Aracılığıyla paylaş

Microsoft Defender portalında Microsoft Sentinel verilerle gelişmiş avcılık

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Gelişmiş avcılık, birleşik Microsoft Defender portalında bulunan ve Microsoft Defender XDR ve çeşitli Microsoft güvenlik hizmetlerini içeren tüm veri kaynaklarını görüntülemenize ve sorgulamanıza olanak tanır. Microsoft Sentinel Defender portalına eklerseniz, sorgular ve işlevler de dahil olmak üzere var olan tüm Microsoft Sentinel çalışma alanı içeriğinize erişebilir ve bunları kullanabilirsiniz.

Farklı veri kümelerinde tek bir portaldan sorgulamak, avcılığı daha verimli hale getirir ve bağlam değiştirme gereksinimini ortadan kaldırır.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Erişim

Gerekli roller ve izinler

Rollerinize ve izinlerinize göre şu anda erişebileceğiniz herhangi bir iş yükündeki verileri sorgulayabilirsiniz.

Birleşik gelişmiş tehdit avcılığı sayfasında Microsoft Sentinel ve Microsoft Defender XDR verileri sorgulamak için en azından Microsoft Sentinel Okuyucu rolüne de sahip olmanız gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel özgü roller.

Çalışma alanını bağlama

Microsoft Defender üst başlıktaki Çalışma alanına bağlan'ı seçerek çalışma alanlarını bağlayabilirsiniz. Birleşik Microsoft Defender portalına bir Microsoft Sentinel çalışma alanı eklemeye uygunsanız bu düğme görüntülenir. Şu adımları izleyin: Çalışma alanı ekleme.

Microsoft Sentinel çalışma alanınızı bağladıktan ve gelişmiş tehdit avcılığı verilerini Microsoft Defender XDR sonra gelişmiş tehdit avcılığı sayfasından Microsoft Sentinel verileri sorgulamaya başlayabilirsiniz. Gelişmiş avcılık özelliklerine genel bir bakış için gelişmiş avcılık ile tehditleri proaktif olarak avlama bölümünü okuyun.

Microsoft Sentinel akışı yapılan Defender XDR tablolarda neler beklenmeli?

  • Sorgularda daha uzun veri saklama süresi olan tabloları kullanma – Gelişmiş avcılık, Defender XDR tabloları için yapılandırılan maksimum veri saklama süresini izler (bkz. Kotaları anlama). Defender XDR tablolarını Microsoft Sentinel akışla aktardıysanız ve söz dizimli tablolar için 30 günden uzun bir veri saklama süresine sahipseniz, gelişmiş avcılıkta daha uzun süre için sorgu yapabilirsiniz.
  • Microsoft Sentinel'de kullandığınız Kusto işleçlerini kullanın: Genel olarak, Microsoft Sentinel sorguları işlecini kullanan adx() sorgular da dahil olmak üzere gelişmiş avcılıkta çalışır. IntelliSense'in sorgunuzdaki işleçlerin şemayla eşleşmediği konusunda sizi uyardığı durumlar olabilir, ancak sorguyu yine de çalıştırabilirsiniz ve yine de başarıyla yürütülmelidir.
  • Sorgudaki zaman aralığını ayarlamak yerine zaman filtresi açılan listesini kullanın: Tabloları olduğu gibi akışla akışla göndermek yerine Defender XDR tabloların alımını Sentinel olarak filtreliyorsanız, sorgudaki zamanı filtrelemeyin çünkü bu işlem tamamlanmamış sonuçlara neden olabilir. Sorguda zamanı ayarlarsanız, genellikle veri saklama süresi daha uzun olduğundan Sentinel akışlı, filtrelenmiş veriler kullanılır. Tüm Defender XDR verileri 30 güne kadar sorguladığınızdan emin olmak istiyorsanız, bunun yerine sorgu düzenleyicisinde sağlanan zaman filtresi açılan listesini kullanın.
  • Microsoft Sentinel akışı yapılmış Defender XDR verileri için görüntüleme SourceSystem ve MachineGroup sütunlar : Sütunlar SourceSystem ve MachineGroup Microsoft Sentinel akışla aktarıldıktan sonra Defender XDR tablolara eklendiklerinden, Defender'da gelişmiş avcılık sonuçları da görüntülenir. Ancak, akışla aktarılmamış Defender XDR tabloları (varsayılan 30 günlük veri saklama süresini izleyen tablolar) için boş kalırlar.

Not

bir Microsoft Sentinel çalışma alanını bağladıktan sonra Microsoft Sentinel verileri sorgulayabileceğiniz birleşik portalı kullanmak, Microsoft Sentinel Defender XDR verileri de sorgulayabileceğiniz anlamına gelmez. Defender XDR ham veri alımı, bunun gerçekleşmesi için Microsoft Sentinel'de yapılandırılmaya devam etmelidir.

