使用Microsoft Sentinel函数、保存的查询和自定义规则
使用函数
若要使用Microsoft Sentinel中的函数,请转到“函数”选项卡并滚动,直到找到所需的函数。 双击函数名称以在查询编辑器中插入函数。
还可以选择函数右侧的垂直省略号 ( 
) ,然后选择“ 插入查询 ”,在查询编辑器中将函数插入到查询中。
其他选项包括:
- 查看详细信息 - 打开包含其详细信息的函数侧窗格
- 加载函数代码 - 打开包含函数代码的新选项卡
对于可编辑函数,选择垂直省略号时提供更多选项:
- 编辑详细信息 - 打开函数侧窗格,以便编辑函数 (的详细信息,但Sentinel函数的文件夹名称除外)
- Delete - 删除函数
对 Azure Resource Graph查询使用 arg () 运算符
arg () 运算符可用于跨已部署的 Azure 资源(如订阅、虚拟机、CPU、存储等)进行查询。
此功能以前仅在 Microsoft Sentinel 的 Log Analytics 中可用。 在Microsoft Defender门户中,arg()操作员将Microsoft Sentinel数据 (即不支持Defender XDR表) 。 这允许用户在高级搜寻中使用运算符,而无需手动打开Microsoft Sentinel窗口。
请注意,使用 运算符的 arg() 查询仅返回前 1,000 条记录。 有关更多详细信息,请参阅使用 arg () 在 Azure Resource Graph 中查询数据。
在查询编辑器中,输入 arg (“”) 。后跟 Azure Resource Graph 表名称。
例如:
例如,还可以根据 Azure Resource Graph 查询的结果筛选搜索Microsoft Sentinel数据的查询:
arg("").Resources
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
Heartbeat
| where TimeGenerated > ago(1d)
| distinct Computer
)
on $left.name == $right.Computer
使用保存的查询
若要从Microsoft Sentinel使用已保存的查询,请转到“查询”选项卡并滚动,直到找到所需的查询。 双击查询名称以在查询编辑器中加载查询。 有关更多选项,请选择查询右侧的垂直省略号 ( ) 。 可在此处执行以下操作:
运行查询 - 在查询编辑器中加载查询并自动运行它
在查询编辑器中打开 - 在查询编辑器中加载查询
查看详细信息 - 打开查询详细信息侧窗格,可在其中检查查询、运行查询或在编辑器中打开查询
对于可编辑查询,可以使用更多选项:
- 编辑详细信息 - 打开查询详细信息侧窗格,其中包含用于编辑详细信息的选项,例如说明 ((如果适用)) 和查询本身;仅无法编辑Microsoft Sentinel查询的文件夹名称 (位置)
- 删除 - 删除查询
- 重命名 - 允许修改查询名称
创建自定义分析和检测规则
若要帮助发现环境中的威胁和异常行为,可以创建自定义检测策略。
对于应用于通过连接的Microsoft Sentinel工作区引入的数据的分析规则,请选择“管理规则>”“创建分析规则”。
此时会显示 “分析规则”向导 。 按照 “分析规则向导 - 常规”选项卡中所述填写所需的详细信息。
还可以创建自定义检测规则,从Microsoft Sentinel表和Defender XDR表查询数据。 选择 “管理规则 > ”“创建自定义检测”。 有关详细信息 ,请阅读创建和管理自定义检测规则 。
如果Defender XDR数据已引入Microsoft Sentinel,则可以选择“创建自定义检测”和“创建分析规则”。