通过

在Microsoft Defender门户中使用Microsoft Sentinel数据进行高级搜寻

  • 项目
  • 适用于:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

高级搜寻允许查看和查询统一Microsoft Defender门户中可用的所有数据源。 数据源可能包括Microsoft Defender XDR和各种Microsoft安全服务。 如果将Microsoft Sentinel加入 Defender 门户,则访问并使用所有现有的Microsoft Sentinel工作区内容,包括查询和函数。

跨不同数据集从单个门户进行查询可提高搜寻效率,并且无需进行上下文切换。

重要

Microsoft Sentinel现已在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的Microsoft Sentinel

如何访问

所需角色和权限

可以根据角色和权限查询当前可以访问的任何工作负载中的数据。

若要在统一高级搜寻页中查询Microsoft Sentinel和Microsoft Defender XDR数据,至少还需要Microsoft Sentinel读取者角色。 有关详细信息,请参阅特定于Microsoft Sentinel的角色

连接工作区

在Microsoft Defender中,可以通过选择顶部横幅中的“连接工作区”来连接工作区。 如果你有资格将Microsoft Sentinel工作区载入到统一Microsoft Defender门户,则会出现此按钮。 按照: 载入工作区中的步骤操作。

连接Microsoft Sentinel工作区并Microsoft Defender XDR高级搜寻数据后,可以从高级搜寻页开始查询Microsoft Sentinel数据。 有关高级搜寻功能的概述,请阅读 使用高级搜寻主动搜寻威胁

流式传输到Microsoft Sentinel Defender XDR表的预期结果

  • 在查询中使用数据保留期较长的表 - 高级搜寻遵循为Defender XDR表配置的最大数据保留期 (请参阅了解配额) 。 如果将Defender XDR表流式传输到Microsoft Sentinel,并且该表的数据保留期超过 30 天,则可以在高级搜寻中查询较长时间。
  • 使用在 Microsoft Sentinel 中使用的 Kusto 运算符 – 通常,来自Microsoft Sentinel的查询在高级搜寻中工作,包括使用 运算符的adx()查询。 在某些情况下,IntelliSense 可能会警告你查询中的运算符与架构不匹配,但是,你仍然可以运行查询,并且它仍应成功执行。
  • 使用时间筛选器下拉列表,而不是在查询中设置时间跨度 – 如果要筛选Defender XDR表的引入以Sentinel而不是按原样流式处理表,请不要筛选查询中的时间,因为这可能会生成不完整的结果。 如果在查询中设置时间,则使用来自Sentinel的流式筛选数据,因为它的数据保留期通常较长。 如果要确保查询所有Defender XDR数据长达 30 天,请改用查询编辑器中提供的时间筛选器下拉列表。
  • 从 Microsoft Sentinel 流式传输的Defender XDR数据的视图SourceSystemMachineGroup – 由于列 SourceSystemMachineGroup 在流式传输到Microsoft Sentinel后会添加到Defender XDR表中,因此它们也会显示在 Defender 中的高级搜寻结果中。 但是,对于未流式传输的Defender XDR表, (遵循默认 30 天数据保留期的表) ,它们将保持空白。

注意

使用统一门户(连接Microsoft Sentinel工作区后可在其中查询Microsoft Sentinel数据)并不意味着还可以在Microsoft Sentinel中查询Defender XDR数据。 仍应在Microsoft Sentinel中配置Defender XDR的原始数据引入,以便发生这种情况。

在何处查找Microsoft Sentinel数据

可以使用高级搜寻 KQL (Kusto 查询语言) 查询来搜寻Microsoft Defender XDR和Microsoft Sentinel数据。

连接工作区后第一次打开高级搜寻页时,可以在“架构”选项卡下的“Microsoft Defender XDR表”后找到该工作区的许多按解决方案组织的表。

Microsoft Defender门户中高级搜寻架构选项卡的屏幕截图,其中突出显示了Sentinel表的位置

同样,可以在“函数”选项卡中找到Microsoft Sentinel中的函数,Microsoft Sentinel的共享查询和示例查询可以在标记为Sentinel的文件夹内的“查询”选项卡中找到。

查看架构信息

若要了解有关架构表的详细信息,请选择“架构”选项卡下任意架构表名称右侧 ) 垂直省略号 ( kebab 图标,然后选择“查看架构”。

在统一门户中,除了查看架构列名称和说明外,还可以查看:

  • 示例数据 - 选择“ 查看预览数据”,以加载简单查询,例如 TableName | take 5
  • 架构类型 - 表是否支持 (高级表) 的完整查询功能 (基本日志表)
  • 数据保留期 - 设置数据要保留多长时间
  • 标记 - 可用于Sentinel数据表

Microsoft Defender门户中架构信息窗格的屏幕截图

已知问题

  • IdentityInfo table from Microsoft Sentinel 不可用,因为IdentityInfo表保持Defender XDR中的原样。 Microsoft Sentinel查询此表的分析规则等功能不会受到影响,因为它们直接查询 Log Analytics 工作区。
  • Microsoft SentinelSecurityAlert表替换为 AlertInfoAlertEvidence 表,这两个表都包含有关警报的所有数据。 虽然 SecurityAlert 在架构选项卡中不可用,但你仍然可以使用高级搜寻编辑器在查询中使用它。 进行此预配是为了不中断使用此表Microsoft Sentinel的现有查询。
  • 引导式搜寻模式和采取操作功能仅支持Defender XDR数据。
  • 自定义检测具有以下限制:
    • 自定义检测不适用于不包含Defender XDR数据的 KQL 查询。
    • 近实时检测频率不适用于包含Microsoft Sentinel数据的检测。
    • 不支持在 Microsoft Sentinel 中创建和保存的自定义函数。
    • 自定义检测尚不支持从Sentinel数据定义实体。
  • 高级搜寻体验不支持书签。 Microsoft Sentinel>威胁管理>搜寻功能支持它们。
  • 如果要将Defender XDR表流式传输到 Log Analytics,则 和 TimeGenerated 列之间Timestamp可能存在差异。 如果数据在 48 小时后到达 Log Analytics,则会在引入 到 now()时被重写。 因此,若要获取事件发生的实际时间,建议依赖 列 Timestamp
  • 当提示 Copilot 进行高级搜寻查询时,你可能会发现目前并非所有Microsoft Sentinel表都受支持。 但是,将来可能会支持这些表。

另请参阅