Создание пользовательских запросов охоты в Microsoft Sentinel
Поиск угроз безопасности в источниках данных вашей организации с пользовательскими запросами охоты. Microsoft Sentinel предоставляет встроенные поисковые запросы, помогающие найти проблемы в данных, которые есть в вашей сети. Но вы можете создать собственные пользовательские запросы. Дополнительные сведения о запросах на охоту см. в статье "Поиск угроз" в Microsoft Sentinel.
Создание запроса
В Microsoft Sentinel создайте настраиваемый запрос охоты на вкладке "Запросы охоты>".
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите "Охота".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat Management>Hunting.Перейдите на вкладку "Запросы ".
На панели команд выберите "Создать запрос".
Заполните все пустые поля.
Создайте сопоставления сущностей, выбрав типы сущностей, идентификаторы и столбцы.
Сопоставите методы MITRE ATT&CK с запросами охоты, выбрав тактику, технику и подтехнику (если применимо).
Завершив определение запроса, нажмите кнопку "Создать".
Клонирование существующего запроса
Клонируйте пользовательский или встроенный запрос и измените его по мере необходимости.
На вкладке "Запросы охоты" выберите запрос охоты>, который требуется клонировать.
Выберите многоточие (...) в строке запроса, который требуется изменить, и нажмите кнопку "Клонировать".
Измените запрос и другие поля соответствующим образом.
Нажмите кнопку создания.
Изменение существующего пользовательского запроса
Можно изменить только запросы, которые можно изменить из пользовательского источника контента. Другие источники контента должны быть изменены в этом источнике.
На вкладке "Запросы охоты" выберите запрос охоты>, который требуется изменить.
Выберите многоточие (...) в строке запроса, который вы хотите изменить, и нажмите кнопку "Изменить".
Обновите поле запроса с обновленным запросом. Вы также можете изменить сопоставление сущностей и методы.
После завершения нажмите кнопку "Сохранить".