含函数代码的新选项卡

对于可编辑函数,选择垂直省略号时提供更多选项:

  • 编辑详细信息 - 打开函数侧窗格,以便编辑函数 (的详细信息,但Sentinel函数的文件夹名称除外)
  • Delete - 删除函数

将 adx () 运算符用于 Azure 数据资源管理器 查询 (预览版)

adx()使用 运算符查询存储在 Azure 数据资源管理器 中的表。 有关详细信息,请参阅什么是 Azure 数据资源管理器?

此功能以前仅在 Microsoft Sentinel 的 Log Analytics 中可用。 用户现在可以在统一Microsoft Defender门户中的高级搜寻中使用运算符,而无需手动打开Microsoft Sentinel窗口。

在查询编辑器中,按以下格式输入查询:

adx('<Cluster URI>/<Database Name>').<Table Name>

例如,若要从 StormEvents 存储在特定 URI 中的表获取前 10 行数据:

高级搜寻中的 adx 运算符的屏幕截图。

对 Azure Resource Graph查询使用 arg () 运算符

运算符 arg() 可用于跨已部署的 Azure 资源(如订阅、虚拟机、CPU、存储等)进行查询。

此功能以前仅在 Microsoft Sentinel 的 Log Analytics 中可用。 在Microsoft Defender门户中,arg()操作员将Microsoft Sentinel数据 (即不支持Defender XDR表) 。 这允许用户在高级搜寻中使用运算符,而无需手动打开Microsoft Sentinel窗口。

请注意,使用 运算符的 arg() 查询仅返回前 1,000 条记录。 有关更多详细信息,请参阅使用 arg () 在 Azure Resource Graph 中查询数据

在查询编辑器中,输入 arg (“”) 。后跟 Azure Resource Graph 表名称。

例如:

高级搜寻中的 arg 运算符的屏幕截图。

例如,还可以根据 Azure Resource Graph 查询的结果筛选搜索Microsoft Sentinel数据的查询:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

使用保存的查询

若要从Microsoft Sentinel使用已保存的查询,请转到“查询”选项卡并滚动,直到找到所需的查询。 双击查询名称以在查询编辑器中加载查询。 有关更多选项,请选择查询右侧的垂直省略号 ( kebab 图标 ) 。 可在此处执行以下操作:

  • 运行查询 - 在查询编辑器中加载查询并自动运行它

  • 在查询编辑器中打开 - 在查询编辑器中加载查询

  • 查看详细信息 - 打开查询详细信息侧窗格,可在其中检查查询、运行查询或在编辑器中打开查询

    Microsoft Defender门户中保存的查询中可用的选项的屏幕截图

对于可编辑查询,可以使用更多选项:

  • 编辑详细信息 - 打开查询详细信息侧窗格,其中包含用于编辑详细信息的选项,例如说明 ((如果适用)) 和查询本身;仅无法编辑Microsoft Sentinel查询的文件夹名称 (位置)
  • 删除 - 删除查询
  • 重命名 - 允许修改查询名称

创建自定义分析和检测规则

若要帮助发现环境中的威胁和异常行为,可以创建自定义检测策略。

对于应用于通过连接的Microsoft Sentinel工作区引入的数据的分析规则,请选择“管理规则>”“创建分析规则”。

用于在Microsoft Defender门户中创建自定义分析或检测的选项的屏幕截图

此时会显示 “分析规则”向导 。 按照 “分析规则向导 - 常规”选项卡中所述填写所需的详细信息。

还可以创建自定义检测规则,从Microsoft Sentinel表和Defender XDR表查询数据。 选择 “管理规则 > ”“创建自定义检测”。 有关详细信息 ,请阅读创建和管理自定义检测规则

如果Defender XDR数据已引入Microsoft Sentinel,则可以选择“创建自定义检测”“创建分析规则”。