Share via

Geavanceerde opsporing in de Microsoft Defender-portal

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Met geavanceerde opsporing in de geïntegreerde portal kunt u alle gegevens van Microsoft Defender XDR weergeven en opvragen. Dit omvat gegevens van verschillende Microsoft-beveiligingsservices en Microsoft Sentinel, waaronder gegevens van niet-Microsoft-producten, op één platform. U kunt ook alle bestaande inhoud van uw Microsoft Sentinel-werkruimte openen en gebruiken, inclusief query's en functies.

Als u vanuit één portal query's uitvoert op verschillende gegevenssets, wordt de opsporing efficiënter en hoeft u niet van context te schakelen.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender portal. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.

Toegang krijgen tot

Vereiste rollen en machtigingen

Als u query's wilt uitvoeren in Microsoft Sentinel en Microsoft Defender XDR gegevens op de pagina voor geïntegreerde geavanceerde opsporing, moet u toegang hebben tot Microsoft Defender XDR geavanceerde opsporing (zie Vereiste rollen en machtigingen) en ten minste Microsoft Sentinel Reader (zie Microsoft Sentinel-specifieke rollen).

In de geïntegreerde portal kunt u een query uitvoeren op alle gegevens in elke workload waartoe u momenteel toegang hebt op basis van de rollen en machtigingen die u hebt.

Een werkruimte verbinden

In Microsoft Defender kunt u werkruimten verbinden door Een werkruimte verbinden te selecteren in de bovenste banner. Deze knop wordt weergegeven als u in aanmerking komt voor het onboarden van een Microsoft Sentinel-werkruimte in de geïntegreerde Microsoft Defender-portal. Volg de stappen in: Een werkruimte onboarden.

Nadat u uw Microsoft Sentinel-werkruimte hebt verbonden met Microsoft Defender XDR geavanceerde opsporingsgegevens, kunt u beginnen met het opvragen van Microsoft Sentinel-gegevens vanaf de geavanceerde opsporingspagina. Lees Proactief zoeken naar bedreigingen met geavanceerde opsporing voor een overzicht van geavanceerde opsporingsfuncties.

Wat u kunt verwachten voor Defender XDR tabellen die zijn gestreamd naar Microsoft Sentinel

  • Tabellen gebruiken met een langere bewaarperiode voor gegevens in query's: geavanceerde opsporing volgt de maximale bewaarperiode voor gegevens die is geconfigureerd voor de Defender XDR tabellen (zie Quota begrijpen). Als u Defender XDR tabellen naar Microsoft Sentinel streamt en een gegevensretentieperiode hebt die langer is dan 30 dagen voor deze tabellen, kunt u een query uitvoeren voor de langere periode bij geavanceerde opsporing.
  • Kusto-operators gebruiken die u hebt gebruikt in Microsoft Sentinel : over het algemeen werken query's van Microsoft Sentinel bij geavanceerde opsporing, inclusief query's die gebruikmaken van de adx() operator. Er kunnen gevallen zijn waarin IntelliSense u waarschuwt dat de operatoren in uw query niet overeenkomen met het schema, maar u kunt de query nog steeds uitvoeren en deze moet nog steeds worden uitgevoerd.
  • Gebruik de vervolgkeuzelijst tijdfilter in plaats van de tijdsduur in de query in te stellen: als u de opname van Defender XDR tabellen filtert naar Sentinel in plaats van de tabellen te streamen, filtert u de tijd in de query niet, omdat dit mogelijk onvolledige resultaten oplevert. Als u de tijd in de query instelt, worden de gestreamde, gefilterde gegevens uit Sentinel gebruikt omdat deze meestal de langere bewaarperiode hebben. Als u er zeker van wilt zijn dat u maximaal 30 dagen een query uitvoert op alle Defender XDR gegevens, gebruikt u de vervolgkeuzelijst tijdfilter in de queryeditor.
  • Weergave SourceSystem en MachineGroup kolommen voor Defender XDR gegevens die zijn gestreamd vanuit Microsoft Sentinel: aangezien de kolommen SourceSystemMachineGroup worden toegevoegd aan Defender XDR tabellen zodra ze naar Microsoft Sentinel zijn gestreamd, worden ze ook weergegeven in resultaten bij geavanceerde opsporing in Defender. Ze blijven echter leeg voor Defender XDR tabellen die niet zijn gestreamd (tabellen die de standaardperiode van 30 dagen voor gegevensretentie volgen).