Microsoft Sentinel verilerinizi nerede bulabilirim?

Microsoft Defender XDR ve Microsoft Sentinel verileri aramak için gelişmiş tehdit avcılığı KQL (Kusto Sorgu Dili) sorgularını kullanabilirsiniz.

Bir çalışma alanını bağladıktan sonra gelişmiş tehdit avcılığı sayfasını ilk kez açtığınızda, şema sekmesinin altındaki Microsoft Defender XDR tablolarından sonra bu çalışma alanının tablolarının çoğunu çözüme göre düzenlenmiş olarak bulabilirsiniz.

Sentinel tablolarının konumunu vurgulayan Microsoft Defender portalındaki gelişmiş tehdit avcılığı şema sekmesinin ekran görüntüsü

Benzer şekilde, Microsoft Sentinel işlevleri İşlevler sekmesinde bulabilirsiniz ve Microsoft Sentinel paylaşılan ve örnek sorgularınız Sentinel olarak işaretlenmiş klasörlerin içindeki Sorgular sekmesinde bulunabilir.

Şema bilgilerini görüntüleme

Şema tablosu hakkında daha fazla bilgi edinmek için Şema sekmesinin altındaki herhangi bir şema tablosu adının sağındaki dikey üç noktayı ( kebap simgesi ) ve ardından Şemayıgörüntüle'yi seçin.

Birleşik portalda, şema sütun adlarını ve açıklamalarını görüntülemenin yanı sıra şunları da görüntüleyebilirsiniz:

  • Örnek veriler – Aşağıdaki gibi basit bir sorgu yükleyen Önizleme verilerini gör'e tıklayın TableName | take 5
  • Şema türü – tablonun tam sorgu özelliklerini (gelişmiş tablo) destekleyip desteklemediği (temel günlükler tablosu)
  • Veri saklama süresi – verilerin ne kadar süreyle tutulacağı
  • Etiketler – Sentinel veri tablolarında kullanılabilir

Microsoft Defender portalındaki şema bilgileri bölmesinin ekran görüntüsü

Bilinen sorunlar

  • IdentityInfo table Tablo Defender XDR olduğu gibi kaldığından IdentityInfo from Microsoft Sentinel kullanılamaz. Bu tabloyu sorgulayan analiz kuralları gibi Microsoft Sentinel özellikler, Log Analytics çalışma alanını doğrudan sorgularken etkilenmez.
  • Microsoft Sentinel SecurityAlert tablosunun yerini AlertInfo ve AlertEvidence her ikisi de uyarılardaki tüm verileri içeren tablolar alır. SecurityAlert şema sekmesinde kullanılamasa da, gelişmiş tehdit avcılığı düzenleyicisini kullanarak sorgularda bunu kullanmaya devam edebilirsiniz. Bu sağlama, mevcut sorguların bu tabloyu kullanan Microsoft Sentinel kesmemesi için yapılır.
  • Destekli avlanma modu ve eylem gerçekleştirme özellikleri yalnızca Defender XDR veriler için desteklenir.
  • Özel algılamalar aşağıdaki sınırlamalara sahiptir:
    • Defender XDR verileri içermeyen KQL sorgularında özel algılamalar kullanılamaz.
    • Microsoft Sentinel verileri içeren algılamalar için neredeyse gerçek zamanlı algılama sıklığı kullanılamaz.
    • Microsoft Sentinel oluşturulan ve kaydedilen özel işlevler desteklenmez.
    • özel algılamalarda Sentinel verilerden varlıkların tanımlanması henüz desteklenmemektedir.
  • Yer işaretleri gelişmiş tehdit avcılığı deneyiminde desteklenmez. Bunlar Microsoft Sentinel > Tehdit yönetimi > Tehdit Avcılığı özelliğinde desteklenir. Alternatif olarak, sorgu sonuçlarını yeni veya mevcut olaylara bağlamak için Olaya bağla özelliğini kullanabilirsiniz.
  • Log Analytics'e Defender XDR tabloları akışla aktarıyorsanız ve TimeGenerated sütunları arasındaTimestamp bir fark olabilir. Verilerin 48 saat sonra Log Analytics'e ulaşması durumunda, veri alımında now()geçersiz kılınır. Bu nedenle, olayın gerçek zamanını elde etmek için sütuna Timestamp güvenmenizi öneririz.
  • Gelişmiş tehdit avcılığı sorguları için Security Copilot sorarken, şu anda tüm Microsoft Sentinel tablolarının desteklenmediğini fark edebilirsiniz. Ancak, gelecekte bu tablolar için destek beklenebilir.

Ayrıca bkz.