Использование функций Microsoft Sentinel, сохраненных запросов и пользовательских правил

Использование функций

Чтобы использовать функцию из Microsoft Sentinel, перейдите на вкладку Функции и прокрутите страницу, пока не найдете нужную функцию. Дважды щелкните имя функции, чтобы вставить функцию в редактор запросов.

Можно также выбрать вертикальные многоточия ( ) справа от функции и выбрать команду Вставить, чтобы запросить , чтобы вставить функцию в запрос в редакторе запросов.

Другие доступные варианты:

• Просмотр сведений — открывает боковую панель функции, содержащую сведения о ней.
• Загрузка кода функции — открывает новую вкладку, содержащую код функции.

Для редактируемых функций при выборе вертикального многоточия доступны дополнительные параметры:

• Изменение сведений — открывает боковую панель функции, чтобы можно было изменять сведения о функции (кроме имен папок для Sentinel функций).
• Delete — удаляет функцию.

Использование оператора adx() для запросов Azure Data Explorer

Используйте оператор для adx() запроса таблиц, хранящихся в Azure Data Explorer. Дополнительные сведения см. в статье Что такое Azure Data Explorer?

Эта функция ранее была доступна только в log Analytics в Microsoft Sentinel. Теперь пользователи могут использовать оператор для расширенной охоты на едином портале Microsoft Defender без необходимости вручную открывать окно Microsoft Sentinel.

В редакторе запросов введите запрос в следующем формате:

adx('<Cluster URI>/<Database Name>').<Table Name>

Например, чтобы получить первые 10 строк данных из StormEvents таблицы, хранящейся в определенном URI, выполните следующие действия:

Использование оператора arg() для запросов Azure Resource Graph

Оператор arg() можно использовать для выполнения запросов к развернутыми Azure ресурсам, таким как подписки, виртуальные машины, ЦП, хранилище и т. г.

Ранее эта функция была доступна только в функции журналов в Microsoft Sentinel. На портале arg() Microsoft Defender оператор работает над объединением запросов Azure Resource Graph (arg) с Microsoft Sentinel таблицами (то есть Defender XDR таблицы не поддерживаются). Это позволяет пользователям выполнять межслужбовые запросы в расширенной охоте, не открывая окно Microsoft Sentinel вручную.

Дополнительные сведения см. в разделе Запрос данных в Azure Resource Graph с помощью arg().

В редакторе запросов введите arg(""). за которым следует имя таблицы Azure Resource Graph.

Например:

Например, можно также отфильтровать запрос, который выполняет поиск по Microsoft Sentinel данным на основе результатов запроса Azure Resource Graph:

arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join ( 
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice

Использование сохраненных запросов

Чтобы использовать сохраненный запрос из Microsoft Sentinel, перейдите на вкладку Запросы и прокрутите страницу, пока не найдете нужный запрос. Дважды щелкните имя запроса, чтобы загрузить запрос в редакторе запросов. Для получения дополнительных параметров выберите вертикальный многоточие ( ) справа от запроса. Здесь можно выполнить следующие действия:

• Выполнение запроса — загружает запрос в редакторе запросов и выполняет его автоматически.

• Открыть в редакторе запросов — загружает запрос в редакторе запросов.

• Просмотр сведений — открывает боковую область сведений о запросе, где можно проверить запрос, выполнить запрос или открыть запрос в редакторе.

  

Для редактируемых запросов доступны дополнительные параметры:

• Изменение сведений — открывает боковую область сведений о запросе с возможностью изменения таких сведений, как описание (если применимо) и сам запрос; Изменить нельзя только имена папок (расположение) Microsoft Sentinel запросов.
• Удалить — удаляет запрос.
• Переименовать — позволяет изменить имя запроса.

Создание пользовательских правил аналитики и обнаружения

Чтобы помочь обнаруживать угрозы и аномальное поведение в вашей среде, можно создать настраиваемые правила обнаружения. Существует два вида:

• Правила аналитики создают обнаружения на основе правил, которые запрашивают данные, поступающие через Microsoft Sentinel
• Настраиваемые правила обнаружения создаются из правил, запрашивающих данные из Defender XDR или из Microsoft Sentinel и Defender XDR

Правила аналитики

Для правил аналитики, которые применяются к данным, которые передаются через подключенную рабочую область Microsoft Sentinel, выберите Управление правилами > Создать правило аналитики.

Откроется мастер правил аналитики . Заполните необходимые сведения, как описано в разделе Мастер правил аналитики — вкладка Общие.

Правила настраиваемого обнаружения

Можно создать настраиваемые правила обнаружения, которые запрашивают данные как из Microsoft Sentinel, так и из таблиц Defender XDR. Выберите Управление правилами > Создать пользовательское обнаружение. Дополнительные сведения см. в статье Создание настраиваемых правил обнаружения .

При создании правил пользовательского обнаружения и аналитики можно запрашивать только данные, которые были приема в виде журналов аналитики (т. е. не в виде базовых или вспомогательных журналов). См. статью Планы управления журналами, чтобы проверка разных уровней), в противном случае создание правила не будет продолжаться.

Если данные Defender XDR попадают в Microsoft Sentinel, вы можете выбрать между вариантами Создать пользовательское обнаружение и Создать правило аналитики.

Управление пользовательскими правилами аналитики и обнаружения

Вы можете просмотреть все определяемые пользователем правила — пользовательские правила обнаружения и правила аналитики — на странице Правила обнаружения . Дополнительные сведения см. в статье Управление пользовательскими обнаружениями .

Для организаций с несколькими рабочими областями, которые подключены к Microsoft Defender, теперь можно просмотреть столбец Идентификатор рабочей области и выполнить фильтрацию по рабочей области.