Opmerking

Als u de geïntegreerde portal gebruikt, waar u gegevens van Microsoft Sentinel kunt opvragen nadat u verbinding hebt gemaakt met een Microsoft Sentinel-werkruimte, betekent dit niet automatisch dat u ook Defender XDR gegevens kunt opvragen in Microsoft Sentinel. Opname van onbewerkte gegevens van Defender XDR moet nog steeds worden geconfigureerd in Microsoft Sentinel om dit te laten gebeuren.

Waar u uw Microsoft Sentinel-gegevens kunt vinden

U kunt geavanceerde KQL-query's (Kusto-querytaal) voor opsporing gebruiken om Microsoft Defender XDR- en Microsoft Sentinel-gegevens te doorzoeken.

Wanneer u de pagina geavanceerde opsporing voor het eerst opent nadat u verbinding hebt gemaakt met een werkruimte, kunt u veel van de tabellen van die werkruimte vinden die op oplossing zijn geordend na de Microsoft Defender XDR tabellen op het tabblad Schema.

Schermopname van het tabblad Geavanceerd opsporingsschema in de Microsoft Defender portal waarin de locatie van Sentinel-tabellen wordt gemarkeerd

Op dezelfde manier vindt u de functies van Microsoft Sentinel op het tabblad Functies en uw gedeelde en voorbeeldquery's van Microsoft Sentinel vindt u op het tabblad Query's in mappen met de markering Sentinel.

Schemagegevens weergeven

Als u meer wilt weten over een schematabel, selecteert u het verticale beletselteken ( kebabpictogram ) rechts van de naam van een schematabel op het tabblad Schema en selecteert u Schema weergeven.

In de geïntegreerde portal kunt u niet alleen de namen en beschrijvingen van de schemakolommen weergeven, maar ook het volgende bekijken:

  • Voorbeeldgegevens: selecteer Voorbeeldgegevens weergeven, waarmee een eenvoudige query wordt geladen, zoals TableName | take 5
  • Schematype : of de tabel volledige querymogelijkheden ondersteunt (geavanceerde tabel) of niet (tabel met basislogboeken)
  • Bewaarperiode van gegevens : hoe lang de gegevens zijn ingesteld om te worden bewaard
  • Tags – beschikbaar voor Sentinel-gegevenstabellen

Schermopname van het deelvenster schemagegevens in de Microsoft Defender-portal

Functies gebruiken

Als u een functie van Microsoft Sentinel wilt gebruiken, gaat u naar het tabblad Functies en schuift u totdat u de gewenste functie hebt gevonden. Dubbelklik op de naam van de functie om de functie in te voegen in de queryeditor.

U kunt ook het verticale beletselteken ( kebabpictogram ) rechts van de functie selecteren en Invoegen selecteren om de functie in te voegen in een query in de query-editor.

Andere opties zijn:

  • Details weergeven : hiermee opent u het deelvenster aan de functiezijde met de details
  • Functiecode laden : hiermee opent u een nieuw tabblad met de functiecode

Voor bewerkbare functies zijn er meer opties beschikbaar wanneer u het verticale beletselteken selecteert:

  • Details bewerken : hiermee opent u het deelvenster aan de functiezijde, zodat u details over de functie kunt bewerken (behalve mapnamen voor Sentinel-functies)
  • Verwijderen : hiermee verwijdert u de functie

Opgeslagen query's gebruiken

Als u een opgeslagen query van Microsoft Sentinel wilt gebruiken, gaat u naar het tabblad Query's en schuift u totdat u de gewenste query hebt gevonden. Dubbelklik op de naam van de query om de query te laden in de query-editor. Selecteer voor meer opties het verticale beletselteken ( kebabpictogram ) rechts van de query. Hier kunt u de volgende acties uitvoeren:

  • Query uitvoeren : de query wordt geladen in de queryeditor en automatisch uitgevoerd

  • Openen in queryeditor : laadt de query in de query-editor

  • Details weergeven : hiermee opent u het deelvenster aan de zijkant van de querydetails, waar u de query kunt inspecteren, de query kunt uitvoeren of de query kunt openen in de editor

    Schermopname van de opties die beschikbaar zijn in opgeslagen query's in de Microsoft Defender portal

Voor bewerkbare query's zijn meer opties beschikbaar:

  • Details bewerken : hiermee opent u het deelvenster aan de zijkant van de querydetails met de optie om de details te bewerken, zoals de beschrijving (indien van toepassing) en de query zelf; alleen de mapnamen (locatie) van Microsoft Sentinel-query's kunnen niet worden bewerkt
  • Verwijderen : hiermee verwijdert u de query
  • Naam wijzigen : hiermee kunt u de naam van de query wijzigen

aangepaste analyse- en detectieregels Creatie

U kunt aangepast detectiebeleid maken om bedreigingen en afwijkend gedrag in uw omgeving te detecteren.

