在 Microsoft Defender 入口網站中使用 Microsoft Sentinel 數據進行進階搜捕
進階搜捕可讓您檢視和查詢統一 Microsoft Defender 入口網站內可用的所有數據源。 數據源可能包含 Microsoft Defender 全面偵測回應和各種Microsoft安全性服務。 如果您將 Microsoft Sentinel 上線至 Defender 入口網站,請存取並使用所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式。
從單一入口網站跨不同數據集進行查詢,可讓搜捕更有效率,並移除內容切換的需求。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如何存取
必要角色和權限
您可以根據您的角色和許可權,查詢目前可存取之任何工作負載中的數據。
若要跨 Microsoft Sentinel 查詢,並在統一的進階搜捕頁面中 Microsoft Defender 全面偵測回應 數據,您也至少需要 Microsoft Sentinel 讀取者角色。 如需詳細資訊,請參閱 Microsoft Sentinel 特定角色。
線上工作區
在 Microsoft Defender 中,您可以選取頂端橫幅中的 [連線工作區] 來連線工作區。 如果您有資格將 Microsoft Sentinel 工作區上線到統一 Microsoft Defender 入口網站,則會出現此按鈕。 請遵循下列步驟: 將工作區上線。
聯機 Microsoft Sentinel 工作區並 Microsoft Defender 全面偵測回應 進階搜捕數據之後,您可以從進階搜捕頁面開始查詢 Microsoft Sentinel 數據。 如需進階搜捕功能的概觀,請參閱 使用進階搜捕主動搜捕威脅。
串流處理 Defender 全面偵測回應 數據表預期 Microsoft Sentinel
- 在查詢中使用具有較長數據保留期限的數據表 – 進階搜捕會遵循為 Defender 全面偵測回應 數據表設定的最大數據保留期間 (請參閱瞭解配額) 。 如果您將 Defender 全面偵測回應 數據表串流至 Microsoft Sentinel,且上述數據表的數據保留期間超過 30 天,您可以在進階搜捕中查詢較長的期間。
-
使用您在 Microsoft Sentinel 中使用的 Kusto 運算子 – 一般而言,來自 Microsoft Sentinel 的查詢會在進階搜捕中運作,包括使用 運算子的
adx()查詢。 在某些情況下,IntelliSense 會警告您查詢中的運算符不符合架構,不過,您仍然可以執行查詢,而且仍應成功執行。 - 使用時間篩選下拉式清單,而不是設定查詢中的時間範圍 – 如果您要篩選 Defender 全面偵測回應 數據表的擷取以 Sentinel,而不是依原樣串流數據表,請勿篩選查詢中的時間,因為這可能會產生不完整的結果。 如果您在查詢中設定時間,則會使用來自 Sentinel 的串流篩選數據,因為它通常具有較長的數據保留期間。 如果您想要確定查詢所有 Defender 全面偵測回應 資料最多 30 天,請改用查詢編輯器中提供的時間篩選下拉式清單。
-
檢視
SourceSystem已從 Microsoft Sentinel 串流處理之 Defender 全面偵測回應 數據的 和MachineGroup數據行 – 由於SourceSystem數據行和MachineGroup會在串流至 Microsoft Sentinel 后新增至 Defender 全面偵測回應 數據表,因此也會在 Defender 中顯示進階搜捕。 不過,對於未在預設 30 天數據保留期限之後串流處理 (數據表) Defender 全面偵測回應 數據表,這些數據表會保持空白。
注意事項
使用統一入口網站,您可以在連線 Microsoft Sentinel 工作區之後查詢 Microsoft Sentinel 數據,這並不表示您也可以在 Microsoft Sentinel 中查詢 Defender 全面偵測回應 數據。 Defender 全面偵測回應 的原始數據擷取仍應在 Microsoft Sentinel 中設定,才能發生這種情況。
哪裡可以找到您的 Microsoft Sentinel 數據
您可以使用進階搜捕 KQL (Kusto 查詢語言) 查詢來搜捕 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 數據。
當您在連接工作區之後第一次開啟進階搜捕頁面時,您可以在 [架構] 索引標籤下的 [Microsoft Defender 全面偵測回應 數據表之後,找到許多依解決方案組織的工作區數據表。
同樣地,您可以在 [函式] 索引標籤中找到來自 Microsoft Sentinel 的函式,而來自 Microsoft Sentinel 的共用和範例查詢可以在標示為 Sentinel 的資料夾內的 [查詢] 索引標籤中找到。
檢視架構資訊
若要深入瞭解架構數據表,請選取 [架構] 索引標籤下任何架構數據表名稱右邊 ) 
的垂直省略號,然後選取 [檢視架構]。
在統一入口網站中,除了檢視架構數據行名稱和描述之外,您也可以檢視:
- 範例數據 – 選 取 [查看預覽數據],這會載入簡單的查詢,例如
TableName | take 5 - 架構類型 – 資料表是否支援 (進階數據表) 的完整查詢功能, (基本記錄數據表)
- 數據保留期間 – 資料設定要保留多久
- 標籤 – 適用於 Sentinel 資料表
已知問題
- 無法
IdentityInfo table使用from Microsoft Sentinel,因為資料IdentityInfo表在 Defender 全面偵測回應 中維持原樣。 Microsoft Sentinel 查詢此數據表的分析規則等功能不會受到影響,因為它們是直接查詢 Log Analytics 工作區。 -
SecurityAlertMicrosoft Sentinel 數據表會由AlertInfo和AlertEvidence數據表取代,這兩個數據表都包含警示的所有數據。 雖然 [架構] 索引標籤中無法使用 SecurityAlert,但您仍然可以在使用進階搜捕編輯器的查詢中使用它。 此布建的目的是為了不中斷使用此數據表之 Microsoft Sentinel 的現有查詢。 - 只有 Defender 全面偵測回應 數據支持引導式搜捕模式和採取動作功能。
- 自訂偵測有下列限制:
- 自定義偵測不適用於不包含 Defender 全面偵測回應 資料的 KQL 查詢。
- 近即時偵測頻率不適用於包含 Microsoft Sentinel 數據的偵測。
- 不支援在 Microsoft Sentinel 中建立和儲存的自定義函式。
- 自定義偵測尚不支援從 Sentinel 數據定義實體。
- 進階搜捕體驗不支援書籤。 Microsoft Sentinel 威脅管理>搜捕功能支持>這些功能。 或者,您可以使用 [連結至事件 ] 功能,將查詢結果連結至新的或現有的事件。
- 如果您要將 Defender 全面偵測回應 數據表串流至 Log Analytics,則 和
TimeGenerated資料行之間Timestamp可能會有差異。 如果數據在 48 小時後抵達 Log Analytics,則會在擷取至 時覆寫。now()因此,若要取得事件發生的實際時間,建議您依賴 數據行Timestamp。 - 提示 Security Copilot 進階搜捕查詢時,您可能會發現目前並非所有 Microsoft Sentinel 數據表都受到支援。 不過,未來可能會有這些數據表的支援。