Поделиться через

Использование функций Microsoft Sentinel, сохраненных запросов и пользовательских правил

  • Применяется к: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как использовать функции Microsoft Sentinel, сохраненные запросы и пользовательские правила при расширенной охоте на портале Microsoft Defender.

Использование функций

Чтобы использовать функцию Microsoft Sentinel, перейдите на вкладку Функции и прокрутите страницу, пока не найдете нужную функцию. Дважды щелкните имя функции, чтобы вставить функцию в редактор запросов.

Можно также выбрать вертикальные многоточия ( значок шашлыка ) справа от функции и выбрать команду Вставить, чтобы запросить , чтобы вставить функцию в запрос в редакторе запросов.

Другие доступные варианты:

  • Просмотр сведений — открывает боковую панель функции, содержащую сведения о ней.
  • Загрузка кода функции — открывает новую вкладку, содержащую код функции.

Для редактируемых функций при выборе вертикального многоточия доступны дополнительные параметры:

  • Изменение сведений — открывает боковую панель функции, чтобы можно было изменять сведения о функции (кроме имен папок для Sentinel функций).
  • Delete — удаляет функцию.

Использование оператора adx() для запросов Azure Data Explorer

Используйте оператор для adx() запроса таблиц, хранящихся в Azure Data Explorer. Дополнительные сведения см. в статье Что такое Azure Data Explorer?

Ранее эта функция была доступна только в log Analytics в Microsoft Sentinel. Теперь пользователи могут использовать оператор в расширенной охоте на едином портале Microsoft Defender без необходимости вручную открывать окно Microsoft Sentinel.

В редакторе запросов введите запрос в следующем формате:

adx('<Cluster URI>/<Database Name>').<Table Name>

Например, чтобы получить первые 10 строк данных из StormEvents таблицы, хранящейся в определенном URI, выполните следующие действия:

Снимок экрана: оператор adx в расширенной охоте.

Примечание.

Оператор adx() не поддерживается для пользовательских обнаружений.

Использование оператора arg() для запросов Azure Resource Graph

arg() Используйте оператор для выполнения запросов между развернутыми Azure ресурсами, такими как подписки, виртуальные машины, ЦП, хранилище и т. г.

Ранее эта функция была доступна только в функции журналов в Microsoft Sentinel. На портале arg() Microsoft Defender оператор работает над объединением запросов Azure Resource Graph (arg) с Microsoft Sentinel таблицами (то есть Defender XDR таблицы не поддерживаются). С помощью этого оператора можно выполнить межслужбенный запрос в расширенном поиске, не открывая окно Microsoft Sentinel вручную.

Дополнительные сведения см. в разделе Запрос данных в Azure Resource Graph с помощью arg().

Примечание.

Оператор arg() не поддерживается для правил аналитики.

В редакторе запросов введите arg(""). за которым следует имя таблицы Azure Resource Graph.

Например, вы можете:

Снимок экрана: оператор arg в расширенной охоте.

Например, можно также отфильтровать запрос, который выполняет поиск по Microsoft Sentinel данным на основе результатов запроса Azure Resource Graph:

arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join ( 
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice

Создание пользовательских функций

Дополнительные сведения о создании пользовательских функций на портале Defender см. в разделе Пользовательские функции в расширенной схеме охоты.

Использование сохраненных запросов

Чтобы использовать сохраненный запрос из Microsoft Sentinel, перейдите на вкладку Запросы и прокрутите страницу, пока не найдете нужный запрос. Дважды щелкните имя запроса, чтобы загрузить запрос в редакторе запросов. Для получения дополнительных параметров выберите вертикальный многоточие ( значок шашлыка ) справа от запроса. Здесь можно выполнить следующие действия:

  • Выполнение запроса — загружает запрос в редакторе запросов и выполняет его автоматически.

  • Открыть в редакторе запросов — загружает запрос в редакторе запросов.

  • Просмотр сведений — открывает боковую область сведений о запросе, где можно проверить запрос, выполнить запрос или открыть запрос в редакторе.

    Снимок экрана: параметры, доступные в сохраненных запросах на портале Microsoft Defender.

Для редактируемых запросов доступны дополнительные параметры:

  • Изменение сведений — открывает боковую область сведений о запросе с возможностью изменения таких сведений, как описание (если применимо) и сам запрос. Вы не можете изменить имена папок (расположение) Microsoft Sentinel запросов.
  • Удалить — удаляет запрос.
  • Переименовать — позволяет изменить имя запроса.

Создание пользовательских правил аналитики и обнаружения

Чтобы помочь обнаруживать угрозы и аномальное поведение в вашей среде, можно создать настраиваемые правила обнаружения. Существует два вида:

  • Правила аналитики создают обнаружения на основе правил, которые запрашивают данные, поступающие через Microsoft Sentinel
  • Настраиваемые правила обнаружения создаются из правил, запрашивающих данные из Defender XDR или из Microsoft Sentinel и Defender XDR
Правила аналитики

Для правил аналитики, которые применяются к данным, которые передаются через подключенную рабочую область Microsoft Sentinel, выберите Управление правилами > Создать правило аналитики.

Снимок экрана: параметры для создания пользовательской аналитики или обнаружения на портале Microsoft Defender

Откроется мастер правил аналитики . Заполните необходимые сведения, как описано в разделе Мастер правил аналитики — вкладка Общие.

Правила настраиваемого обнаружения

Можно создать настраиваемые правила обнаружения, которые запрашивают данные как из Microsoft Sentinel, так и из таблиц Defender XDR. Выберите Управление правилами > Создать пользовательское обнаружение. Дополнительные сведения см. в статье Создание настраиваемых правил обнаружения .

При создании правил пользовательского обнаружения и аналитики можно запрашивать только данные, которые были приема в виде журналов аналитики (т. е. не в виде базовых или вспомогательных журналов). См. статью Планы управления журналами, чтобы проверка разных уровней), в противном случае создание правила не будет продолжаться.

Если данные Defender XDR попадают в Microsoft Sentinel, вы можете выбрать между вариантами Создать пользовательское обнаружение и Создать правило аналитики.

Примечание.

Если таблица Defender XDR не настроена для потоковой передачи в аналитику журналов в Microsoft Sentinel, но распознается как стандартная таблица в Microsoft Sentinel, правило аналитики можно создать успешно, но правило будет работать неправильно, так как в Microsoft Sentinel нет данных. В таких случаях используйте мастер настраиваемого правила обнаружения.

Управление пользовательскими правилами аналитики и обнаружения

Вы можете просмотреть все определяемые пользователем правила, включая пользовательские правила обнаружения и правила аналитики, на странице Правила обнаружения . Дополнительные сведения см. в разделе Управление пользовательскими обнаружениями.

Для организаций multworkspace, которые подключены к Microsoft Defender несколько рабочих областей, теперь можно просмотреть столбец Идентификатор рабочей области и выполнить фильтрацию по рабочей области.

  • Last updated on