Voor analyseregels die van toepassing zijn op gegevens die worden opgenomen via de verbonden Microsoft Sentinel-werkruimte, selecteert u Regels > beheren Creatie analyseregel.

Schermopname van de opties voor het maken van aangepaste analyses of detecties in de Microsoft Defender-portal

De wizard Analyseregel wordt weergegeven. Vul de vereiste gegevens in, zoals beschreven in de wizard Analyseregel: tabblad Algemeen.

Voor aangepaste detectieregels die van toepassing zijn op Microsoft Defender XDR gegevens selecteert u Regels > beheren Creatie aangepaste detectie. Lees aangepaste detectieregels Creatie en beheren voor meer informatie.

Resultaten verkennen

Resultaten van uitgevoerde query's worden weergegeven op het tabblad Resultaten . U kunt de resultaten exporteren naar een CSV-bestand door Exporteren te selecteren.

Schermopname van geavanceerde opsporingsresultaten met opties voor het uitvouwen van resultatenrijen in de Microsoft Defender-portal

U kunt de resultaten ook verkennen in overeenstemming met de volgende functies:

  • Een resultaat uitvouwen door de vervolgkeuzepijl links van elk resultaat te selecteren
  • Vouw, indien van toepassing, details uit voor resultaten in JSON- of matrixindeling door de vervolgkeuzepijl links van de toepasselijke resultatenrij te selecteren voor extra leesbaarheid
  • Open het zijdeelvenster om de details van een record te bekijken (gelijktijdig met uitgevouwen rijen)

U kunt ook met de rechtermuisknop op een resultaatwaarde in een rij klikken, zodat u deze kunt gebruiken om het volgende te doen:

  • Meer filters toevoegen aan de bestaande query
  • Kopieer de waarde voor gebruik in verder onderzoek
  • De query bijwerken om een JSON-veld uit te breiden naar een nieuwe kolom

Voor Microsoft Defender XDR gegevens kunt u verdere actie ondernemen door de selectievakjes links van elke resultaatrij in te schakelen. Selecteer Koppelen aan incident om de geselecteerde resultaten aan een incident te koppelen (lees Queryresultaten koppelen aan een incident) of Acties ondernemen om de wizard Acties ondernemen te openen (lees Actie ondernemen bij geavanceerde opsporingsqueryresultaten).

Bekende problemen

  • De IdentityInfo table van Microsoft Sentinel is niet beschikbaar, omdat de IdentityInfo tabel blijft zoals in Defender XDR. Microsoft Sentinel-functies, zoals analyseregels die een query uitvoeren op deze tabel, worden niet beïnvloed omdat ze rechtstreeks query's uitvoeren op de Log Analytics-werkruimte.
  • De tabel Microsoft Sentinel SecurityAlert wordt vervangen door AlertInfo en-tabellen AlertEvidence , die beide alle gegevens over waarschuwingen bevatten. Hoewel SecurityAlert niet beschikbaar is op het tabblad Schema, kunt u het nog steeds gebruiken in query's met behulp van de geavanceerde opsporingseditor. Deze inrichting is zo gemaakt dat bestaande query's van Microsoft Sentinel die deze tabel gebruiken, niet worden verbroken.
  • De begeleide opsporingsmodus wordt alleen ondersteund voor Defender XDR gegevens.
  • Aangepaste detecties, koppelingen naar incidenten en mogelijkheden voor het uitvoeren van acties worden alleen ondersteund voor Defender XDR gegevens.
  • Bladwijzers worden niet ondersteund in de geavanceerde opsporingservaring. Ze worden ondersteund in de opsporingsfunctie van Microsoft Sentinel > Threat Management>.
  • Als u Defender XDR tabellen naar Log Analytics streamt, is er mogelijk een verschil tussen deTimestamp kolommen enTimeGenerated. Als de gegevens na 48 uur binnenkomen in Log Analytics, worden ze overschreven bij opname naar now(). Daarom raden we u aan te vertrouwen op de kolom om de werkelijke tijd op te halen waarop de Timestamp gebeurtenis heeft plaatsgevonden.
  • De Microsoft Graph API voor het uitvoeren van een geavanceerde opsporingsquery biedt nog geen ondersteuning voor het uitvoeren van query's op gegevens van Microsoft Sentinel.