共用方式為

使用 Microsoft Sentinel 函式、已儲存的查詢和自定義規則

  • 發行項
  • 適用於:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

使用函式

若要從 Microsoft Sentinel 使用函式,請移至 [函式] 索引標籤並捲動,直到您找到您想要的函式為止。 按兩下函式名稱,在查詢編輯器中插入函式。

您也可以選取函式右邊 ) ( kebab 圖示 的垂直省略號,然後選取 [插入查詢] 將 函式插入查詢編輯器中的查詢。

其他選項包括:

  • 檢視詳細資料 – 開啟包含其詳細數據的函式側邊窗格
  • 載入函式程式碼 – 開啟包含函式程式碼的新索引標籤

針對可編輯的函式,當您選取垂直省略號時,可以使用更多選項:

  • 編輯詳細數據 – 開啟函式側邊窗格,讓您編輯函式 (的詳細數據,但 Sentinel 函式的資料夾名稱除外)
  • 刪除 – 刪除函式

使用 adx () 操作員進行 Azure Data Explorer 查詢 (預覽)

使用運算adx()子來查詢儲存在 Azure Data Explorer 中的數據表。 如需詳細資訊,請參閱什麼是 Azure Data Explorer?

這項功能先前僅適用於 Microsoft Sentinel 中的記錄分析。 用戶現在可以在整合 Microsoft Defender 入口網站的進階搜捕中使用 運算符,而不需要手動開啟 Microsoft Sentinel 視窗。

在查詢編輯器中,以下列格式輸入查詢:

adx('<Cluster URI>/<Database Name>').<Table Name>

例如,若要從 StormEvents 儲存在特定 URI 中的數據表取得前 10 個資料列:

進階搜捕中 adx 運算子的螢幕快照。

針對 Azure Resource Graph 查詢使用 arg () 運算符

操作 arg() 員可用來查詢已部署的 Azure 資源,例如訂用帳戶、虛擬機、CPU、記憶體等等。

這項功能先前僅適用於 Microsoft Sentinel 中的記錄分析。 在 Microsoft Defender 入口網站中arg(),運算符會處理 Microsoft Sentinel 數據 (,也就是不支援 Defender 全面偵測回應 數據表) 。 這可讓使用者在進階搜捕中使用 運算符,而不需要手動開啟 Microsoft Sentinel 視窗。

請注意,使用 運算子的 arg() 查詢只會傳回前 1,000 筆記錄。 如需詳細資訊,請參閱使用arg () 查詢 Azure Resource Graph 中的數據。

在查詢編輯器中,輸入arg (“”) 。後面接著 Azure Resource Graph 資料表名稱。

例如:

進階搜捕中arg運算子的螢幕快照。

例如,您也可以根據 Azure Resource Graph 查詢的結果,篩選搜尋 Microsoft Sentinel 數據的查詢:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

使用已儲存的查詢

若要從 Microsoft Sentinel 使用已儲存的查詢,請移至 [查詢] 索引標籤並捲動,直到您找到您想要的查詢為止。 按兩下查詢名稱,以在查詢編輯器中載入查詢。 如需更多選項,請選取查詢右側 ) ( kebab圖示 的垂直省略號。 您可以從這裡執行下列動作:

  • 執行查詢 – 在查詢編輯器中載入查詢並自動執行

  • 在查詢編輯器中開 啟 – 在查詢編輯器中載入查詢

  • 檢視詳細資料 – 開啟查詢詳細數據側邊窗格,您可以在其中檢查查詢、執行查詢,或在編輯器中開啟查詢

    Microsoft Defender入口網站中已儲存查詢中可用選項的螢幕快照

針對可編輯的查詢,有更多選項可供使用:

  • 編輯詳細數據 – 開啟 [查詢詳細數據] 側邊窗格,其中包含可在適用時編輯詳細數據的選項,例如描述 () 和查詢本身;只能編輯 Microsoft Sentinel 查詢 (位置) 的資料夾名稱
  • 刪除 – 刪除查詢
  • 重新命名 – 可讓您修改查詢名稱

建立自定義分析和偵測規則

若要協助探索環境中的威脅和異常行為,您可以建立自定義偵測原則。

如需適用於透過連線 Microsoft Sentinel 工作區內嵌之數據的分析規則,請選取 [管理規則>][建立分析規則]

在 Microsoft Defender 入口網站中建立自定義分析或偵測選項的螢幕快照

[ 分析規則精靈] 隨即 出現。 如 分析規則精靈 — 一般索引標籤中所述,填寫所需的詳細數據。

您也可以建立自定義偵測規則,從 Microsoft Sentinel 和 Defender 全面偵測回應 數據表查詢數據。 選 取 [管理規則 > ][建立自定義偵測]。 如需詳細資訊,請參閱 建立和管理自定義偵測規則

如果您的 Defender 全面偵測回應 數據內嵌到 Microsoft Sentinel 中,您可以選擇 [建立自定義偵測] 和 [建立分析規則]